セキュリティから見たWeb2.0の現在とこれから
スピーカー セキュリティエンジニア 福森 大喜

2009年 3月18日に３回目となるSINAP TALKを開催しました。
セキュリティエンジニア 福森 大喜さんをお招きし開催した、今回のSINAP TALK。今回は外部の方の参加枠も設け、よりオープンなイベントにするという新しい試みでもありましたが、スピーカーの福森さんのお話が素晴らしかった事もあり、活発な意見交換がおこなわれた、とても有意義なイベントとなりました。
今回はこのセミナーの内容を質疑応答も含めてレポートいたします。

Web2.0でWebアプリケーションのセキュリティはどう変わったか。

「Web1.0からWeb2.0への変革のなかで、サーバ側で実行されていた処理がクライアント側に移ってきている。それに伴い、攻撃対象もクライアントにシフトしている」
サイトで使用されているJavaScriptやFlashのプログラムソースは簡単にダウンロードが可能で、ソースをじっくり見て攻撃することができるため、いままでのようにサーバーに向けて当てずっぽうでリクエストを投げる攻撃とは大きく違ってきており、この点が攻撃対象がクライアント側に移ってきている理由の一つと考えられます。

またWeb2.0で良く使われるマッシュアップも、攻撃の対象になっています。マッシュアップの元となっているサービスを攻撃する、もしくは悪意のあるサービスを用意することで、サーバーがサーバーを攻撃するということが起こっています。従来の攻撃者はクライアントPCからサーバーへのの攻撃にとどまっていましたが、これがサーバーから攻撃をおこなうということなので、大きな変化です。

Web1.0→Web2.0の変化にともない攻撃対象は、「サーバー」から「クライアント」へ変化し、さらには「サーバー」が「サーバー」を攻撃するという事も起こっています。


Web2.0の次に流行そうな物。

Web2.0ではクライアントへの要求が高まり、クライアントが担う機能も大きくなりました。その後Web2.0の次に来るものとして、福森さんはGoogleNativeClientとAdobe AlchemyというWebブラウザ上で機能する、２つのテクノロジーを例に挙げられました。
それぞれ違いはあるのですが、両者ともブラウザの機能を拡張するもので、Adobe AlchemyはJavaScript以外の言語で開発されたアプリケーションをブラウザで実行するという考え方で、一方GoogleNativeClientはブラウザ上で動くOSのような物です。
このように、Webの中でブラウザの果たす役割は、さらに大きくなっていくことが予想されます。ブラウザが持つ権限が飛躍的に高くなると、一度脆弱性が存在した時の影響範囲も大きくなります。両技術ともにセキュリティへの配慮はされていますが、この課題をどう解決していくのかが重要になっていくとともに、コンテンツを配信する側もセキュリティを今以上に意識する必要があるでしょう。


質疑応答

それでは、講演のあとに行われた質疑応答のなかから一部抜粋してご紹介します。

Q CMSがWebサイト構築でよく使われる様になりましたが、CMSパッケージが脆弱性を持つ、CMSパッケージが攻撃対象になることはありますか？

福森氏「大手のCMSベンダーがつくるパッケージの中にも、脆弱性が存在します。CMSで脆弱性が見つかった場合はそのCMSを信頼して使用している多くのサイトが影響をうけるので、重要な問題だとおもいます。大手のベンダーでもセキュリティに対する意識は低いと感じます。CMSを使って気軽にサイト構築ができるのは魅力的な事で、使用者がセキュリティを勉強してからという世の中はおもしろくないです。CMSベンダーには頑張っていただいて、CMSを使えばセキュアなサイトが作れるようになってほしいです。」

Q クライアントプログロムの中に見られてはいけないデータを持たせたい時にサーバで処理する以外に方法はありますか

福森氏「そもそも、クライアントで処理しなければいけないデータで、見られてはいけないデータというものはないと思います。クライアントで扱うデータはオープンになってしまうのは避けられないので、サーバで処理する様にしてください。」

Q Webアプリケーションのセキュリティ対策に対して、どこまでやるべきかを判断する基準はありますか

福森氏「まずはそのサイトの性格です。例えばECのサイトとプロモーションサイトではセキュリティのレベルは全く違います。そのサイトが持つの情報の価値というのが重要になってきます。ただし、Webサイトが難しい所は、脆弱性を発見するのが意外と簡単であることです。知識が無くても検査パターンを知っていれば素人でも探す事はできます。その素人がサイトの脆弱性を見つけたことを広く流布すれば、マスコミは脆弱性の影響範囲とは関係なく大きく取り上げて、会社の信用情報に傷がつくことになります。そういう実際の被害とは別の風評被害もWebでは無視できません。」

Q クライアント側への攻撃が増えた背景を教えてください。

福森氏「サーバ側の対策が進んできて、管理者の意識も高くなったという事があります。攻撃者にとってサーバ側を攻撃するのが難しくなってます。一方クライアントはソフトウェアのアップデートがされていないクライアントも多く、攻撃者にとっとは攻撃し易いものとしてとらえられています。
クライアントを数多く攻撃しボットネットというプログラムを仕込む事により、一斉に一つのサーバーに攻撃をするというものもあります。」

Q 攻撃者の目的を教えてください。Web2.0になってクライアントに攻撃をする目的はなんですか。

福森氏「先ほどのボットネットの話もありますが、ゲームの情報でリアルマネーと取引されるものも対象になります。」

Q 携帯サイトではどのような脆弱性がありますか。

福森氏「セッション管理が適当なサイトが多いので、なりすまし攻撃が多いです。URLが表示されないので、ユーザーに見えないからという理由だけで、脆弱なセッションIDを使っている場合が多いからです。」

Q プログラムであればレベルの違いはあるが、脆弱性が存在すると考ています。そのような状況でセキュリティ対策に対する費用は制作側、発注側どちらがもつべきですか。

福森氏「瑕疵担保責任というところになります。ある考えかたでは脆弱性のないプログラムを作るのが当たり前ともいえます。一方では仕様書に書いていない物は対応しないという考えも有ります。将来的にはセキュリティに対する項目を仕様書に記述して対応するようになって行くと思います。現在セキュリティの項目が仕様書に書かれていることはまれなので、発注側が費用を負担することが多いです。」