今、危険な脆弱性とその対策
―2021年上半期の診断データや攻撃事例より―

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

キーボードと虫眼鏡

私たちの生活を支えるWebサイトは、攻撃者からみると、個人情報や機密情報などデータの宝庫であり、魅力的なターゲットになってしまっています。その理由は、Webサイトの多くに脆弱性が存在していることがあるためです。

本記事では、診断会社として多くの企業・組織への診断実績がある弊社の視点で、2021年上半期の診断結果、また攻撃事例などを振り返り、脆弱性対策に有効な手段を考えます。

Webサイトはなぜ狙われる?
―そこに脆弱性があるから

ハッカーがターゲットにしている対象のグラフデータ(The 2021 Hacker Reportより)

サイバー攻撃の対象は、Webサイトが最も高く、ハッカーのほとんどがWebサイトを攻撃しているといっても過言ではありません。

私たちの生活は公私共に、Webシステムに支えられており、Webサイトは個人情報や機密情報の宝庫です。そして、残念ながらWebサイトの多くには脆弱性が存在していることがあります。宝の山に脆弱性があるとなれば、悪意ある者に狙われてしまうのは当然といえます。

2021年上半期Webアプリケーション脆弱性診断結果

弊社では、様々な脆弱性診断メニューをご提供しております。その中で最もニーズの高いWebアプリケーション脆弱性診断について、2021年上半期(2021年1~6月)の結果をご紹介いたします。この半年間で14業種のべ610社、3,688システムに対して診断を行いました。

業種やシステムの大小にかかわらず、多くのWebアプリケーションになんらかの脆弱性が存在しています。検出された脆弱性をカテゴリ分けした内訳は円グラフのとおりです。

上半期診断結果脆弱カテゴリ別の円グラフ

このうち、例として、4割近くを占める「システム情報・ポリシーに関する問題」と、1割強程度ではあるものの、危険度の高い脆弱性が目立つ「入出力制御に関する問題」に分類される脆弱性の検出数をご覧ください(下記、棒グラフ参照)。

既知の脆弱性が検出されている、あるいはすでにベンダサポートが終了しているバージョンのOSやアプリケーションソフトの使用が数多く見られます。また、Webアプリケーションにおける脆弱性の代表格ともいえる「クロスサイトスクリプティング」や「SQLインジェクション」は、いまだ検出され続けているのが現状です。こうした脆弱性を放置しておくとどうなるか、実際に発生したインシデントの例を見てみましょう。

脆弱性を悪用した攻撃事例1:
既知の脆弱性が存在するWordPress

脆弱性のあるWordPressの悪用例

Webサイトの構築を便利にするCMS(Contents Management System)のうち、WordPressは世界でダントツのシェア40%以上を誇っています(CMS不使用は約35%、その他のCMSはすべて一桁パーセント以下のシェアです)*1。CMSの代名詞といえるWordPressですが、その分サイバー攻撃者の注目度も高く、脆弱性の発見とこれに対応したアップグレードを常に繰り返しています。

2021年に入ってからも10件以上の脆弱性が報告*2されているほか、国内でもWordPressを最新バージョンにアップデートしていなかったことで不正アクセスを受けたとの報告*3が上がっています。

脆弱性を悪用した攻撃事例2:SQLインジェクション

その対策が広く知れ渡っている今でも、「SQLインジェクション」は診断結果の中に比較的検出される項目です。

出典:IPA「安全なウェブサイトの作り方 – 1.1 SQLインジェクション
SQLインジェクション攻撃による国内情報流出事例

2021年も、実際にSQLインジェクション攻撃を受けたという報告*4が複数上がっています。

「SQLインジェクション」や「クロスサイトスクリプティング」のような、比較的知られている脆弱性に起因するインシデント事例は、企業のセキュリティ対策姿勢が疑われる結果につながり、インシデントによる直接的な被害だけでは済まない、信用の失墜やブランドイメージの低下といった大きな痛手を受ける恐れがあります。

最も危険な脆弱性ランキング

最も悪用された脆弱性ワースト30

脆弱性対策は世界的な問題です。2021年7月、アメリカ、イギリス、オーストラリア各国のセキュリティ機関が、共同で「Top Routinely Exploited Vulnerabilities(最も悪用されている脆弱性)」の30件を発表しました。

出典:https://us-cert.cisa.gov/ncas/alerts/aa21-209aより弊社作成

2021年にかけてサイバー攻撃グループが悪用していることが示唆されているものが多く含まれており、いまだ世界中の多くの企業や組織では、前述の脆弱性に対して未対応であることがうかがえます。

上記一覧からおわかりのとおり、ほとんどが、業務利用されているおなじみの製品群です。リモートワークの促進やクラウドシフトといったIT環境の変化が、既知の脆弱性に悪用する価値を与えているのです。各セキュリティ機関は、特にVPN製品に関する脆弱性に警鐘を鳴らしています。

思い当たる製品がある場合は、まずは侵害の痕跡(IoC:Indicator of Compromise)があるか確認し、必要に応じて対処する必要があります。そして可能な限り早急にパッチを適用する必要があります。いずれの製品にもセキュリティパッチがリリースされています。

最も危険なソフトウェアエラー 「CWE TOP25」2021年版

危険な脆弱性に関する情報として、米MITRE社より、「2021 CWE Top 25 Most Dangerous Software Weaknesses(最も危険なソフトウェアエラーTop25 2021年版)」も発表されています。CWE(Common Weakness Enumeration)は、ソフトウェアにおける共通脆弱性分類です。脆弱性項目ごとに一意のIDが決められ、そのタイプごとに体系化されています。

出典:https://cwe.mitre.org/top25/archive/2021/2021_cwe_top25.html より弊社翻訳

前年度と比較して順位を上げている項目については、特に脅威が高まっていると言えます。自組織のセキュリティの弱点と関係しているかといった分析や優先的に対策すべき項目の検討などに役立つ情報です。

脆弱性の対策に有効な手段とは?

多くのWebサイトに脆弱性が存在していることについて述べてまいりました。脆弱性の放置は、サイバー攻撃を誘発し、事業活動に甚大な影響を及ぼしかねません。たとえサイバー攻撃をすべて防ぎきることはできないにしても、セキュリティ対策をどのように講じてきたかという姿勢が問われる時代です。基本的なセキュリティ対策を怠っていたばかりに、大きく信頼を損ねる結果とならないようにしたいものです。

Webサイトにおける脆弱性の有無を確認するには、脆弱性診断が最も有効な手段です。自組織のセキュリティ状態を把握して、リスクを可視化することが、セキュリティ対策の第一歩となります。脆弱性診断を効果的に行うコツは、「システムライフサイクルに応じて」「定期的に」です。脆弱性の状況は、新規リリース時や改修時ばかりでなく、時宜に応じて変化することに注意が必要です。

変化という意味では、脆弱性情報のトレンドを把握するのも重要です。この点、様々なセキュリティ機関やセキュリティベンダなどが情報配信を行っていますので、最新状況のキャッチアップにご活用ください。

弊社では昨年8月に「テレワーク時代のセキュリティ情報の集め方」と題したウェビナーで、情報収集の仕方やソースリストのご紹介をしておりますので、ぜひご参考にしていただければと思います。

リスク評価、セキュリティ対策検討の初動である、脆弱性診断および脆弱性情報の収集が、健全な事業活動継続の実現に寄与します。

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

APT攻撃・ランサムウェア
―2021年のサイバー脅威に備えを―

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2021年の半分が終わりましたが、世界に衝撃を与えたセキュリティに関するトピックスと言えば、「APT攻撃」と「ランサムウェア」の二つが該当するでしょう。本記事ではこの二つのキーワードについて最新の攻撃事例をまとめてご紹介。被害を抑えるために有効な対策の考え方のポイントを解説していきます。

サイバー攻撃の種類

まず、意味を混同されがちな「フィッシング」「標的型攻撃」「APT攻撃」「ランサムウェア」という4つの攻撃についておさらいしましょう。また、過去記事の「サイバー攻撃を行う5つの主体と5つの目的」にも表を掲載しておりますので、あわせてご参照ください。

キーワード概要
フィッシング偽サイトやそこに誘導するメール等によって、無差別に被害者が罠にかかるのを待つサイバー攻撃
標的型攻撃特定のターゲットに的を絞り、実行されるサイバー攻撃
APT攻撃Advanced Persistent Threatの略。日本語では持続的標的型攻撃などと訳される。長い時間をかけて準備され、継続して行われる非常に高度な攻撃で、発覚に数年かかることもある
ランサムウェアファイルを暗号化することで、元に戻す復号化のための身代金を要求するマルウェア(悪質なソフトウェア)

こうしたサイバー攻撃は以前からありましたが、従来無差別に行われていたフィッシングはスピアフィッシングという高度にカスタマイズされた標的型の手法が展開されたり、ランサムウェアもばらまき型から標的型へシフトしたりするなど、近年は明確な目的を持った標的型の攻撃が増加傾向にあります。その中でも、2020年以降、特に取り沙汰されることが多くなったのが「APT攻撃」と「ランサムウェア」の二つです。

「APT攻撃」と「ランサムウェア」

脅威① APT攻撃

「APT攻撃」の最も大きなトピックスとしては2020年12月に起きたSolarWinds社のOrion Platformに端を発した史上最大規模のサプライチェーン攻撃*5があります。このサイバー攻撃については2021年6月現在でも収束に向けた努力が続けられており、先日もアメリカの政府機関が、ロシア対外情報庁(SVR)が支援する攻撃グループ、「APT29」の関与を発表*2するなどの進展を見せています。

下表は最近報告されたAPT攻撃事例の一部をまとめたものです。

APT攻撃の報告事例(2020年12月~2021年4月)
発表時期関連が疑われる攻撃者概要
2020年12月APT29およびロシア対外情報庁SolarWinds社のOrion Platformへの攻撃に端を発したサプライチェーン攻撃。悪意あるアップデートを介して行われ、多数の政府機関や企業を含めた組織に影響を与えた。
2020年12月TA453Charming Kittenなどとも呼ばれる攻撃グループによる、米国やイスラエルの医療専門家を標的にしたフィッシング攻撃*3。12月に確認されたキャンペーンは「BadBlood」という名称で知られている。
2021年1月APT34イランが関与しているとされるグループ「APT34」が偽の求人情報を用いてバックドアの新たな亜種を設置する攻撃*4を実施。
2021年3月APT10およびBlackTech日本の製造業を狙う攻撃キャンペーン「A41APT」が2019年~2020年に観測された*5。攻撃にはマルチレイヤーローダー「Ecipekac」が用いられた。
2021年3月中国政府が支援しているとされるAPTグループ米国、欧州、および東南アジアの主要通信企業をターゲットに5G技術に関連する情報を盗み取ることを目的とした攻撃*6。「オペレーション Diànxùn」と名付けられたスパイキャンペーン。
2021年4月未発表Fortinet社のネットワーク製品に組み込まれたFortiOSを狙った攻撃*7
2021年4月Tickおよび中国軍「61419部隊」JAXA(宇宙航空研究開発機構)へのサイバー攻撃および、国内約200の企業への攻撃に関与していると警察庁長官が発表*8した。

APT攻撃を行うグループは、国家規模の支援を受けるグループが多く、その手口も洗練されており、攻撃を受けたとしても気づけず、発覚までに時間がかかることもあるのが特徴の一つです。彼らの多くは、国家的利益や、標的国家に損害を与えることを目的としていますが、少数派ながら金銭目的で活動するグループも存在します。

こうしたグループの場合は、金融機関などを狙うこともあります。彼らは入念に情報を収集し、得た情報を用いてネットワーク上のみならず、人的あるいは物理的な攻撃手段までをも検討し、綿密な攻撃計画を立てたうえで攻撃を行います。そして攻撃を成功させたなら、攻撃が露見しないようにひそやかに活動を続け、長期にわたって被害組織から情報を窃取するなどの攻撃を続けます。彼らは自分たちが攻撃した痕跡を消してしまうこともあるため、一度攻撃を受ければどれだけの期間、どれだけの影響範囲で攻撃を受けていたのかを突き止めるのは困難となります。加えて、APT攻撃グループは入念な情報収集から、標的組織の脆弱な部分を割り出して狙うことが多く、その特性からサプライチェーン攻撃となることもあります。

例えば、特定の複数の金融機関をターゲットとしたものの、セキュリティ対策が強固であったために直接的な攻撃が困難なケースを想定します。しかし、情報収集の段階でそれら金融機関が共通の管理ソフトウェアを使用していることが判明したため、当該ソフトウェアの提供元を攻撃し、ソフトウェアアップデートを改竄することで、標的の金融機関を一斉にマルウェア感染させる、といったサプライチェーン攻撃が実行可能となります。

脅威② ランサムウェア

一方、「ランサムウェア」についてはアメリカの大手石油パイプライン運営企業のColonial Pipeline社が、ランサムウェアによるサイバー攻撃を受け*9、5日にわたってシステムを停止することになった事件がありました。その結果、ガソリンを求める市民がガソリンスタンドに押し寄る事態に発展し、米運輸省は混乱鎮静のために燃料輸送に関する緊急措置導入を発表*10するなどして対応しました。こうしたことからも、社会インフラを襲ったこのサイバー攻撃の影響度をはかることができます。

ランサムウェア攻撃の報告事例(2020年12月~2021年6月)
時期 被害組織 ランサムウェア 概要
2020年12月
2021年1月
教育機関や
通信企業等
Cl0p ファイル転送アプライアンスである「Accellion FTA」の脆弱性を悪用するランサムウェア*11。攻撃グループは、奪取したデータの証拠として機密情報を含むいくつかのファイルを流出させた。
2021年3月 広範囲に及ぶ DearCry 「WannaCry」に類似したランサムウェアでMicrosoft Exchange Serverの脆弱性を悪用する*12
2021年5月 Colonial Pipeline DARKSIDE 攻撃されたことによってシステムが5日間停止した。同社は東海岸へのガソリン、ディーゼル、ジェット燃料の大部分を担っており大きな問題となった。
2021年5月 アメリカ国内の医療機関や警察、自治体 Conti FBIが昨年1年間でアメリカ国内の医療機関や警察、自治体を標的としたContiによるランサムウェア攻撃を少なくとも16件確認したと発表*13している。
2021年6月 JBS REvil ブラジルの食肉加工大手企業JBSのアメリカ部門が攻撃*14された。アメリカやオーストラリアの食肉工場の操業が停止になった。
2021年6月 国内精密化学企業 未発表 同社は6月1日夜に不正アクセスを認識し、2日にランサムウェアによる攻撃であると発表*15した。


ランサムウェアは、その存在自体は前世紀から存在しており、猛威を振るうようになったのは2005年以降ですが、ここ数年で大きく変化しています。2021年現在の主流となっているランサムウェアの特徴の一つがRaaS(Ransomware-as-a-Service)であることです。

これは、ランサムウェアがダークウェブ上で利用できるサービスとして提供されているというものです。RaaSの中には、身代金要求額の算定や、標的選定の支援、提供する開発グループからカスタマーサービスを受けられるものすらあります。RaaSを利用する攻撃者は、得た身代金の何割かを開発者に取り分として渡すことになっている場合もあり、ランサムウェアがビジネスとしてサービス化されています。こうしたサービスの登場により、高度な技術的知識がなくても攻撃者がランサムウェアを扱えるようになり、ランサムウェアビジネスに参入する攻撃者が増加しているとみられています。

また、ダークウェブ上にアップローダーを持つことがトレンドとなっている点も大きな変化です。これは従来のようにただ脅迫するのではなく、攻撃した企業から窃取した情報の一部を用意したアップローダーに公開することで、「身代金の支払いをしなければ、情報を漏えいさせる」と脅し、身代金要求の圧力を強める役割を持っています。こうしたランサムウェアは「二重脅迫型」と呼ばれています。また、「身代金要求に応じなければさらにDDoS攻撃を行う」といった脅迫をするケースも現れており、こうしたものも含めて「他重脅迫型」とも呼ばれることもあります。

現在のランサムウェアは、犯罪ビジネスとして洗練されてきており、今後も攻撃は拡大すると予測されます。

「APT攻撃」と「ランサムウェア」の共通点

国家規模の支援を受けて行われるAPT攻撃と、金銭目的で行われるランサムウェアに、共通点は少ないように思えます。しかし、2021年現在、両者には非常に大きな共通点がみられます。それは資金的・人的リソースが豊富で、高度で洗練された攻撃手法を確立しているという点です。

ランサムウェア市場はRaaSによって参入障壁が下がったこともあり、これまで別の犯罪ビジネスを行っていた組織が参入していると考えられ、また高額な身代金要求によって、豊富な資金が攻撃者の手にわたっています。資金と人的リソースが確保できたことで、ランサムウェア攻撃はさらに高度化が進み、従来の単純な攻撃モデルから、今やAPT攻撃に近しいレベルにまで洗練させたビジネスモデルへと変貌を遂げています。特定の組織や企業を標的としたランサムウェア攻撃の脅威はAPT攻撃に匹敵するものとなっており、より一層の警戒が必要です。

APT攻撃・ランサムウェアに有効な対策

APT攻撃にせよ、ランサムウェアにせよ、いまや完璧な防御を望むのは困難となっています。こうした脅威への対策における重要なポイントは2つあります。

① 「攻撃・侵入される前提」で取り組む
 こちらについては、「拡大・高度化する標的型攻撃に有効な対策とは
―2020年夏版
」にある「侵入」「侵入後」の対策の確認方法もあわせてご覧ください。

侵入への対策
目的:システムへの侵入を防ぐ
  侵入後の対策
目的:侵入された場合の被害を最小化する
・多要素認証の実装 ・不要なアカウント情報の削除(退職者のアカウント情報など)
・公開サーバ、公開アプリケーションの脆弱性を迅速に発見・解消する体制の構築
・VPNやリモートデスクトップサービスを用いる端末
・サーバのバージョン管理(常に最新バージョンを利用) ・ファイアウォールやWAFによる防御 など 
  ・社内環境におけるネットワークセグメンテーション
・ユーザ管理の厳格化、特権ユーザの限定・管理(特にWindowsの場合)
・侵入検知(IDS/IPSなど)、データバックアップといった対策の強化
・SIEMなどでのログ分析、イベント管理の実施
・不要なアプリケーションや機能の削除・無効化
・エンドポイントセキュリティ製品によるふるまい検知の導入
対策の有効性の確認方法
・脆弱性診断
・ペネトレーションテスト
  ・ペネトレーションテスト

②侵入を前提とした多層防御が重要
 あらためて、多層防御の状況を点検し、攻撃耐性を高めていくことが求められています。こちらについては、「高まるAPT攻撃の脅威」もあわせてご覧ください。

・標的型攻撃メール訓練等による社員のセキュリティ
・教育インシデント時の対応フロー・ポリシー・ガイドラインの整備策定・見直し
・情報資産の棚卸

今年は1年延期されていた東京オリンピック/パラリンピックの開催が予定されています。こうした世界的イベントはサイバー攻撃の恰好の標的であり、攻撃者にとっては準備期間が1年余分に確保できていたことにもなります。セキュリティ対策が不十分な組織は、7月から8月にかけて発生が予想される様々なサイバー攻撃に対して脆弱となり得る可能性があります。攻撃・侵害されることが前提の時代において、被害を受けてから慌てて対応するのではなく、予防的対策をしっかり行い、かつセキュリティ事故発生時に影響を最小限に抑えられる体制および環境作りを心掛けましょう。

参考情報:
https://www.jpcert.or.jp/research/apt-guide.html
https://www.ipa.go.jp/archive/security/security-alert/2020/ransom.html


BBSecでは

当社では以下のようなご支援が可能です。

<侵入前・侵入後の対策の有効性確認>

<APT攻撃・ランサムウェアのリスクを可視化>+
<資産管理>

<セキュリティ教育>

標的型攻撃メール訓練

Security NEWS TOPに戻る
バックナンバー TOPに戻る

「資料ダウンロードはこちら」ボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

「お問い合わせはこちら」ボタン

サービスに関する疑問や質問はこちらからお気軽にお問合せください。


SQATセキュリティ診断サービスの告知画像

BBSecロゴ

リクルートページtop画像

セキュリティトピックス告知画像

クロスサイトリクエストフォージェリ(CSRF/XSRF)とは?狙われやすいWebアプリケーションの脆弱性対策

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

今回は、クロスサイトスクリプティング(XSS)のような「大物の脆弱性」と比較すると、一見地味に見えてしまう「CSRF」の意外な危険性について取り上げます。CSRFの脆弱性リスクやXSSとの違い、さらに実際の診断の現場での検出頻度や、見つかった際に行うべき対応、予防策についてもご紹介します。安全なWebサイト運用のために必読です。

クロスサイトリクエストフォージェリとは

クロスサイトリクエストフォージェリ(Cross Site Request Forgery)は、Webアプリケーションの脆弱性の一つで、略称「CSRF」とも呼ばれます。読み方は「シーサーフ」です。英語で「Cross」は「X」と表記することがあるため、CSRFを「XSRF」と表記することもあります。

「クロスサイト」は「Webサイトをまたぐ」という意味で、「リクエスト」はユーザがWebアプリケーションなどに処理を要求すること、「フォージェリ」には「偽造品」などの意味があります。CSRFの脆弱性を悪用することで、ユーザが意図していないリクエストを強制的に行わせることが可能になります。攻撃者は罠として用意した偽造サイトを用いてユーザーに意図しないリクエストを強制的に送信させます。結果として、ユーザーの認証情報を利用した不正な操作や、個人情報の流出が引き起こされる可能性があります。

クロスサイトリクエストフォージェリとクロスサイトスクリプティングの違い

クロスサイトリクエストフォージェリと似た名前の脆弱性に「クロスサイトスクリプティング(XSS:Cross Site Scripting)」があります。クロスサイトリクエストフォージェリとクロスサイトスクリプティングは、どちらもサイトを横断(Cross Site)してサイバー攻撃が行われる点が共通していますが、発見される頻度や攻撃による影響、対策方法は異なります。

  • XSS:Webサイトに悪意のあるスクリプトを埋め込む
  • CSRF:ユーザの意図しないリクエストを強制的に実行させる

脆弱性診断の現場にみるCSRFの実態

あなたがいまご覧になっているサイト「SQAT.jp」を運営する株式会社ブロードバンドセキュリティでは、日々、さまざまなお客様のシステムに対して脆弱性診断を行っています。

ブロードバンドセキュリティが2024年上半期に総数3,536のシステムに対して行った脆弱性診断の結果、CSRFを含む「セッション管理関連の脆弱性」は15%のシステムで検出され、その中にCSRFは44%含まれていました。つまりCSRFの脆弱性が存在したシステムは全体の6%になります。ここの数字をどうとらえたらよいのか、このあと、CSRFの攻撃例やリスクを紹介しながら考えていきます。

CSRFによる攻撃と被害例

CSRFの脆弱性を悪用した攻撃事例としては、掲示板等に本人が全く意図していない書き込みをさせた例(「遠隔操作ウイルス事件」や「はまちちゃん事件」が有名)があります。

もしCSRFが脆弱性診断で見つかったら、すぐに対応が必要な場合もあります。特に、個人情報の登録や変更などに関わるログイン後のページで発見された場合は、すぐに修正を行わなければなりません。

意図しない掲示板の書き込み以外にも、CSRFの脆弱性を悪用すれば、たとえば「サイトAにログインして会員登録を行っているつもりが、実際には攻撃者が罠として用意したサイトBにログインしており、そこで個人情報を抜き取られる」ような攻撃が行われる危険性もあります。もしそうなれば、サイト運営者としての責任が厳しく問われることは間違いありません。

対策を怠ると他サイトへの遷移ができなくなる可能性も

また、主要なWebブラウザは、XSSやCSRFなどからの保護のために、脆弱性のあるWebサイトをブラウザに表示させない仕様を整えつつあります。たとえばGoogle Chromeは、Chrome 80以降、サイトを越えてCookie情報をやり取りするためのSameSite属性に対して制限を加え、CSRFを防御可能な設定値のみを許容する方向へと段階的に進んでいます*16 。CSRFを防御可能な設定値については他の主要ブラウザも同様の方向に進んでおり、Webアプリケーション開発においてCSRF対策は(他の対策とともに)取らないわけにはいかないものの一つとなりつつあります。

セキュリティ企業が見るCSRFのリスクとは

なお、わたしたちセキュリティ診断サービス会社にとってCSRFとは、一定頻度で検出されるものの、CSRF単体ではそれほどリスクは大きくない脆弱性です。事実、CSRFだけを使った攻撃事例はあまり多くないのです。

CSRFで注意すべきは、他のサイバー攻撃手法と組み合わされることでリスクや被害が大きくなることです。

たとえば「セッションフィクセーション」と呼ばれるセッションIDを強制・固定化する攻撃と、CSRFの脆弱性を悪用した攻撃を組み合わせることで、「セッションハイジャック」と呼ばれるサイバー攻撃が成立すれば、セッションの乗っ取りが行われ、オンラインバンキングでの不正送金などにつながる可能性があります。

CSRFのリスクは低い? 高い?

CSRFだけを考えてしまうとリスクはそれほど高くないため、対応は後回しにされがちです。しかし実際のサイバー攻撃はそう単純ではなく、いくつもの方法が複合されて行われます。「見つかったらすぐに対応が必要な脆弱性のひとつ」とわたしたちが考える理由がそこにあります。

CSRFは、単体では攻撃者にとってそれほど使い勝手の良い脆弱性ではありません。しかし、CSRFはいわば、自身では主役は張れないものの、サイバー攻撃の主役を引き立てるために機能する、名脇役のような脆弱性と言えるかもしれません。

CSRF脆弱性への対策

最も効果的な対策は「トークン」呼ばれる推測困難な文字列の使用です。

  • ユニークな推測困難な文字列を生成
  • リクエスト時に追加検証
  • PHP、Java、ASP.NETの主要フレームワークで実装可能

CSRFの脆弱性を悪用した攻撃で最も警戒すべきはログインしたユーザをターゲットとした攻撃になります。この場合、ログインしたユーザからの正しいリクエストであることを証明するために、「トークン」を使って確認を行うことや再度の認証を行うこと*2などで攻撃を防ぐことができます。

事実、PHP、Java、ASP.NET等の開発言語で提供されている、Webアプリケーションフレームワーク(Laravel、Spring等)は、CSRFの脆弱性を悪用した攻撃を防ぐために、ユニークなトークンを発行する仕組みを持つようになっています。しかし、それでもなおCSRFの脆弱性が見つかることがあるのです。これはどうしてでしょう。

注意!トークン実装の落とし穴

フレームワークに機能があっても、実際のコーディング時に1行追加することを忘れがちです。「機能がある=安全」ではありません。

開発フレームワークがトークンを発行する機能を持っているのにWebアプリケーションでCSRFの脆弱性が発見される理由は、単純そのもので「そもそもトークンを発行するための1行がかかれていない」*3から、ということが多いのです。「機能があるから大丈夫だろう」という思い込みが思わぬリスクを招きます。

前半で、ブロードバンドセキュリティが行った脆弱性診断の結果、約6%でCSRFの脆弱性が検出されたとお伝えしましたが、リスクを知り、適切な対策を確実に実装することで、この数字をもっと少なくすることができるでしょう。

まとめ:CSRFは名脇役、されど油断大敵

  • CSRFとは、「シーサーフ」と呼ばれる、攻撃者が罠として用意したサイトを用いて、ユーザが意図しないリクエストを強制的に行わせることを可能にする脆弱性です。
  • CSRFは単独では大きな脅威ではありませんが、他の攻撃手法と組み合わさることで深刻なセキュリティリスクになり得ます。
  • CSRFとXSSは、どちらもサイトを横断してサイバー攻撃を行う点だけは共通していますが、発見頻度やリスク、対策方法は異なります。
  • 定期的な脆弱性診断と、最新のセキュリティ対策が何より重要です。

Security NEWS TOPに戻る
バックナンバー TOPに戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像