投稿日:

【注意喚起】至急更新プログラムを適用しましょう!
Microsoft 製品の脆弱性(2025年3月)

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

お問い合わせ

お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

概要

2025年3月12日(日本時間)に、Microsoft 製品に関するセキュリティ更新プログラム(月例)が公表されました。これらの脆弱性が悪用されると、アプリケーションの異常終了や攻撃者によるパソコンの制御など、深刻な被害が発生するおそれがあります。特に、以下のCVE脆弱性に関しては Microsoft 社が実際の悪用事実を確認済みであり、今後被害が拡大する可能性があるため、速やかに更新プログラムを適用する必要があります。

  • CVE-2025-24983
  • CVE-2025-24984
  • CVE-2025-24985
  • CVE-2025-24991
  • CVE-2025-24993
  • CVE-2025-26633

脆弱性の詳細と影響

CVE-2025-24983

(Base Score:7.0 HIGH)
Windows Win32 カーネルサブシステムにおける「Use after free」脆弱性。悪用されると、攻撃者がローカルで権限昇格を行い、システムの制御権を取得する可能性があります。

CVE-2025-24984

 (Base Score::4.6 MEDIUM)
Windows NTFS における、ログファイルへの機密情報挿入に関する脆弱性。物理的な攻撃と組み合わせることで、認証されていない攻撃者が情報漏洩を引き起こすリスクがあります。

CVE-2025-24985

(Base Score:7.8 HIGH)
Windows Fast FAT ドライバーにおける整数オーバーフローまたはラップアラウンドの問題。悪用されると、攻撃者がローカルで任意のコード実行を行う可能性があり、システム制御に至るリスクがあります。

CVE-2025-24991

(Base Score:5.5 MEDIUM)
Windows NTFS の領域外読み取り(Out-of-bounds read)により、システム内の情報が漏洩する脆弱性。権限を持つ攻撃者がローカルで情報を取得するリスクがあります。

CVE-2025-24993

(Base Score: 7.8 HIGH)

Windows NTFSにおけるヒープベースのバッファオーバーフロー脆弱性。悪用されると、認証されていない攻撃者がローカルで任意のコード実行を行う可能性があります。

CVE-2025-26633

(Base Score: 7.0 HIGH)

Microsoft Management Consoleにおける不適切なニュートラリゼーションの問題。これにより、認証されていない攻撃者がローカルでセキュリティ機能を回避する恐れがあります。

推奨される対策

更新プログラムの自動適用

Windows Update を利用する
Microsoft は通常、Windows Updateを通じて自動的にセキュリティ更新プログラムを配信しています。最新の更新プログラムを確認し、適用することで、上記脆弱性の悪用リスクを低減できます。

更新管理システムの利用
組織で管理している場合は、Microsoft 社のセキュリティ更新プログラム(月例)の情報を参照の上、早期に更新プログラムの展開を行ってください。

注意点

再起動の必要性
更新プログラムの適用後、システムの再起動が必要な場合があります。事前にスケジュールを調整し、業務への影響を最小限に抑えましょう。

Windows Update の利用方法
詳細な手順については、Microsoftの「Windowsの更新」や「PCを最新の状態に保つ」方法を参照してください。

まとめ

Microsoft 製品におけるこれらの脆弱性は、悪用されると深刻な被害を引き起こす可能性があるため、至急更新プログラムの適用が求められます。Windows Updateを通じた自動更新の確認と、組織内での更新管理体制の整備により、セキュリティリスクの低減に努めてください。

参考情報】

【関連:ウェビナー開催決定】

4月23日に「WindowsEOL」に関連したウェビナーを開催いたします。
お申し込み開始は3月24日を予定しております。ぜひお申し込みください。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバーインシデント緊急対応

サイバーセキュリティ緊急対応電話受付ボタン
SQAT緊急対応バナー

ウェビナー開催のお知らせ

  • 2025年3月19日(水)13:00~14:00
    ランサムウェア攻撃の脅威~感染リスクを可視化する防御策の実践を紹介~
  • 2025年3月26日(水)13:00~14:00
    予防で差がつく!脆弱性診断の話~脆弱性による脅威とその対策~
  • 2025年4月16日(水)14:00~15:00
    知っておきたいIPA『情報セキュリティ10大脅威 2025』~セキュリティ診断による予防的コントロール~

    • 最新情報はこちら

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。
    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    投稿日:

    脆弱性診断の必要性とは?ツールなど調査手法と進め方

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    企業が施すセキュリティ対策は広範かつ複雑になっています。外部からのサイバー攻撃や、内部での情報の持ち出しなど、セキュリティの脅威が多様化しているためです。企業が保護すべき情報、アプリケーション、機器の種類・数などが拡大していることも理由に挙げられます。

    「脆弱性診断」ではアプリケーションやサーバ、ネットワークに、悪用できる脆弱性がないかを診断します。本記事では、ライフサイクル別にどんな診断が必要か、ツール診断と手動診断、ペネトレーションテストとの違いなどを解説します。

    脆弱性診断とは

    脆弱性診断とは、企業・組織のシステムに内在するセキュリティ上の既知の欠陥(=脆弱性)を特定する検査です。Webアプリケーション、スマホアプリケーション、サーバ、ネットワークなど診断対象により様々な脆弱性診断があります。セキュリティ上の問題点を可視化することで、情報漏洩やサービス停止等のセキュリティ事故を防ぐために、どのような対策を実施すればよいか検討するのに役立ちます

    脆弱性のリスクについてはこちらの関連記事もあわせてご参照ください。
    BBSec脆弱性診断結果からみる― 脆弱性を悪用したサイバー攻撃への備えとは ―
    定期的な脆弱性診断でシステムを守ろう!-放置された脆弱性のリスクと対処方法-
    既知の脆弱性こそ十分なセキュリティ対策を!
    今、危険な脆弱性とその対策―2021年上半期の診断データや攻撃事例より―

    脆弱性診断の必要性

    情報資産を守るため

    CIA説明画像

    情報のセキュリティの3要素、「機密性」「完全性」「可用性」を守るためにも、脆弱性診断は必要な理由の一つです。

    「機密性」…限られた人だけが情報に接触できるように制限をかけること。
    「完全性」…不正な改ざんなどから保護すること。
    「可用性」…利用者が必要なときに安全にアクセスできる環境であること。

    これらの要素を適切に満たすことが、情報セキュリティを担保する上では欠かせないものとなります。

    情報セキュリティ事故を未然に防ぐため        

    攻撃者より先にシステムに隠れた脆弱性を検出して対策することで、攻撃や事故発生の確率を下げることができます。ひとたび個人情報やクレジットカード情報の漏えい事故が発生すれば、さまざまな対応・復旧費用や対策工数の発生は避けられません。ブランドの毀損や企業イメージの低下も招きます。

    サービス利用者の安心のため

    パソコンやインターネットを補助的に利用していた昔と異なり、現在はWebサービスやアプリケーションそのものが利益を生み出しています。生活や経済がネットワークなしに成り立たない現在、脆弱性診断などのセキュリティ対策は、事業を継続しサービス利用者の安心を守るため、欠かせないものとなっています。

    脆弱性診断の種類

    診断対象により、さまざまな脆弱性診断サービスがあります。まず、企業が開発したWebアプリケーションが挙げられます。問合せや会員登録といった、入力フォームの入出力値の処理、ログイン機能の認証処理などに対して、幅広く網羅的に脆弱性診断が行われます。

    次に、そのWebアプリケーションを実行するサーバやネットワーク機器、OSやミドルウェアに脆弱性がないか検査するプラットフォーム診断があります。

    アプリケーションの脆弱性診断には、既知の攻撃パターンを送付して対象システムやソフトウェアの挙動を確認する「ブラックボックステスト」という方法があります。 「ブラックボックステスト」では、実装時における脆弱性は検出できますが、そもそもプログラムの設計図であるソースコード中に存在する脆弱性を網羅的には検査することには適していません。

    この場合、ソースコード開示のもと「ソースコード診断」する方法が有効です。「ソースコード診断」は「ブラックボックステスト」に対して 「ホワイトボックステスト」とも呼ばれます。また、「ソースコード診断」はさらに、プログラムを実行しないで行う「静的解析」と、実行して行う「動的解析」に分類できます。

    ソースコード診断についてはこちらの記事もあわせてご参照ください。
    ソースコード診断の必要性とは?目的とメリットを紹介

    そのほか、近年増加の一途をたどるスマホアプリケーションIoT機器を対象とした脆弱性診断もあります。

    脆弱性診断画像

    (株式会社ブロードバンドセキュリティのサービス分類に基づく)

    脆弱性診断とペネトレーションテストの違い

    脆弱性診断とペネトレーションテストは、双方とも脆弱性などを検出する点では似ていますが、目的と方法が少し異なります。脆弱性診断は既知の脆弱性を網羅的に検出することを目的としています。

    ペネトレーションテストは、「侵入テスト」の名前のとおり、疑似的なサイバー攻撃を仕掛けてセキュリティ対策の有効性を評価するために実施します。技術的アプローチだけでなく、対象となる組織の構成や、業務手順、ときには物理的な施設の特徴すら加味して、攻撃シナリオを作成する「レッドチーム演習」と呼ばれるテストを実施することもあります。

    シナリオに沿ってペネトレーションテスターが攻撃を実行し、システムに侵入できるか、ターゲットとする資産(多くは知的財産)にたどり着くことができるかどうかなどをテストします。ペネトレーションテストは脆弱性診断と比べて、技術力はもちろん、より幅広い見識やセンスが求められます。

    脆弱性診断のやり方(方法)

    脆弱性診断にはツールを使って自動で診断する「ツール診断」とエンジニアが診断する「手動診断」があります。

    ツール診断

    「ツール診断」では、セキュリティベンダーが、商用または自社開発した脆弱性診断ツールを用いて脆弱性を見つけ出します。脆弱性診断ツールと呼ばれるコンピュータプログラムを実行して、その応答から脆弱性を検知していくもので、自動診断とも呼ばれます。機械的に不正なHTTPリクエストを送り付ける疑似攻撃を行いますが、クラッカーによる攻撃とは異なり、あくまでも 脆弱性を見つけ出すことが目的であるため、システムを破壊することはありません。

    CPEサービスリンクバナー

    ツール診断は機械的な検査であるため、過検知や誤検知なども含まれることが多く、その結果は担当者が補正することで正確な情報が得られます。比較的手軽に行えることから、開発段階で実施されることも多い診断です。また、定期的な簡易診断として用いることで、コストを低減しつつ最新の状態を保つことができるといった利用方法もあります。

    脆弱性診断ツールとは

    脆弱性診断ツールには、たとえばWebアプリケーション診断の場合に、検査コードと呼ばれる不正なHTTPリクエストを送信し 擬似攻撃するプログラムがあります。

    手動診断

    技術者がプロキシツールを介してWebブラウザでサイトにアクセスした際に発生するリクエストを書き換える形で、脆弱性を確認する方法です。ツール診断と比べ検査項目も広く、また細かな検査ができるのが特徴です。

    手動診断は、経験と専門性を持つ技術者によって実施され、機械的な判断では見落としてしまう画面遷移・分岐にも対応できるメリットがあります。発見した脆弱性の再現手順や、最新動向を加味した対策方法などを提示してくれるのも、手動診断ならではの特徴と言えます。

    ツール診断と手動診断は、どちらが優れていると比較するものではありません。それぞれの特長を生かし、予算に合わせて組み合わせることで、コストパフォーマンスを発揮できるでしょう。

    脆弱性診断サービスの流れ

    セキュリティベンダーに脆弱性診断を依頼する際は、まず
    診断する範囲    を決めます。組織にとって重要度が高い部分、すなわちサイバー攻撃を許してはいけないシステムやサーバ、Webアプリケーションを選定します。

    診断が終了するとベンダーからレポートが提供され、報告会が行われることもあります。レポートに記載された脆弱性には深刻度などがスコア化されていることもあります。内容に応じて優先度をつけて、脆弱性をふさぐ必要があります。

    チームによる診断・分析・保守画像

    継続的なセキュリティ対策の実施を

    脆弱性診断は一度実施したらそれで終わり、というものではありません。脆弱性診断により発見された問題に対し対策を実施することで、より堅牢なシステム・環境・体制を構築することができます。

    重要なのは、システムライフサイクルの各フェーズで、適切な診断を実施し、洗い出されたセキュリティ上の問題に優先順位をつけて、ひとつひとつ対処することです。診断ツールの検討に関しては自組織の環境やシステム特性に合わせたものを選定し、継続的なセキュリティ対策に有効活用できるようにしましょう。

    まとめ

    企業の情報システムが複雑かつ大規模になった現在、カード情報や個人情報・機密情報を狙う内外からの脅威に対して、企業もさまざまな予防手段を打っていく必要があります。情報システムやそれを取り巻く環境・体制が堅牢であるかどうかを検査、評価する方法として「脆弱性診断」があります。

    ・脆弱性診断とは企業・組織のシステムに内在するセキュリティ上の既知の欠陥(=脆弱性)
     を特定する検査
    ・Webアプリケーション、スマホアプリケーション、サーバ、ネットワークなど診断対象により様々な脆弱性診断がある
    ・脆弱性診断を実施し洗い出されたセキュリティ上の問題に優先順位をつけて、ひとつひとつ対処することが重要である

    まずは無料で資料をダウンロード

    サービス内容が記載されている資料がダウンロードできるURLをお送りいたします。
    見積もりについてのご相談は、お問い合わせよりご連絡ください。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    投稿日:

    診断結果にみる情報セキュリティの現状 ~2023年上半期 診断結果分析~

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    SQAT® Security Report 2023-2024年秋冬号

    2023年上半期診断結果分析サムネ画像(PCの画面イメージ)

    BBSecの脆弱性診断

    システム脆弱性診断で用いるリスクレベル基準

    BBSecのシステム脆弱性診断は、独自開発ツールによる効率的な自動診断と、セキュリティエンジニアによる高精度の手動診断を組み合わせて実施しており、高い網羅性とセキュリティ情勢を反映した診断を実現するため、セキュリティエンジニアおよびセキュリティアナリストが高頻度で診断パターンを更新し、診断品質の維持・向上に努めている。検出された脆弱性に対するリスク評価のレベル付けは、右表のとおり。

    脆弱性診断サービスの基本メニューである「Webアプリケーション脆弱性診断」・「ネットワーク脆弱性診断」の2023年上半期(1月~6月)実施結果より、セキュリティ対策の実情についてお伝えする。

    2023年上半期診断結果

    Webアプリ/NW診断実績数

    2023年上半期、当社では12業種延べ553企業・団体、3,396システムに対して、脆弱性診断を行った(Webアプリケーション/ネットワーク診断のみの総数)。

    2023年上半期システム脆弱性診断 脆弱性検出率の棒・円グラフ

    9割のシステムに脆弱性

    「Webアプリケーション診断結果」の棒グラフのとおり、Webアプリケーションに
    おいて、なんらかの脆弱性が存在するシステムは9割前後で推移を続けている。検出された脆弱性のうち危険度レベル「高」以上(緊急・重大・高)の割合は17.5%で、6件に1件近い割合で危険な脆弱性が検出されたことになる。

    一方、ネットワーク診断では、なんらかの脆弱性があるとされたシステムは約半数だったが、そのうちの危険度「高」レベル以上の割合は23.8%で、5件に1件以上の割合であった。

    以上のとおり、全体的な脆弱性検出率については、前期と比較して大きな変化はない。当サイトでは、「2023年上半期カテゴリ別脆弱性検出状況」とし、検出された脆弱性を各カテゴリに応じて分類しグラフ化している。

    Webアプリケーション診断結果

    高リスク以上の脆弱性ワースト10

    リスクレベル高以上の脆弱性で検出数が多かったものを順に10項目挙げてみると、下表のような結果となった。

    長年知られた脆弱性での攻撃

    「Webアプリ編」について、1位、2位は前期同様「クロスサイトスクリプティング(以降:XSS)」と「HTMLタグインジェクション」となった。3位以下は、脆弱性項目は前期からあまり変化はないものの、「SQLインジェクション」が順位を上げた。

    3位の「サポートが終了したバージョンのPHP使用の可能性」など、サポートが終了したバージョンのコンポーネント(プログラム言語、ライブラリ等)の使用がワースト10の4項目を占めている。サポート終了とはすなわち、新たに脆弱性が発見された場合でもコンポーネントの提供元は基本的に対処しないということであり、危殆化に対する利用者側での対策が困難となるため、継続利用は危険である。例えば、サポートが終了した製品についての脆弱性情報の公開が契機になり、攻撃コードが公開され、攻撃が活発化することも考えられる。最新バージョンへのアップデートを迅速に、定期的に実施すべきである。

    ネットワーク診断結果

    高リスク以上の脆弱性ワースト10

    ネットワーク診断結果に関しても、リスクレベル高以上の脆弱性で検出数が多かったものを順に10項目挙げてみると、下表のような結果となった。

    高リスク以上の脆弱性ワースト10(2023年上半期)NW編の表

    アクセス制御が不適切な認証機構の検出がランクイン

    「ネットワーク編」のワースト10については、ワースト4までが前期と変わらず、5位、6位は順入れ替えという結果で、あまり大きな変動は見られなかったが、8位の「アクセス制御が不適切な認証機構の検出」が前期圏外からランクインした。「アクセス制御が不適切な認証機構」には、特権アカウントやデフォルトアカウント等を使用してログインできる脆弱性も含まれる。特権アカウントがデフォルトのまま、もしくは推測されやすい認証情報で設定されていた場合はさらに危険である。デフォルトアカウントやデフォルトパスワードを使用せず、推測されにくい複雑なパスワードを設定することや、ログイン画面に対するアクセスを強固に制御すること、特権アカウントは必要最小限のユーザにのみ付与することなどが推奨される。

    カテゴリ別の検出結果詳細についてはこちら

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceのサムネ

    BBsecサムネ

    セキュリティ緊急対応のバナー画像

    セキュリティトピックス告知のサムネ

    投稿日:

    セッション管理の不備/アクセス制御の不備の脆弱性
    -Webアプリケーションの脆弱性入門 3-

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    セッション管理の不備やアクセス制御の不備が存在すると、情報漏えいや不正アクセスのリスクが高まります。本記事では、セッション管理とアクセス制御についての基本的な知識から、脆弱性の概要、脆弱性を悪用した攻撃の手口、そして攻撃を防ぐための対策方法についてご紹介します。

    前回までの内容

    SQLインジェクションは、Webアプリケーションの脆弱性の一つです。攻撃者は不正なSQL文を挿入してデータベースを操作することにより、データベースの内容を改ざんし、顧客の情報を不正に取得します。SQLインジェクション攻撃はSQL文の組み立て方法に問題があり、攻撃者が挿入した不正なSQL文を誤った命令文として認識してしまうことで発生します。攻撃を受けてしまった場合、顧客情報や決済履歴などの機密情報が漏洩する恐れがあり、企業の信用やブランドイメージに大きなダメージを与えます。対策方法ととして、プレースホルダを使用したSQL文の構成、特殊文字のエスケープ処理、SQLエラー情報の非表示化、アカウントの適切な権限付与などがあります。これらの対策は、データベースのセキュリティを維持し、攻撃を防ぐために重要です。また、SQLインジェクションの脆弱性を検出する方法として、入力フィールドに本来許可されていない文字列を設定し、Webアプリケーションの反応を観察する方法があります。このようなテストを通じて、企業のセキュリティ担当者がSQLインジェクションの脆弱性に対する問題を理解し、社内で情報を共有し、適切な対策とることで、攻撃を未然に防ぐことが可能になります。また、Webサイトの機能追加や新しい攻撃手法の発見等によって生まれた新たな脆弱性には、定期的にセキュリティ診断を実施することで適切な脆弱性対策をすることができます。

    前回記事「SQLインジェクションの脆弱性 -Webアプリケーションの脆弱性入門 2-」より

    セッションとは

    セッションとは、クライアントがサーバに接続してから切断(あるいはログインしてからログアウト)するまでの一連の流れのことです。この一連の流れを管理することをセッション管理と呼びます。セッション管理はユーザの識別や状態の維持のために必要とされます。例えば、オンラインショッピングサイトで商品をカートに追加した際、その情報はセッションとして保存されます。

    セッション管理の不備とは

    セッション管理の不備/アクセス制御の不備の脆弱性(2人とデータの紙アイコンマーク)イメージ

    Webアプリケーションの中には、セッションID(ユーザを識別するための情報)を発行し、セッション管理を行うものがあります。このときセッションIDを固定化できたり、日付・誕生日・ユーザ名で作られたりしているなど、有効なセッションIDが推測可能であるといったセッション管理の不備があると、セッションハイジャックと呼ばれる攻撃が成立する危険性があります。これにより、攻撃者が本来のユーザになりすまして権利を行使することで、プライベートな情報の閲覧や、設定の変更などが行われる可能性があります。

    セッション管理の不備の脆弱性を悪用した攻撃

    セッションハイジャック

    セッションハイジャックは、攻撃者が他のユーザのセッションIDを盗み取り、そのIDを使用してユーザのアカウントに不正アクセスする行為を指します。有効なセッションIDを推測あるいは奪取する手段が存在している場合に、セッションハイジャックが成立するリスクが高まります。

    セッションハイジャックが成立するリスクを高める要因となる脆弱性および攻撃方法には、以下のようなものがあります。

    セッションIDの固定化(セッションフィクセーション)

    攻撃者が事前にセッションIDを設定し、そのIDをユーザに強制的に使用させることができる脆弱性を悪用してユーザのセッションを乗っ取る攻撃方法です。この攻撃は、ユーザがログインする前にセッションIDが設定され、その後も変更されない場合に発生します。

    セッションIDの推測

    セッションIDが日付や誕生日、ユーザ名で構成されていたり、連番で発行されていたりするなど、簡単に予測できるものであった場合、攻撃者はそのIDを推測してユーザのアカウントにアクセスできてしまいます。また、セッションハイジャックの原因は多岐にわたり、他の脆弱性を悪用されることで有効なセッションIDが奪取される場合もあります。

    Webアプリケーション/ネットワークの脆弱性の悪用

    攻撃者によりWebサイトの脆弱性を突かれ、不正にユーザとWebサイトの間に介入されたり、ネットワークを盗聴されたりするなどして、ユーザのセッションIDを奪取される可能性があります。代表的な攻撃手法のひとつには、以前の記事で解説した「クロスサイトスクリプティング」も挙げられます。また、通信のやり取りではセッションIDが暗号化されておらず、平文のままデータのやり取りをしている場合にも、攻撃者に狙われやすくなります。

    セッション管理の不備の脆弱性を悪用した攻撃を防ぐための対策方法

    セッションIDの取り扱いや、セッションの有効期限の設定などに問題がある場合、攻撃者がセッションを乗っ取ることが容易になり、機密情報を盗み見られたり、不正な操作をされたりするなどのリスクが発生します。では攻撃を防ぐためにどのような対策方法をとればよいのでしょうか。以下に例をご紹介いたします。

    セッションIDを推測困難なものにする

    攻撃者によってセッションIDを推測されてしまった場合、そのユーザになりすまして、本来アクセスできないサイトに第三者がアクセスできてしまう恐れがあるため、セッションIDは推測困難な値にする必要があります。

    ログイン、ログアウトといった処理を行う際は、新しいセッションIDを発行する

    ログイン時にセッションIDの正当性を検証することで、攻撃者があらかじめ用意したセッションIDを強制的に使用させられることを防ぎます。

    セッションハイジャック対策

    有効なセッションIDを奪われないようにすることだけでなく、セッションIDを奪われたとしてもセッションハイジャックを成立させないような環境を作るのが対策のポイントです。

    • セッションIDとワンタイムトークン付与によるユーザの確認:セッションIDとは別にログイン成功後にワンタイムトークンを発行し、画面遷移ごとにサーバ側で管理しているトークンと照合します。発行するワンタイムトークンは、推測困難かつランダムな文字列で構成する必要があります。

    • IPアドレスによるユーザの確認:ユーザを特定する情報として、IPアドレスを使用することが可能です。さらに、セッションIDをCookieで管理している場合には、Cookieにsecure属性およびHttpOnly属性を設定することで、攻撃者によるCookie情報奪取のリスクを緩和できます。

    対策例としては、上記のとおりですが、セキュリティ専門家への相談も重要です。現在の技術環境では、常に新しい脅威が出現するため、対策は継続的に見直し、強化する必要があります。

    アクセス制御の不備とは

    アクセス制御の不備とは、Webアプリケーションにおいて、本来付与されている権限の範囲内でのみ動作するような制御が実装されていない問題を指します。例えば、一般ユーザとしてログインした際に管理者としての権利を行使できてしまう権限昇格、パラメータを操作することで、本来制限された領域外のファイルやディレクトリにアクセスすることが可能となるパストラバーサルなどです。不正アクセスや意図しない情報の公開をはじめとした、様々なリスクが生じます。

    アクセス制御の不備の脆弱性

    権限昇格

    ログインすることなくユーザとしてシステムに対する操作を実行できたり、一般ユーザが本来与えられていない上位権限(管理者権限等)を一時的に取得することで、システムに対する不正な操作や機能の実行が可能になったりする問題。

    パストラバーサル

    外部からのパラメータでWebサーバ内のファイル名を直接指定するWebアプリケーションにおいて、URLパラメータを操作して不正なパス名を渡すことで、本来アクセスを許可されていないディレクトリやファイルに対して、攻撃者がアクセス可能になる問題。

    不適切な情報の出力

    本来権限が与えられているユーザのみアクセスできるものに対して、不正なユーザが本来許可されていない特定のURLにアクセスしたり、操作を行ったりすることで、外部に公開されていない情報(機密情報・ユーザ情報)が閲覧可能になる問題。

    アクセス制御の不備を悪用した攻撃を防ぐための対策方法

    主な対策方法は以下の通りです。

    権限昇格

    権限管理を行う際は、外部から値を操作可能なパラメータは使用せずサーバ側で行う実装とし、権限による機能制限を実装する際には、各機能へのアクセス時に実行者のアカウントと権限のチェックを実施します。

    パストラバーサル

    アプリケーションが取得するファイルは既定のディレクトリに保存し、アクセスするファイルパスを操作できないようにし、サーバ上でアプリケーションを実行するアカウントのアクセス権限を見直します。また、あらかじめ定義したホワイトリストに基づいた入力値検証を実施し、ファイル名に不正な文字列が含まれる場合は、適切なエラー処理を行うことが推奨されます。

    不適切な情報の出力

    外部への公開が不要なディレクトリやファイルは、外部からアクセスできないように適切なアクセス制御を行います。ログイン認証によるアクセス制御を実施する場合には、適切なセッション管理を伴った認証機構を実装してください。また、アプリケーションの動作に必要がないディレクトリやファイルは削除することを推奨します。

    まとめ

    セッション管理の不備/アクセス制御の不備の脆弱性(3人と上部にランプがついたアイコンマーク)イメージ

    セッション管理の不備は、セッション管理に不備があることで、ユーザになりすまし、プライベートな情報の閲覧や、設定の変更などができてしまう問題です。対策方法としては、セッションIDを容易に推測できないものにし、ワンタイムトークンの発行やIPアドレスによるユーザの確認を行うなど、適切なセッション管理を実装することで、ユーザの情報やデータを安全に保護することができます。

    アクセス制御の不備は、Webアプリケーションにおいて、本来付与されている権限の範囲内でのみ動作するような制御が実装されていない問題を指します。ユーザに対して、あらかじめ与えられた権限から外れた操作を実行できないようにポリシーを適用することにより、情報の漏えいやシステムの不正操作を防ぎます。

    セキュリティ対策を適切に実施することが、Webアプリケーションの安全性を高めるための鍵となります。ユーザの情報やデータを保護するために、セキュリティ専門家への相談、常に最新のセキュリティ情報の収集をすることなどが重要です。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    セキュリティトピックス動画申し込みページリンクへのバナー画像

    投稿日:

    Webアプリケーションの脆弱性入門

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    人がアプリケーションを持っているイラスト

    Webアプリケーションは私たちの日常生活に欠かせない存在となっています。しかし、それらのWebアプリケーションが攻撃者からの脅威にさらされていることをご存知でしょうか?Webアプリケーションに脆弱性が存在すると、悪意のある第三者によって個人情報や企業の機密情報が漏洩するリスクが生じます。この記事では、Webアプリケーションの脆弱性の種類について解説します。

    脆弱性とは

    脆弱性とは(ポイントマークとその周りに人がいる)イメージ

    脆弱性とは、プログラムの不具合や設計上のミス等によるバグが原因となって発生したセキュリティ上の欠陥や弱点のことを指します。Webアプリケーションに脆弱性が存在する場合、攻撃者がシステムに侵入し、機密情報を盗み出したり、サービスを乗っ取ったりするリスクが生じます。企業はWebアプリケーションの脆弱性を理解し、それに対処するための適切な対策を講じる必要があります。

    脆弱性の種類

    脆弱性にはさまざまな種類があります。以下に代表的な例を挙げます。

    1. SQLインジェクション

    データベースを使って情報を処理するWebアプリケーションは、その多くがユーザからの入力値をもとにデータベースへの命令文を構成しています。SQLインジェクションは、攻撃者がWebフォームなどの入力欄に特定のコードを入れることで不正な命令文を構成し、データベースを不正利用できてしまう脆弱性です。これを悪用することで、例えば、データベースの情報を盗んだり、改ざんしたり、消去したりできる可能性があります。

    2. クロスサイトスクリプティング(XSS)

    クロスサイトスクリプティング(XSS)は、ネットバンキングや掲示板のように、ユーザから入力された値を処理して出力するWebページに攻撃者が悪意のあるスクリプトを埋め込むことで、Webページを閲覧したユーザのWebブラウザ上でスクリプトを実行させることができる脆弱性です。これを悪用されると、ユーザが意図しない情報の送信や表示ページの改ざんなどのリスクが発生します。

    3. クロスサイトリクエストフォージェリ(CSRF)

    クロスサイトリクエストフォージェリ(CSRF)は、攻撃者が罠として用意した偽サイトを用いてリンクや画像をクリックさせることで、ユーザが意図していないリクエストを強制的に行わせることができる脆弱性です。例えば、SNSで「いいね!」をする、銀行の振込操作など、被害者がログインしているWebサービスの操作を攻撃者が悪用することが可能です。

    4. セッション管理の不備

    Webアプリケーションの中には、セッションID(ユーザを識別するための情報)を発行し、セッション管理を行うものがあります。このセッション管理に不備があることで、セッションIDを固定化できたり、有効なセッションIDが推測可能だったりすると、セッションハイジャックと呼ばれる攻撃が成立する危険性があります。これにより、攻撃者が本来のユーザになりすまして権利を行使することで、プライベートな情報の閲覧や、設定の変更などが行われる可能性があります。

    5. アクセス制御の不備

    Webアプリケーションにおいて、本来付与されている権限の範囲内でのみ動作するような制御が実装されていない問題を指します。例えば、一般ユーザとしてログインした際に管理者としての権利を行使できてしまう権限昇格、パラメータを操作することで、本来制限された領域外のファイルやディレクトリにアクセスすることが可能となるパストラバーサルなどです。不正アクセスや意図しない情報の公開をはじめとした、様々なリスクが生じます。

    脆弱性を悪用した攻撃による影響

    脆弱性が悪用されると、企業に深刻な影響が及ぶ恐れがあります。脆弱性が引き起こす可能性のある影響の例を、以下に示します。

    機密情報の漏洩

    攻撃者は、脆弱性を利用して機密情報を盗み出すことができます。クレジットカード情報や個人情報など、大切な情報が漏洩することで、企業の信頼性に係る問題や法的な問題が発生する可能性があります。

    データの改ざん

    脆弱なWebアプリケーションは、攻撃者によってデータの改ざんが行われる可能性があります。データの改ざんによって、Webアプリケーションの正確性が損なわれたり、信頼性が低下したりする可能性があります。

    サービスの停止または遅延

    脆弱性を悪用されると、サービスの停止、遅延、またはデータベースの消去といった、システム全体に影響が及ぶ被害を受ける恐れがあり、企業のビジネス活動に重大な影響が生じる可能性があります。

    金銭的な損失

    脆弱性のあるWebアプリケーションは、企業にとって金銭的な損失をもたらす可能性があります。攻撃者による不正アクセスでデータが盗難された結果、企業に損害賠償責任が生じる場合があります。

    企業の信頼喪失

    セキュリティに関する問題が公になると、企業の評判に悪影響を与える可能性があります。顧客やパートナーからの信頼を失うことは、企業にとって非常に重大な損失です。

    脆弱性対策の方法

    脆弱性の悪用を防ぐためには、以下のような対策が考えられます。

    正しい権限管理の実施

    ユーザには場面に応じた必要最小限の権限のみ付与することが推奨されます。また、不要な機能やリソースへのアクセスを制限することも脆弱性を軽減させるポイントとなります。

    定期的なセキュリティチェックの実施

    定期的なセキュリティチェックの実施(セキュリティとパソコンの周りに人)イメージ

    Webアプリケーションに対しては、機能追加などのシステム改修時はもちろんのこと、定期的なセキュリティチェックを行うことが重要です。脆弱性スキャンやペネトレーションテストなどの手法を活用し、問題を早期に発見して修正することが大切です。

    最新のセキュリティパッチの適用

    Webアプリケーションを開発・運用する際には、使用しているフレームワークやライブラリの最新のセキュリティパッチを適用することが必要です。これにより、既知の脆弱性やセキュリティ上の問題を解消することができます。

    まとめ

    脆弱性のあるWebアプリケーションは、攻撃の潜在的なターゲットになります。セキュリティ対策を徹底し、脆弱性の早期発見と修正を行うことが重要です。また、さまざまな対策手法やセキュリティツールを活用し、脆弱性を作り込まないセキュアな開発環境作りに取り組んでください。企業のデータや顧客の個人情報を守るためにも、脆弱性対策は欠かせません。今回の記事がお役に立てれば幸いです。

    セキュリティ診断サービスのサムネ

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    セキュリティトピックス動画申し込みページリンクへのバナー画像

    投稿日:

    診断結果にみる情報セキュリティの現状
    ~2022年下半期 診断結果分析~

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    SQAT® Security Report 2023年 春夏号

    2021年下半期診断結果分析サムネ画像(PCの画面イメージ)

    BBSecの脆弱性診断

    システム脆弱性診断で用いるリスクレベル基準

    BBSecのシステム脆弱性診断は、独自開発ツールによる効率的な自動診断と、セキュリティエンジニアによる高精度の手動診断を組み合わせて実施しており、高い網羅性とセキュリティ情勢を反映した診断を実現するため、セキュリティエンジニアおよびセキュリティアナリストが高頻度で診断パターンを更新し、診断品質の維持・向上に努めている。検出された脆弱性に対するリスク評価のレベル付けは、右表のとおり。

    脆弱性診断サービスの基本メニューである「Webアプリケーション脆弱性診断」・「ネットワーク脆弱性診断」の2022年下半期(7月~12月)実施結果より、セキュリティ対策の実情についてお伝えする。

    2022年下半期診断結果

    Webアプリ/NW診断実績数

    2022年下半期、当社では12業種延べ510企業・団体、3,964システムに対して、脆弱性診断を行った(Webアプリケーション/ネットワーク診断のみの総数)。

    2022年下半期システム脆弱性診断 脆弱性検出率の棒・円グラフ

    9割のシステムに脆弱性

    「Webアプリケーション診断結果」の棒グラフのとおり、Webアプリケーションに
    おいて、なんらかの脆弱性が存在するシステムは9割前後で推移を続けている。検出された脆弱性のうち危険度レベル「高」以上(緊急・重大・高)の割合は19.0%で、5件に
    1件近い割合で危険な脆弱性が検出されたことになる。

    一方、ネットワーク診断では、なんらかの脆弱性があるとされたシステムは約半数だったが、そのうちの危険度「高」レベル以上の割合は23.3%で、5件に1件以上の割合であった。

    以上のとおり、全体的な脆弱性検出率については、前期と比較して大きな変化はない。当サイトでは、「2022年下半期カテゴリ別脆弱性検出状況」とし、検出された脆弱性を各カテゴリに応じて分類しグラフ化している。

    Webアプリケーション診断結果

    高リスク以上の脆弱性ワースト10

    リスクレベル高以上の脆弱性で検出数が多かったものを順に10項目挙げてみると、下表のような結果となった。

    高リスク以上の脆弱性ワースト10(2022年下半期)Webアプリ編の表

    長年知られた脆弱性での攻撃

    Webアプリ編ワースト10の上位3項目は、前期と同じで、いまだ検出数が多い。いずれもよく知られた脆弱性ばかりなため、悪用された場合、セキュリティの基本的な対策を怠っている組織と認識され、信用失墜につながる。

    「クロスサイトスクリプティング」に起因する情報漏洩は実際に報告されている。4位の「不適切な権限管理」は前期7位より順位を上げた。この脆弱性は、本来権限のない情報・機能へのアクセスや操作が可能な状態を指し、「OWASP Top 10(2021)」では、首位の「A01:2021-アクセス制御の不備」に該当する。一般ユーザであるはずが、処理されるリクエストを改竄することで管理者権限での操作が可能になる等により、個人情報や機密情報の漏洩・改竄、システムの乗っ取り、といった甚大な被害を招く恐れがある。外部から値を操作できないようにするのはもちろんのこと、各機能に対する適切なアクセス制御を実装することが推奨される。

    ネットワーク診断結果

    高リスク以上の脆弱性ワースト10

    ネットワーク診断結果に関しても、リスクレベル高以上の脆弱性で検出数が多かったものを順に10項目挙げてみると、下表のような結果となった。

    高リスク以上の脆弱性ワースト10(2022年下半期)NW編の表

    SNMPにおけるデフォルトのコミュニティ名の検出

    ネットワーク編のワースト10もほぼお馴染みの顔ぶれであるところ、「SNMPにおけるデフォルトのコミュニティ名の検出」が9位に初ランクインした。SNMPは、システム内
    部のステータスや使用ソフトウェア等の各種情報取得に利用されるプロトコルで、管理するネットワークの範囲をグルーピングして「コミュニティ」とする。コミュニティ名に
    は、ネットワーク機器のメーカーごとに「public」等のデフォルト値がある。SNMPにおけるコミュニティ名はパスワードのようなものであるため、デフォルトのままだと、これ
    を利用して攻撃者に接続され、攻撃に有用なネットワークの内部情報を取得される恐れがある。コミュニティ名にはデフォルト値を使用しないこと、また、SNMPへの接続には強固なアクセス制御を実施することが推奨される。

    カテゴリ別の検出結果詳細についてはこちら

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    セキュリティトピックス動画申し込みページリンクへのバナー画像

    投稿日:

    診断結果にみる情報セキュリティの現状
    ~2022年上半期 診断結果分析~

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    SQAT® Security Report 2022-2023年 秋冬号

    2021年下半期診断結果分析サムネ画像(PCの画面イメージ)

    BBSecの脆弱性診断

    システム脆弱性診断で用いるリスクレベル基準

    当社のシステム脆弱性診断は、独自開発ツールによる効率的な自動診断と、セキュリティエンジニアによる高精度の手動診断を組み合わせて実施している。検出された脆弱性に対するリスク評価のレベル付けは、右表のとおり。

    脆弱性診断サービスの基本メニューである「Webアプリケーション脆弱性診断」・「ネットワーク脆弱性診断」の2022年上半期(1月~6月)実施結果より、セキュリティ対策の実情についてお伝えする。

    2022年上半期診断結果

    Webアプリ/NW診断実績数

    2022年上半期、当社では12業種延べ611企業・団体、3,448システムに対して、脆弱性診断を行った(Webアプリケーション/ネットワーク診断のみの総数)。

    システム脆弱性診断 脆弱性検出率グラフ

    9割のシステムに脆弱性

    「Webアプリケーション診断結果」の棒グラフのとおり、Webアプリケーションにおいて、なんらかの脆弱性が存在するシステムは9割前後で推移を続けている。検出された脆弱性のうち危険度レベル「高」以上(緊急・重大・高)の割合は22.3%で、5件に1件以上の割合でリスクレベルの高いものが出ていることになる。

    一方、ネットワーク診断では、脆弱性ありと評価されたシステムは半分強というところだ。ただし、検出された脆弱性に占める危険度高レベル以上の割合は22.1%にのぼり、こちらも5件に1件以上の割合となる。

    以上のとおり、全体的な脆弱性検出率については、前期と比較して大きな変化はない。当サイトでは、「2022年上半期カテゴリ別脆弱性検出状況」とし、検出された脆弱性を各カテゴリに応じて分類しグラフ化している。

    Webアプリケーション診断結果

    高リスク以上の脆弱性ワースト10

    リスクレベル高以上の脆弱性で検出数が多かったものを順に10項目挙げてみると、下表のような結果となった。

    高リスク以上の脆弱性ワースト10リスト

    長年知られた脆弱性での攻撃

    上位ワースト10はいずれも、Webアプリケーションのセキュリティ活動を行っている国際的非営利団体OWASP(Open Web Application Security Project)が発行している「OWASP Top 10(2021)」でいうところの、「A03:2021 – インジェクション」「A07:2021 – 識別と認証の失敗」「A06:2021 – 脆弱で古くなったコンポーネント」「A02:2021 – 暗号化の失敗」「A01:2021 – アクセス制御の不備」等に該当する。

    1位の「クロスサイトスクリプティング」や6位の「SQLインジェクション」は、長年知られた脆弱性である上、攻撃を受けると深刻な被害となりかねないにも関わらず、いまだ検出され続けているのが実情だ。

    攻撃者による悪意あるコードの実行を許さぬよう、開発段階において、外部からのデータに対する検証処理と出力時の適切な文字列変換処理の実装を徹底していただきたい。

    ネットワーク診断結果

    高リスク以上の脆弱性ワースト10

    ネットワーク診断結果に関しても、リスクレベル高以上の脆弱性で検出数が多かったものを順に10項目挙げてみると、下表のような結果となった。

    高リスク以上の脆弱性ワースト10リスト

    推奨されないバージョンのSSL/TLS

    1位の「推奨されないSSL/TLS」が圧倒的に多い。既知の脆弱性がある、あるいはサポートがすでに終了しているコンポーネントの使用も目立つ。このほか、特にリスクレベルが高いものとして懸念されるのが、FTP(4位)やTelnet(7位)の検出だ。これらについては、外部から実施するリモート診断よりもオンサイト診断における検出が目立つ。つまり、内部ネットワークにおいても油断は禁物ということである。FTPやTelnetのような暗号化せず通信するサービスはそもそも使用するべきでなく、業務上の理由等から利用せざるを得ない場合は強固なアクセス制御を実施するか、暗号化通信を使用する代替サービスへの移行をご検討いただきたい。

    カテゴリ別の検出結果詳細についてはこちら

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    セキュリティトピックス動画申し込みページリンクへのバナー画像

    投稿日:

    DoS攻撃/DDoS攻撃の脅威と対策

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    DoS攻撃/DDoS攻撃のイメージ(「現在アクセスが集中しております」)

    DoS(サービス運用妨害:Denial of Service)攻撃とは、ネットワークを構成するサービスや機器に対して大量のパケットを送りつけ、サービス機能を停止させるサイバー攻撃です。サービス提供者が被害にあってしまうと、機会損失を産み、信用失墜につながる大きな影響を受ける可能性があります。本記事では、DoS攻撃/DDoS攻撃の脅威として攻撃の実例に触れつつ、攻撃者が実行する動機と被害を受けてしまった場合の影響、攻撃シナリオに基づく対策方法をご紹介します。

    DoS攻撃/DDoS攻撃とは

    DoS攻撃とは、ネットワークを構成するサービスや機器に対して大量のパケットを送りつけ、アクセスしにくい状況にしたり、使用停止状態に追い込んだりするなど、機能を停止させるサイバー攻撃です。

    そして、複数の分散した(Distributed)拠点から一斉にこのDoS攻撃を仕掛けることを、「DDoS(Distributed Denial of Service)攻撃」といいます。

    Dos攻撃/DDos攻撃とはのサムネ
    【図1】DoS攻撃の概要図、【図2】DDoS攻撃の概要図

    サービス提供者がDoS攻撃/DDoS攻撃を受けた場合、サービス停止によって機会損失を生み、信用失墜は通常のサイバー攻撃より大きい場合も考えられ、攻撃の踏み台にされることで間接的な加害者となる可能性もあります。

    近年では、分散化や大規模化も進んでおり、単純なサービス妨害から複雑なサイバー犯罪に変化してきているといっても過言ではありません。詳しくは「すぐにできるDoS攻撃/DDoS攻撃を防ぐ3つの対策」にも記載がありますので、あわせてお読みください。

    DoS攻撃/DDoS攻撃の実例や最近の傾向について

    次に、攻撃の実例や最近の傾向にふれます。具体的にどういったことが脅威なのか想像しながらみていきましょう。

    DDoS攻撃の事例

    (実例1)ボットネットMērisによるDDoS攻撃

    時 期 2021年9月
    概 要 セキュリティ企業Qrator Labsが「Mēris」による史上最大規模DDoS攻撃の
    調査結果を公表*1。5年前にIoT機器を狙ったマルウェア「Mirai」の3倍を超える威力(リクエスト数)だった。
    攻撃の規模等
    (検知・阻止された)    		 最大毎秒2,180万リクエスト、推計25万台のルータによる攻撃用ネットワーク、ボット化された攻撃ホストの総数20万台超

    (実例2)GitLabサーバの脆弱性を悪用した1Tbps超のDDoS攻撃

    時 期 2021年11月
    概 要 Googleのエンジニアが「脆弱性CVE-2021-22205*2の悪用によって侵害された数千個のGitLabインスタンスで構成されたボットネットが、1Tbpsを超えるDDoS攻撃を実行している」とTwitter上で発信し、GitLabもこの脆弱性に関する注意喚起を公開した。2021年11月1日公開のRapid7の分析によると、インターネットに接続されているGitLabサーバ6万台超のうち、約半数にあたる3万台がCVE-2021-22205を修正するパッチを適用していなかったという*3

    ※パッチは2021年4月に公開され、同年10月には悪用事例もHN Security社から発表されていた。
    攻撃の規模等 毎秒1Tbpsリクエスト、脆弱性CVE-2021-22205の悪用によって侵害された数千個のGitLabインスタンスで構成されたボットネット

    DDoS攻撃の最近の傾向

    2022年4月、米CDN(コンテンツデリバリネットワーク)企業Cloudflareより、2022年第1四半期の1~3月における観測結果のDDoS攻撃レポートが公表されました4

    調査によると、DDoS攻撃のうち、正当なユーザリクエストを処理できないようにしてWebサーバを停止させることを目的とした「アプリケーション層DDoS攻撃」については前年比で164%、前四半期比で135%増加しました。

    また、アプリケーション層DDoS攻撃と異なり、ルータやサーバ等のネットワークインフラとインターネットアクセス自体の阻害を目的とした「ネットワーク層DDoS攻撃」については、前年比で71%増加、前四半期比で58%減少しましたが、ボリューム型攻撃は増加しているとのことです。

    DDoS攻撃の5つの動機と攻撃による影響

    ここまでの記述からDoS攻撃/DDoS攻撃の危険性がなんとなく想像できたと思います。DDoS攻撃には注意すべき事項があります。ここからは攻撃者がDDos攻撃を実行する5つの動機から、実際に被害にあってしまった場合に、どのような影響を受けてしまうのかについて述べていきます。

    DDoS攻撃の5つの動機

    DDos攻撃の5つの動機のサムネ
    【図3】DDos攻撃の5つの動機

    DDoS攻撃の3つの影響

    DDos攻撃の3つの影響のサムネ
    【図4】DDoS攻撃の3つの影響

    動機と影響の関連性

    【図3】と【図4】には下記のような関連性があります。

    • 業務妨害→サービス停止、経済的な被害

    • 陽動作戦→DDoS以外の攻撃による被害

    • 脅迫→経済的な被害(もともとが金銭目的のため)

    • 嫌がらせ・愉快犯→サービスの停止(実利を得ることを目的としていないため)

    • ハクティビズム→サービスの停止、DDoS以外の攻撃による被害(話題性アップが目的の影響力の大きい攻撃などが考えられる)

    Webアプリケーションへの攻撃シナリオ

    前項のうち、「DDoS攻撃の5つの動機」の「陽動作戦」を例に挙げて、Webアプリケーションへの攻撃シナリオの概要と対策方法ついて考えてみましょう。

    Webアプリケーションへの攻撃シナリオのサムネ
    【図5】Webアプリケーションへの攻撃シナリオ

    ※「スキャン」≠「攻撃」
    スキャンとは攻撃できる脆弱性があるかを調査するアクセスで、攻撃はデータを抜き出したりコンテンツを改竄したりするためのアクセスのことです。つまり、攻撃前の調査活動にあたるもののことをいいます。

    日本国内で、2021年夏に開催した東京五輪前後に国内スポーツニュースサイトへのトラフィックが急増したとのデータ*5があります。全体のグラフを見て、開会式後が低く安定していることからも単なる閲覧増によるトラフィックの増加ではなくDDoS攻撃による可能性もあります。

    この日本国内を狙ったスポーツニュースサイトへのトラフィックは、Webスキャンで事前調査をしてから攻撃をする、という手法が近年増えていることの根拠となりえます。ハッカーが手動で調査をせず、ツールによる自動調査をすることで脆弱性を見つけてからピンポイントに攻撃をしかけるので、攻撃までにかけるコストが減り、結果的に攻撃件数が増加していると考えられます。

    DoS/DDoS攻撃の対策方法

    サービス停止が起きてしまったために、得られるはずだった利益の機会損失、信用失墜、あるいは、攻撃の踏み台にされることで間接的な加害者となる可能性すらありえるDoS攻撃/DDoS攻撃。経済的な被害を受ける可能性もあります。そんなDoS攻撃/DDoS攻撃への対策を最後に紹介します。

    すぐにできるDoS攻撃/DDoS攻撃を防ぐ3つの対策」 にも記載がありますが、下記の3点が基本的な対策です。

    1. 必要のないサービス・プロセス・ポートは停止する

    2. DoS攻撃/DDoS攻撃の端緒になりうる各種の不備を見つけて直す

    3. 脆弱性対策が施されたパッチを適用する

    自組織のセキュリティ状況を見直し、リスク状況を把握することにより、攻撃に備えることが大切です。どの対策のほうがより効果があるということではなく、それぞれ防御するレイヤーが異なるので複数組み合わせていく、「多層防御」がより効果的です。

    DoS/DDoS攻撃の対策方法のサムネ
    【図6】セキュリティ対策は多層防御で

    WAF(ウェブアプリケーションファイアウォール

    図5の攻撃シナリオ部の「DDoS攻撃」と「攻撃パケットの送信」に対して有効です。WAFでは大量に不正に送信される大量のパケットのブロックや、一時的にアクセスが集中した際にはサーバが停止する前にアクセスの制限をかけるなどができます。また、適切なシグネチャ(Webアプリケーションへのアクセスパターンの定義ファイル)を設定しておくことで、攻撃コードの送信を検知して攻撃コードがアプリケーションに届く前に不正なコードの送信としてWAFで止めることが可能になります。

    Webアプリケーション脆弱性診断

    Webアプリケーションへの攻撃シナリオの「脆弱性の検出」及び「脆弱性を悪用した攻撃」に有効です。脆弱性診断を行うことで予め管理しているWebアプリケーションの脆弱性状況を把握し、脆弱性の修正を行うことによってスキャンされた際に脆弱性情報としてハッカーの目に留まることを防げます。脆弱性を悪用した攻撃についても同様でそもそも悪用できそうな脆弱性がない、という状態を維持することができます。

    Webアプリケーション脆弱性診断のサービスバナー

    ランサムウェア対策総点検

    社内ネットワーク内のクライアントorサーバでマルウェアが感染した際にどこまで侵入できてどういった情報をみられるかといったシミュレーションをする診断になります。こちらは直接関係しませんが、マルウェアに感染した場合にどういった影響を及ぼすかといったリスクを可視化し、適切な対策の提示が可能になります。ここまでご紹介してきたDDoS攻撃などによって「踏み台」にされるリスクへの対策になります。

    ランサムウェア対策総点検のサービスバナー

    弊社では、お客様のニーズに合わせて、様々な脆弱性診断サービスを提供しております。システムの特徴やご事情に応じてどのような診断を行うのが適切かお悩みの場合も、ぜひお気軽にご相談ください。

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    セキュリティトピックス動画申し込みページリンクへのバナー画像

    投稿日:

    診断結果にみる情報セキュリティの現状
    ~2021年下半期 診断結果分析~

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    SQAT® Security Report 2022年 春夏号

    2021年下半期診断結果分析サムネ画像(PCの画面イメージ)

    BBSecの診断について

    当社では、Webアプリケーション、ネットワーク(プラットフォーム)に対する脆弱性診断をはじめとして、スマホアプリ、パブリッククラウド、ソースコード、IoT、ペネトレーションテスト、標的型ランサムウェア攻撃におけるリスク可視化等、様々な局面における診断サービスを提供している。こうした診断による検出・分析結果は、メリハリある的確なセキュリティ対策の実施にお役立ていただいている。

    診断品質向上のために

    システム脆弱性診断で用いるリスクレベル基準

    当社の脆弱性診断サービスは、独自開発ツールによる効率的な自動診断と、セキュリティエンジニアによる高精度の手動診断を組み合わせて実施している。検出された脆弱性に対するリスク評価のレベル付けは、右表のとおり。

    高い網羅性のある脆弱性の検出、お客様のシステム特性に応じたリスクレベル評価、個別具体的な解決策の提供が行えるよう、セキュリティエンジニアおよびセキュリティアナリストが高頻度で診断パターンを更新することで、診断品質の維持・向上に努めている。

    2021年下半期診断結果

    Webアプリ/NW診断実績数

    2021年7月から12月までの6ヶ月間に、当社では14業種延べ560企業・団体、3,949システムに対して、システム脆弱性診断を行った(Webアプリケーション/ネットワーク診断のみの総数)。前期2021年上半期(1月~6月)より、診断対象システム数は300件近く増加した。

    システム脆弱性診断 脆弱性検出率(2021年下半期)

    9割のシステムに脆弱性

    「Webアプリケーション診断結果」の棒グラフのとおり、Webアプリケーション診断では、なんらかの脆弱性が存在するシステムの割合が9割前後で推移し続けている。検出された脆弱性のうち、危険度レベル「高」以上(緊急・重大・高)の割合は21.0%で、検出された脆弱性全体のおよそ5件に1件がリスクレベルの高いもの、ということになる。前期の高レベル以上の割合は23.9%だったため今期微減だが、ほぼ横ばいと言える。

    「ネットワーク診断結果」の棒グラフでは、脆弱性なしと評価されたシステムが4割強を占めている。しかしながら、検出された脆弱性に占める危険度高レベル以上の脆弱性の割合は30.8%にのぼり、検出脆弱性のおよそ3件に1件が危険度の高い項目、ということになる。前期の高レベル以上の割合は28.3%だったため今期微増だが、ほぼ横ばいである。

    以上のとおり、全体的な脆弱性検出率については、前期と比較して大きな変化はない。当サイトでは、「2021年下半期カテゴリ別脆弱性検出状況」とし、検出された脆弱性を各カテゴリに応じて分類しグラフ化している。

    Webアプリケーション診断結果

    高リスク以上の脆弱性ワースト10

    5つに分類された各カテゴリの検出割合( 「2021年下半期カテゴリ別脆弱性検出状況」掲載の円グラフ参照)については、前期とほぼ変わらず、各カテゴリにおける脆弱性の検出数ごとの数量も大幅な変動はなかった。リスクレベル高以上の脆弱性で検出数が多かったものを順に10項目挙げてみると、下表のような結果となった。

    高リスク以上の脆弱性ワースト10(2021年下半期)Webアプリ編

    代表的な脆弱性はいまだ健在

    上位ワースト10はいずれも、Webアプリケーションのセキュリティ活動を行っている国際的非営利団体OWASP(Open Web Application Security Project)が発行している「OWASP Top 10(2021)」に含まれていることがわかる。

    ワースト1となった「クロスサイトスクリプティング」(以下、XSS)はWebアプリケーションにおける脆弱性の代表格とも言える。認知度の高い脆弱性でありながら、いまだに根絶されていない。XSSが存在するシステムには、ワースト2の「HTMLタグインジェクション」が共に検出されることが多い。出力データの検証が適切に実施されていないことがうかがえる。

    ワースト6の「SQLインジェクション」もまた、メジャーな脆弱性の1つだ。XSSと同じく入出力制御に問題がある。昨今でもなお、SQLインジェクションによる情報漏洩事例が報告されている。データベースの不正操作を許せば、事業活動に必要なデータをすべて消去されるといった最悪の事態も発生しうるため、放置するのは非常に危険である。

    独立行政法人情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)に対する届出においても、XSSが58%と約6割を占め、SQLインジェクションもそれに次ぐ多さとのことだ。*6

    いずれの脆弱性も、セキュアなWebアプリケーション構築を実践できていないことを証明するものだ。開発の上流工程において、そうした脆弱性が作りこまれないような対策を行うことが大切である。

    ネットワーク診断結果

    高リスク以上の脆弱性ワースト10

    ネットワーク診断結果に関しても、5つに分類された各カテゴリの検出割合 (「2021年下半期カテゴリ別脆弱性検出状況」掲載の円グラフ参照)において、前期と比較して特段目立つような差は見られなかった。ただ、「通信の安全性に関する問題」に関しては、「推奨されない暗号化方式の受け入れ」「推奨されないSSL/TLS方式の使用」「脆弱な証明書の検出」に分類される脆弱性項目が、それぞれ200件前後ずつ増加していることがわかった。

    リスクレベル高以上の脆弱性で検出数が多い10項目は下表のとおりである。

    高リスク以上の脆弱性ワースト10(2021年下半期)NW編

    推奨されないバージョンのSSL/TLS

    先に述べた、前期より検出数が増加している「通信の安全性に関する問題」のうち、「推奨されないバージョンのSSL/TLSのサポート」はリスクレベル高以上である。これは、SSL2.0、3.0、またはTLS1.0、1.1を使用した暗号化通信が許可されている場合に指摘している項目で、今期ワースト1の検出数だ。CRYPTREC作成/IPA発行の「TLS 暗号設定ガイドライン」は、2020年7月に第3.0.1版が公開されている。こちらを参考に、SSLの全バージョンとTLS1.1以下を無効にし、もし、TLS1.2、なるべくなら1.3の実装がまだであれば、早急に対応する必要がある。

    カテゴリ別の検出結果詳細についてはこちら

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    セキュリティトピックス動画申し込みページリンクへのバナー画像

    投稿日:

    診断結果にみる情報セキュリティの現状
    ~2020年上半期 診断結果分析~

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    SQAT® Security Report 2020-2021年 秋冬号

    BBSecの診断について

    当社では、Webアプリケーション、ネットワーク(プラットフォーム)、スマホアプリ、IoT、パブリッククラウド、ソースコード、標的型攻撃に対するリスク可視化等、様々な局面における診断サービスを提供することで、お客様のニーズにお応えしている。

    当社の脆弱性診断サービスは、専門技術者による高精度の手動診断と独自開発のツールによる効率的な自動診断とを組み合わせ、検出された脆弱性に対するリスク評価について、右表のとおりレベル付けしている。お客様のシステム特性に応じた脆弱性の検出、リスクレベルの評価、個別具体的な解決策の提供が適切に行えるよう、高い頻度で診断パターンを更新し、診断品質の維持と向上に努めている。

    2020年上半期診断結果

    当社では、2020年1月から6月までの6ヶ月間に、14業種延べ533企業・団体、4596システムに対してシステム脆弱性診断を行った。2020年上半期はコロナ禍の影響でテレワークへと移行する企業も多い中、診断のニーズは変わらず存在し、診断案件数は2019年下半期とほぼ同じであった。脆弱性の検出率は以下のとおり。

    脆弱性診断脆弱性検出率 2020年上半期

    診断の結果、Webアプリケーション診断では、脆弱性が検出されたシステムが全体の83.9%と、前年同期(2019年上半期)の88.2%に比べて微減しているものの、依然として高い割合である。ネットワーク診断においては、脆弱性検出率は減少を続けているものの、42.8%と4割ほどのシステムに何らかの脆弱性が検出されている。

    検出された脆弱性のうち、早急な対処が必要な「高」レベル以上のリスクと評価された脆弱性は、Webアプリケーションでは28.7%、ネットワーク診断では29.7%検出されている。前年同期比(2019年上半期「高」レベル検出率:Webアプリケーション27.0%/ネットワーク診断 23.6%)でいうと、Webアプリケーションはほぼ横ばいだったが、ネットワークは6.1%増えた。ネットワークに関しては、リスクレベルの高い脆弱性は増加傾向にある。 当サイトでは、「2020年上半期 カテゴリ別脆弱性検出状況」とし、当社診断で検出された脆弱性を各性質に応じてカテゴライズし、評価・分析をした結果をまとめた。以降、診断カテゴリごとに比較的検出数が多かったものの中からいくつか焦点を当ててリスクや対策を述べる。

    Webアプリケーション診断結果

    Webカテゴリ結果の36.0%を占める「システム情報・ポリシーに関する問題」のうち、「脆弱なバージョンのOS・アプリケーションの使用」についで検出数が多かった、「推奨されない情報の出力」に着目する(検出割合は以下参照)。

    推奨されない情報の出力(2020年上半期診断実績)

    システム構築時のデフォルトファイル、ディレクトリや初期画面には、攻撃者にとって有用な情報が含まれていることが多く、攻撃者にシステムへ侵入された場合、その情報をもとにした攻撃に発展し、甚大な被害につながりうる。よって、重要情報を含むファイル等には特に強固なアクセス制御をすべきであり、削除して差し支えない情報は消してしまうことが望ましい。初期画面については、表示しない設定にするのがよいだろう。

    不用意な情報の出力の例として、「推奨されない情報の出力」の内訳にある、「WordPress管理者機能へのアクセスについて」をピックアップする。WordPressの管理者機能に対するアクセスが外部から可能だと、「総当り(Brute-Force)攻撃」によって、攻撃者に管理者用の認証を奪取されることで、さまざまな情報の漏洩や改竄をされる危険性がある。そのため、外部から管理者機能へのアクセスが可能な状態にしておかないことがベストだ。業務上外部からのアクセスが必要な場合は、パケットフィルタリング等の強固なアクセス制御をすべきである。

    ネットワーク診断結果

    NWカテゴリ結果の45.8%が「通信の安全性に関する問題」であった。その中の検出数トップ「推奨されない暗号化方式の受け入れ」に続いて検出数が多かった「推奨されないSSL/TLS通信方式の使用」に焦点をあてる。

    DROWN、POODLE、BEASTといった既知の脆弱性が存在するバージョンのSSL/TLSを使用した暗号化通信を許可していると、攻撃者に脆弱性を利用され暗号化通信の内容を解読される恐れがある。推奨対策としては、SSL 2.0、SSL 3.0もしくはTLS 1.0による暗号化通信の使用を停止し、TLS 1.2以上の通信保護に移行することである。

    さらに第3位「脆弱な証明書の検出」に注目し、強度の低いハッシュアルゴリズムを使用した証明書を使っている場合について述べる。強度の低いハッシュアルゴリズムは衝突攻撃に弱く、攻撃者が衝突攻撃によって元の証明書と同じ署名の証明書を作ることができ、なりすまし等の被害に繋がる可能性がある。また、主要なブラウザでは強度の低いハッシュアルゴリズムをサポートしておらず、環境によってはユーザがサイトを利用できなくなる可能性もある。よって、本番環境での運用には信頼された認証局から発行された強度の高い証明書が利用されていることを確認すべきである。

    カテゴリ別の検出結果詳細についてはこちら

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    セキュリティトピックス動画申し込みページリンクへのバナー画像