| 報道関係者各位 |
ソフテック、Web アプリケーションのセッション管理の欠陥を
簡単な操作で検出・検証するツール【WebProbe】の発売を発表
〜セッション管理の欠陥を検出・検証する業界初の脆弱性検査ツール〜
〜本検査ツールを使った安価な検査サービスも同時発売〜 |
株式会社ソフテック(本社:東京都世田谷区太子堂1-12-39、代表取締役社長:加藤努、資本金:4000
万円、TEL 代表: 03-3412-6008)は、Webアプリケーションのセッション管理の欠陥を簡単な操作で自動的に検出・検証するツール
【WebProbe】 を 2003 年 12 月 1 日から発売、同時に 【WebProbe】 を使った安価な検査サービスも発売すると発表しました。
【WebProbe】 は、独立行政法人 産業技術総合研究所グリッド研究センターセキュアプログラミングチーム長の高木浩光氏と弊社が共同研究によりシステムの基本設計を行い、情報処理振興事業協会(IPA) の「2002 年度電子政府情報セキュリティ技術開発事業」の一つとして採択された事業の成果を製品化した脆弱性検査ツールです。
【WebProbe】
は、Webアプリケーションのセッション管理の欠陥を、簡単な操作で自動的に検出します。従来、人手で行わざるをえなかった、「セッション追跡パラメー
タ」の推定を自動化しました。これを基に、20
項目を超える脆弱性を検査し、詳細な解説とともに問題点をリストアップします。不正なアクセスをできるだけ伴わない検査方法を採用しているため、実稼動中
のサイトに対しても安心して検査できます。
EC サイトや電子政府・自治体の発展により、個人情報やプライバシーに関わる情報を扱うWeb
サイトは爆発的に増加しています。しかし、少なからぬサイトが、情報漏洩につながりかねない欠陥を抱えたまま運用されているとの指摘があります。欠陥が見
逃されてしまう原因は、Webアプリケーションの開発段階で、十分なテストが行われていないためと言われています。
Webアプリケーションの欠陥としては、クロスサイトスクリプティング脆弱性やSQL
インジェクションなどがよく知られています。こうした古典的な脆弱性は、既存のスキャン方式の検査ツール(脆弱性スキャナーで検査できます。しかし、ス
キャン型ツールでは発見できない欠陥があります。それが「セッション管理の欠陥」です。
セッション管理の欠陥の有無は、これまで、専門的なスキルを持つ人員による手作業で、多大な時間をかけて検査せざるを得ない部分でした。そのため、納期
に追われる開発事業者は十分なチェックを行わずに納品し、サイト運営者もセキュリティ監査を受けることなく、欠陥に気づかないまま運用を開始してしまうこ
とがあるようです。
【WebProbe】 は、Web アプリケーションに潜むセッション管理の欠陥を簡単な操作で自動的に検出・検証する脆弱性検査ツールです。Web
開発における開発サイドでの出荷前の最終チェックや、発注サイドでの検収作業の補助ツールとして、さらには監査ビジネスにおける検査ツールのひとつとして、様々な場面でご利用できます。
■ 【WebProbe】の機能・特徴
(1) セッション追跡パラメータを自動推定
セッション管理の脆弱性検査においては、「セッション追跡パラメータ」として何が使われているのかを特定する作業が肝要となりますが、
【WebProbe】
は、その自動推定を実現しました。従来の検査では、検査担当者が手作業で分析していたため、検査の精度が担当者のスキルに大きく依存してしまっていまし
た。【WebProbe】を使えば誰でも簡単な操作で高水準の検査を実施できます。
(2) 20 項目を超える脆弱性を検査
セッション追跡パラメータの推定に基づいて、「アクセス制御の欠如」「ユーザ識別の欠如」「ID
空間の小さすぎるセッション追跡パラメータ」「暗号化されないアクセスにセッション追跡パラメータが含まれる」「セキュアでないcookie
の使用」など、20 項目を超える数の脆弱性を検査し、詳細な解説とともに問題点をリストアップします。
(3) 不正なアクセスを伴わない診断
最初の検査コースでは、正規の手順でWeb
アプリケーションを利用する際の通信内容を分析するだけで、ある程度の範囲の脆弱性を検出します。不正なアクセスを一切生じないため、実稼動中のサイトに
対してであっても、安心して検査できます。
(4) 自動的な検査アクセスによる検証
より精度の高い診断のため、リクエストの一部を書き換えた検査用のアクセスを 【WebProbe】
から自動的に発生させることで、残りの脆弱性を検出します。このときも、値を差し替える程度の変更しか行わず、従来の脆弱スキャナーに見られるような、破
壊的な異常データの送信を行うことはありません。
(5) 検査担当者の手間を大幅に軽減
セッション管理の脆弱性検査では、個人情報を表示するひとつひとつの画面について、アクセス制御が正しく行われているかを確かめる必要があります。従来
の検査では、セッション追跡パラメータを特定した後、アクセスリクエストを手作業で書き換えて試し、結果を目で確認する必要がありました。これは大変手間
のかかる作業でした。【WebProbe】を使えば、Web
ブラウザを操作して個人情報の画面にアクセスするだけで、検査の必要なページが自動的にマーク付けされ、自動的に検査が実行されます。画面が個人情報を含
むか否かは、登録キーワードとのマッチングにより自動判断されます。自動判断できない画面について手動でマーク付けすることもできます。
(6) 不適切な設計の指摘
「異なるセッションで同一セッション追跡ID の使用」や「永続的cookie
の使用」「ログアウト後のサーバセッションの残存」「クレジットカード番号の表示」など、致命的な欠陥とまでは言えないものの、改善の余地のある不適切な
設計についても、問題点を指摘します。
■ 【One-Shot 検査サービス】を安価で提供
【WebProbe】 を使ったセッション管理の欠陥を検出・検証する 【One-Shot
検査サービス】 を安価で提供します。Web サイトに対する検査報告書の提出ならびに簡易コンサルティングを行います。
【WebProbe】 の価格は9 万8 千円 ( 1 ヶ月利用ライセンス、税別)からで、EC
サイトを運用する法人、電子政府・自治体を運用する官公庁、監査法人、SI 業者、Web
システム開発業者を対象に向こう1 年間1000 セットの販売を目指します。また【WebProbe】の発売と同時に、【WebProbe】を使ったセッション管理の欠陥を検出・検証するOne-Shot
検査サービスを25 万円からで提供します。Web サイトに対する検査報告書の提出ならびに簡易コンサルティングを行います。
ソフテックは 【WebProbe】 の発売に伴い、従来からのセキュリティ情報提供サービスである「SIDfm」、「SIDfm
Portal」、「SIDfm Enterprise」に加えて 【WebProbe】
をセキュリティビジネスの中核製品として位置付け、従来からのオリジナルサービスであるセキュリティホール検査サービス、セキュリティ監視サービス、セ
キュアネットワーク構築支援サービスなどとあわせて今後のセキュリティソリューションビジネスをさらに強化していきます。
本検査ツールご参考ホームページアドレス: http://www.softek.co.jp/Sec/WebProbe/
【本件に関するお問合せ】
■報道関係者お問合せ
株式会社ソフテック営業部佐々木圭司
TEL: 03-3412-6008 FAX: 03-3412-7990 e-mail: sng@softek.co.jp
■製品及び仕様・機能に関するお問合せ
株式会社ソフテック技術統括部芝田幸彦
TEL: 03-3412-6008 FAX: 03-3412-7990 e-mail: sng@softek.co.jp
|
【検査画面の一例】
|
【用語説明】
■ Web アプリケーション
Web の仕組みをユーザインタフェースとしたサービスを提供する際に、サーバ側に作りこむアプリケーションプログラムのことを、「Web
アプリケーション」と呼ぶ。Web ブラウザさえあれば、どこからでも環境に依存せず利用できるため、ネットショップや銀行サービスをはじめとして、様々な分野に広く普及しつつある。その反面、Web
アプリケーションはそれぞれが個別に開発されていて、安全基準もないため、個人情報を漏えいしかねないセキュリティ欠陥を抱えたものが少なくないとの指摘がある。
■ セッション管理
Web
アプリケーションにおける「セッション」とは、ログインしてからログアウトするまでの間のことを指し、「セッション管理」とは、その間に複数のWeb
ページにまたがって行われるアクセスが、同一のユーザからのものであることを追跡・管理する処理のことを指す。HTTP のプロトコル(通信規約)
はステートレスである(ひとつひとつのURL
アクセスは独立していて関連付けされていない)ため、何らかの方法で、ログイン時のユーザ情報を後のページに伝えて追跡する必要がある。その実現方法は多
様で、cookie を使う方法の他に、URL パラメータを使う方法や、hidden 属性の指定されたINPUT
要素を使う方法などがある。セッション管理の実装は、自由度がある反面、各Web
アプリケーションの開発者の技量に任されているため、セキュリティ上の欠陥を作りこんでしまうことが少なくない。
■ セッション追跡パラメータ
Web のパラメータには、URL の末尾に付け加えられるパラメータと、POST メソッドで送信されるhidden 属性のついたINPUT
のパラメータ、そしてcookie の値がある。Web アプリケーションでは、そのうちの1 つ(または2
つ以上)が、セッション管理のために使われているはずであり、その目的で使われているパラメータを「セッション追跡パラメータ」と呼ぶ。セッション追跡パ
ラメータは、他人に予測できるような値であってはならない。通常は、ランダムな番号を生成して一時的な受付番号として使う「セッションID」が用いられる
が、ユーザ名とパスワードの組やそれを暗号化したものが使われることもある。
■ セッションハイジャック
セッション追跡パラメータの値は、盗み出されることがあってはならない。もしパケット盗聴などにより盗まれれば、その値を使って、ログイン中のユーザに
なりすましてアクセスされてしまう。そうした、セッション追跡パラメータの盗用による、ログイン状態の乗っ取りのことを、「セッションハイジャック」攻撃
と呼ぶ。
■ cookie
cookie は、Web サーバが発行した値をWeb ブラウザが一時的に記憶しておく仕組みである。セッション追跡パラメータの格納場所には、cookie
が用いられることが最も多い。cookie によるセッション管理の実装は、画面設計の自由度が高い反面、クロスサイトスクリプティング脆弱性や、Web
ブラウザのセキュリティホールによってcookie が漏えいする危険がある場合もあり、十分に安全な実装方法とはいえない。 |
