ウェブアプリケーション脆弱性診断

ウェブサイトに対する攻撃を防ぐために、シマンテック・ウェブサイトセキュリティが提供するウェブアプリケーション脆弱性診断についてご紹介します。

サイバー攻撃の増加により、ウェブサイトの脆弱性診断の重要性が高まっています。シマンテック・ウェブサイトセキュリティでは「ウェブアプリケーション脆弱性診断」サービスをご提供しています。

脆弱性とは

ソフトウェアは人間が作るものなので、不具合を含むことは時に避けられません。その中で、情報セキュリティ上の欠陥を「脆弱性」と呼びます。ソフトウェアの機能を利用している分には不具合に気付きませんが、攻撃者の立場から見ると、攻撃の足掛かりにしてそのコンピュータを乗っ取ることができる場合があります。

Windowsなどの利用環境だけでなく、Webサーバやデータベースサーバなどのサーバソフト、ウェブアプリケーションにも脆弱性があるかもしれません。Windowsであれば、Windows Updateを適用すればよいですが、サーバで使われているソフトウェアの場合には停止が許されない場合もあり、脆弱性を簡単に修正できるとは限りません。
また、開発元から修正プログラムが提供されない場合や、脆弱性の存在に気付かない可能性も考えられます。気付いたとしても、修正プログラムの作成が攻撃に間に合わないこともあります。

セキュリティ・脆弱性診断の必要性

脆弱性が存在する状態でサーバを運用していて攻撃を受けた場合、サーバの乗っ取りや個人情報の漏えいといった被害を受けるだけでなく、場合によっては踏み台として他のサーバを攻撃する「加害者」になってしまう可能性があります。
このような被害を防ぐために、定期的に「脆弱性診断」を受けることが有効です。一般に使われているソフトウェアであれば、開発元から修正プログラムが提供されるケースもありますが、自社開発したウェブアプリケーションに脆弱性が存在するかどうか確かめるには、脆弱性診断を受けることが必要です。

よくある攻撃事例

A社では、自社のウェブサイトに問い合わせフォームを設置していました。問い合わせを受けるだけの簡単なフォームのため、書籍に書かれているサンプルをコピーして作成したものでした。ある日、顧客から問い合わせ内容が公開されていると連絡がありました。調べてみると、問い合わせフォームに「SQLインジェクション」の脆弱性があり、これまでに送信された内容がすべて攻撃者によって取得されていました。

「ツール＋手動」によるスピーディで包括的な診断をご提供

シマンテック・ウェブサイトセキュリティが提供する「ウェブアプリケーション脆弱性診断」ではウェブアプリケーションの脆弱性の有無を診断し、ご報告いたします。会員向けページや管理画面など、ウェブアプリケーションを使って顧客ごとに動的にページを生成する事は一般的になっています。しかし、セキュリティを考慮した作りになっていない場合、攻撃者に悪用されウェブサイトからの情報漏えいを引き起こします。
「ウェブアプリケーション脆弱性診断」では、ツールを利用したスピーディーな診断に加え、セキュリティ専門技術者がツールでは十分に診断できない項目（画面の遷移状況によって発生する脆弱性など）を手動で診断します。

セキュリティ・脆弱性診断の実施期間と流れ

主な診断項目

脆弱性の多くは以下の項目の組み合わせで発生します。また、脆弱性自身に名称のついていないものも存在します。独自診断ツールと共に専門技術者による手動診断によりこれらの脆弱性を検出します。

・サンプル報告書 (PDF) ウェブアプリケーション脆弱性診断では、報告書を納品いたします。

カテゴリ		脆弱性名称
認証		不適切な認証
認証		パスワード復元の検証の強度
承認		セッションの推測
		不適切な承認
		セッションの固定
クライアント側での攻撃		クロスサイトスクリプティング
		偽コンテンツ
		CSRF (Cross Site Request Forgeries)
コマンドの実行		バッファオーバーフロー
		書式文字列攻撃
		LDAP インジェクション
		OS コマンドインジェクション
		SQL インジェクション
		SSI インジェクション
		XPath インジェクション
情報公開		ディレクトリインデクシング
		ソース記載による情報漏えい
		パストラバーサル
		リソース位置の推測
ロジックを狙った攻撃 (Logical Attach)		機能の悪用
		リダイレクタ
		不適切なプロセスの検証