owasp top10 2021

2021年版「OWASP Top 10 」を徹底解説!

by ブログ

セキュリティ対策というと難しく考えることが往々にしてよくありがちですが、はじめから順に自分で考えなくても、先人たちの知恵の結晶ともいえる資料が世の中にはたくさんあります。言うまでもなく国内にもいろいろありますが、海外にも注意を向けてみると多方面にわたり重要な意味を持つセキュリティ関連のドキュメントや資料があります。今回は、Webアプリケーションセキュリティについて情報を収集しているとよく見つける『OWASP Top 10』について徹底解説していきます。Webアプリ開発者やセキュリティ担当者であればぜひとも知見を広げておきたい内容です。

 

OWASPとは

Open Web Application Security Project(OWASP)はソフトウェアのセキュリティをより良くすることを研究対象とした営利を目的とせずに活動する団体で、機能を発揮できるように『オープン・コミュニティ』モデルの下で組織をまとめて動かされており、誰でもプロジェクト、イベント、オンライン・チャットなどに参加して貢献できます。団体の基本的な方針や精神は、人を限定せずにありとあらゆる資料と情報が無料でWebサイトから簡単にアクセスできることで、ツール・ビデオ・フォーラム・プロジェクトからイベントまで、あらゆるものが提供されています。結果として、オープン・コミュニティに対する貢献をした人の幅広い知識と経験に裏付けの得られた、汎用的なWebアプリケーション・セキュリティ開発環境におけるソースコードや設計などといった情報が保管されているデータベースとなっています。

 

OWASP Top 10とは

OWASP Top 10は、Webセキュリティの致命的・決定的な欠点が発見された頻度・脆弱性の重大度・考えられる事業への影響の大きさに基づいてランク付けされています。レポートの目的は開発者とWebアプリケーション・セキュリティ専門家に世間で最も広く行き渡っているセキュリティ・リスクに関する知識や見識などを提供して、レポートの調査結果と推奨事項をセキュリティ・プラクティスに組み込むことによって、アプリケーションにおけるこれらのすでに知られているリスクの存在を必要な分だけに抑えることです。

OWASPは世界中のセキュリティ専門家間でくいちがいなく同じである意見に基づいており、2003年からTop 10はリストの状態をそのまま保ちつづけており、Webセキュリティ市場の進歩と変化のスピードに合わせて更新されています。Top 10の価値は提供されている実際に役に立つ情報にあるため、現在も多くの大手企業において主要なチェックリストやWebアプリケーションの開発標準として貢献しています。Top 10に対応できていない場合、監督する責任者からコンプライアンス標準の面で不備がある可能性の含みを持たせるものとみなされがちですので、ソフトウェア開発ライフサイクル(Software Development Life Cycle)に組み込むことは、安全が保証されている開発に関する最善の方法が考えのうちに入っている説得力のある証拠となります。

 

2021年のOWASP Top 10でどんなことが変化したのか

新しく3つのカテゴリがあり、名前とスコープが変更された4つのカテゴリと2021年のTop 10にいくつかが統合され、そもそもの原因に焦点を当てるために名前が変更されました。

01:2021 –壊れたアクセス制御

5番目の位置から上に移動すると、アプリケーションの94%が、平均発生率3.81%の何らかの形の壊れたアクセス制御についてテストされ、提供されたデータセットで最も多く発生し、318kを超えています。含まれている注目すべき一般的な弱点列挙(CWE)には、CWE-200:不正なアクターへの機密情報の公開・CWE-201:送信データによる機密情報の公開・CWE-352:クロスサイトリクエストフォージェリが含まれます。

参考文献

 

02:2021 –暗号化の失敗

根本的な原因というよりも広範な症状であり、以前は機密データの公開として知られていた#2に1つの位置をシフトすると、暗号化に関連する障害(またはその欠如)に焦点が当てられます。これはしばしば機密データの漏洩につながります。含まれている注目すべき一般的な弱点列挙(CWE)は、CWE-259:ハードコードされたパスワードの使用・CWE-327:壊れたまたは危険な暗号アルゴリズム・CWE-331:不十分なエントロピーです。

参考文献

 

03:2021 –インジェクション

インジェクションは3番目の位置までスライドします。アプリケーションの94%は、最大発生率19%、平均発生率3%、及び274k回の発生率で何らかの形の注入についてテストされました。含まれている注目すべき一般的な弱点列挙(CWE)は、CWE-79:クロスサイトスクリプティング・CWE-89:SQLインジェクション・CWE-73:ファイル名またはパスの外部制御です。

参考文献

 

04:2021 –安全でない設計(NEW)

2021年の新しいカテゴリで、設計及びアーキテクチャの欠陥に関連するリスクに論争点をあてており、脅威モデリング、安全な設計パターン及び参照アーキテクチャの使用を増やす必要があります。コミュニティとして、私たちはコーディングスペースの『左シフト』を超えて、Secure byDesignの原則にとって重要なアクティビティを事前にコーディングする必要があります。注目すべき一般的な弱点列挙(CWE)には、CWE-209:機密情報を含むエラーメッセージの生成・CWE-256:資格情報の保護されていないストレージ・CWE-501:信頼境界違反・CWE-522:保護が不十分な資格情報が含まれます。

参考文献

 

05:2021 –セキュリティの設定ミス

前版の#6から上昇して、アプリケーションの90%が何らかの形の構成ミスについてテストされ、平均発生率は4%で、このリスクカテゴリでのCommon Weakness Enumeration(CWE)の発生率は208kを超えました。高度に構成可能なソフトウェアへのシフトが増えるにつれ、このカテゴリーが上昇するのは当然のことです。含まれている注目すべきCWEは、CWE-16:構成・CWE- 611:XML外部エンティティ参照の不適切な制限です。

参考文献

 

06:2021 –脆弱で古いコンポーネント

コミュニティ調査のトップ10で2位でしたが、データでトップ10に入るのに十分なデータもありました。脆弱なコンポーネントは、リスクのテストと評価に苦労している既知の問題であり、含まれているCWEに共通の弱点列挙(CWE)がマップされていない唯一のカテゴリであるため、デフォルトのエクスプロイト/影響の重み5.0が使用されています。含まれている注目すべきCWEは、CWE-1104:メンテナンスされていないサードパーティコンポーネントの使用・2013年と2017年のトップ10の2つのCWEです。

 

07:2021 –識別と認証の失敗

以前はBrokenAuthenticationとして知られていたこのカテゴリは、2番目の位置からスライドダウンし、識別の失敗に関連するCommon Weakness Enumerations(CWE)が含まれるようになりました。含まれている注目すべきCWEは、CWE-297:ホストの不一致による証明書の不適切な検証・CWE-287:不適切な認証・CWE-384:セッション固定です。

参考文献

 

08:2021 –ソフトウェアとデータの整合性の障害(NEW)

2021年の新しいカテゴリで、整合性を検証せずに、ソフトウェアアップデート、重要なデータ、およびCI / CDパイプラインに関連して仮定することに焦点を当てています。Common Vulnerability and Exposures / Common Vulnerability Scoring System(CVE / CVSS)データからの最大の加重影響のひとつです。注目すべき一般的な弱点列挙(CWE)には、CWE-829:信頼できない制御領域からの機能の組み込み・CWE-494:整合性チェックなしのコードのダウンロード・CWE-502:信頼できないデータの逆シリアル化が含まれます。

参考文献

 

09:2021 –セキュリティログと監視の失敗

セキュリティのログと監視の失敗は、OWASPトップ10 2017の10位からわずかに上昇したトップ10コミュニティ調査からのものです。ログ記録と監視はテストが難しい場合があり、多くの場合はインタビューや侵入中に攻撃が検出されたかどうかを尋ねます。このカテゴリのCVE / CVSSデータはそれほど多くありませんが、不当に他者の領域を侵すことへの検出と対応はきわめて大切なことです。それでも、説明責任、可視性、インシデントアラート、およびフォレンジックに非常に影響を与える可能性があります。このカテゴリは、CWE-778:Insufficient Loggingを超えて拡張・CWE-117:ログの不適切な出力中和・CWE-223:セキュリティ関連情報の省略・CWE-532:ログファイルへの機密情報の挿入が含まれます。

参考文献

 

10:2021 –サーバー側リクエスト偽造(SSRF)(NEW)

このカテゴリは、トップ10コミュニティ調査から追加されました。データは、平均以上のテストカバレッジと平均以上のエクスプロイトおよびインパクトの潜在的な評価を伴う比較的低い発生率を示しています。新しいエントリは、注意と認識のためのCommon Weakness Enumerations(CWE)の単一または小さなクラスターである可能性が高いため、それらが焦点の対象となり、将来のエディションでより大きなカテゴリにロールインできることが期待されます。

参考文献

 

OWASP Top 10 2021 –次のステップ

設計上、OWASPトップ10は本質的に最も重要な10のリスクに限定されています。すべてのOWASPトップ10には、含めるために詳細に検討された『最前線』のリスクがありますが、最終的には成功しませんでした。データをどのように解釈しても、他のリスクはより一般的で影響力がありました。成熟したappsecプログラム・セキュリティコンサルタント・ツールベンダーに向けて取り組んでいる企業は、提供するサービスの対象範囲を拡大したいと考えています。次の3つの問題は、特定して修正する価値があります。

 

コード品質の問題

コード品質の問題には、既知のセキュリティ上の欠陥またはパターン・複数の目的での変数の再利用・デバッグ出力での機密情報の公開・オフバイワンエラー・チェック時間/使用時間(TOCTOU)の競合状態・署名されていないまたは署名された変換エラーが含まれます。このセクションの特徴は、通常、厳格なコンパイラフラグ・静的コード分析ツール・リンターIDEプラグインで識別できることです。現代の言語は設計により、Rustのメモリ所有権と借用の概念・Rustのスレッド設計・Goの厳密な型指定と境界チェックといった問題の多くを排除しました。

参考文献

 

サービス拒否

十分なリソースがあれば、サービス拒否は常に可能です。ただし、設計とコーディングの慣行は、サービス拒否の規模に大きく影響します。リンクを知っている人なら誰でも大きなファイルにアクセスできると仮定します。そうしないと、すべてのページで計算コストの高いトランザクションが発生します。その場合、サービス拒否は実行に必要な労力が少なくてすみます。

参考文献

 

メモリ管理エラー

Webアプリケーションは、Java・.NET・node.js(JavaScriptまたはTypeScript)などのマネージドメモリ言語で記述される傾向があります。ただし、これらの言語は、バッファオーバーフロー・ヒープオーバーフロー・解放後の使用・整数オーバーフローといったメモリ管理の問題があるシステム言語で記述されています。Webアプリケーション言語が名目上メモリが『安全』であるという理由だけで、基盤がそうではないことを証明する多くのサンドボックスエスケープが何年にもわたってありました。

参考文献

 

まとめ

OWASP Top 10はWebアプリケーションのセキュリティ分野において、最新のサイバー攻撃のトレンドを認識するためにことのほか役に立ちます。Webアプリ開発者やセキュリティ担当者であれば新しく告げ知らされた攻撃のトレンドを知っていると、その攻撃と類似する他の攻撃にも最前線に立って対応できます。また、公共のために業務する各機関においてもWebセキュリティにおける重要なガイドラインや指標として認識されており、取り上げられている項目に対応できていない場合、セキュアな開発を実施する最善の方法を取り入れていないとジャッジが下される可能性があります。日本国内においては、『IPA(独立行政法人情報処理推進機構)』や『JPCERTコーディネーションセンター』がガイドラインとして取り入れています。

 

web_攻撃_動向

2021年上半期Webアプリケーション脅威解析レポート公開

by お知らせ

WATTレポート(最新Webアプリケーション脅威解析レポート、Web Application Threat Trend Report)はアジア・パシフィック地域のマーケットシェア1位を誇るWAFの「WAPPLES」とクラウド型WAFサービスの「Cloudbric WAF+」の検知ログをペンタセキュリティシステムズ株式会社とクラウドブリック株式会社が共同分析した結果をまとめたものです。

セキュリティ担当者に向けた最新のWeb脅威情報を提供していますので、ぜひ参考にしてください。

 

WATTレポートのダウンロードをご希望の方は、以下のリンクをクリックしてください。

[tek_button button_text=”WATT Report ダウンロード” button_link=”url:report-download/” button_position=”button-center”]

 

web_攻撃_動向

2020年上半期の最新Webアプリケーション脅威解析レポート公開!

by お知らせ

WATTレポート(Web Application Threat Trend Report)はアジア・パシフィック地域のマーケットシェア1位を誇るWebアプリケーションファイアウォールの「WAPPLES」とクラウド型WAFの「クラウドブリック」を通じて収集された2020年1月1日から2020年6月30日までの検知ログをペンタセキュリティシステムズとクラウドブリック株式会社が共同分析した結果をまとめた最新Webアプリケーション脅威解析レポートです。

2020年上半期のWATTレポート、三つの注目ポイントをご紹介します。

 

1. 年2回発行でより早く最新の動向を提供

年に1回公開してきたWATTレポートを今年からは、上半期と下半期の2回にわたって発刊致します。継続的な研究と分析を通じて情報をアップデートし、最新攻撃動向をご提供させて頂きます。

2. グロバル規模で観測した攻撃動向を把握

今年からは、ペンタセキュリティのWAF「WAPPLES」の検知データに加え、全世界で利用されるクラウド型セキュリティ・プラットフォーム・サービス「クラウドブリック」の検知データも一緒にまとめて分析することになりました。より大容量かつ多様なデータを扱うことになり、ウェブ攻撃に対する予測精度を一段と向上させました。

3. 多様なカテゴリーに分けて分析、より豊富な内容を提供

「WAPPLES・クラウドブリック」の検知ルールに基づいて多様なカテゴリー別の分析結果を作成しました。検知ルール・国家・産業別など、各種のウェブ攻撃動向が 一目瞭然にした統計情報で掲載されています。今回「OWASP TOP 10別ウェブ攻撃動向」、「目的別ウェブ攻撃動向」を新しく追加し、更に多様な観点からの分析結果をご提供致します。特に、 全世界のセキュルティ専門家がセキュリティ脆弱性の診断基準と標準を確立するコミュニティー「OWASP」から発表される「OWASP TOP 10」を「WAPPLES・クラウドブリック」の分析結果を徹底比較して資料の信頼性をさらに高めました。

 

WATTレポートのダウンロードをご希望の方は、以下のリンクをクリックしてください。

脆弱性分析レポート

Webアプリケーションに潜む脆弱性TOP10を分析! 『OWASP Top 10 2017』とその対策

最新のWebアプリケーション脆弱性Top 10をまとめた「OWASP Top 10」とそのセキュリティ対策を紹介

by ブログ

『OWASP Top 10』をご存知でしょうか? これはOWASP(Open Web Application Security Project:オワスプ)が選定した最も重大なWebアプリケーション・セキュリティ・リスクのリストで、2~3年に一度発表されています。その時期に特に流行していて大きな被害が続出しており、Webセキュリティの警戒をしなければいけない項目がリスティングされています。今回は最新の『OWASP Top 10 2017』の内容を精査し、流行しているWebセキュリティの危機とその対策をご紹介します。

 

OWASP Top 10とは

OWASPはアメリカ東部メリーランド州に本部を持つ非営利組織であり、Webアプリケーションのセキュリティに関する研究や、ガイドラインの作成、脆弱性診断ツールの開発、イベントの開催等、多岐に渡る活動を2001年から行っています。OWASPは Webに関する脆弱性やリスク、攻撃手法、事例、情報漏えい、悪性ファイルやスクリプト、攻撃コードやマルウェアなどを研究しています。そして『OWASP Top 10』はWebセキュリティ上で多発する脅威の中で、その危険度が最も高いと判断された10個のトピックがまとめられたものです。

『OWASP Top 10』では、「悪用のしやすさ」「弱点の蔓延度」「弱点の検出のしやすさ」「技術面への影響」「ビジネスへの影響」の観点で、それぞれに点数をつけリスクの高さを可視化し、危険度の高い10種類の脆弱性を整理しています。具体的にはそれぞれの指針を3段階で評価し、「悪用のしやすさ」「蔓延度」「検出のしやすさ」の平均を求め、その数値と「技術面への影響」の数値の積を求めたものを総得点としています。『OWASP Top 10』は2~3年に1回更新されており、2020年現在の最新版は2017年に発表された「OWASP Top 10 2017」となります。「OWASP Top 10 2017」は、アプリケーションセキュリティの専門企業から寄せられた40以上のデータと、500人以上の個人による業界調査に基づいており、数百の組織の10万以上に上る実際のアプリケーションおよびAPIから集められた脆弱性データをもとにしています。

OWASP 2017で挙げられているTop 10の脅威は次になります。

  • A1:2017:インジェクション
  • A2:2017:認証の不備
  • A3:2017:機微な情報の露出
  • A4:2017:XML外部エンティティ参照(XXE)
  • A5:2017:アクセス制御の不備
  • A6:2017:不適切なセキュリティ設定
  • A7:2017:クロスサイト・スクリプティング(XSS)
  • A8:2017:安全でないデシリアライゼーション
  • A9:2017:既知の脆弱性のあるコンポーネントの使用
  • A10:2017:不十分なロギングとモニタリング


引用:OWASP

こちらは「OWASP Top 10 2013」と「OWASP Top 10 2017」のリストです。OWASP 2017で取り上げられた問題点のほとんどが2013でも見られ、その内容もまた酷似しています。これは WebアプリケーションのセキュリティがWebの進歩にまだ十分追いついていないことを示しています。次項ではTop 10の脅威について、1つずつ解説します。

 

OWASP 2017の10大脅威

A1: インジェクション

インジェクション攻撃(Injection Attack)とはソフトウェアへの攻撃手法の一つで、外部から文字列の入力を受け付けるプログラムに対し開発者の想定外の不正な文字列を与え、システムを乗っ取ったりデータの改ざんを行ったりする手法です。インジェクションは「悪用のしやすさ」が最高の3、「蔓延度」が2となっていて、依然警戒すべき脅威のひとつです。最も一般的でよく知られたインジェクション攻撃はSQLインジェクション(SQLi)で、攻撃者がデータベースのテーブルを公開するSQLステートメントを挿入することなどを指します。他にもディレクトリシステムを攻撃するLDAPインジェクション、不正なOSコマンドを送信するOSコマンド・インジェクションなどがあります。OWASPの脅威では1位になっていますが、「検出のしやすさ」としては3の評価で、コードを調べることで簡単に発見できるとレポートされています。

A2: 認証の不備

以前は「認証の不備とセッション管理」と呼ばれていました。認証やセッション管理に関連するアプリケーションの機能は、不適切に実装されていることがあります。不適切な実装により攻撃者はパスワード、鍵、セッショントークンを侵害でき、他の実装上の欠陥を利用して一時的または永続的に他のユーザの認証情報を取得します。強力な認証方式とセッション管理を実装し、ユーザが確実に本人であるかを検証しなければいけません。

A3: 機密データの露出

多くのウェブアプリケーションやAPIは財務情報、健康情報や個人情報といった重要な情報を適切に保護していません。攻撃者はこのように適切に保護されていないデータを窃取または改ざんして、クレジットカード詐欺、個人情報の窃取やその他の犯罪を行う可能性があります。OWASPは機密データについて、保存されているものも一時的なものもすべて暗号化し、できる限り早く廃棄することを強く推奨しています。

A4: XML外部実態参照(XXE)

XMLプロセッサはXMLドキュメントに指定された外部ファイルのコンテンツをロードするように構成されていることがよくあります。この脆弱性は、DoSやディレクトリトラバーサル(パストラバーサル)、SSRF(Server Side Request Forgery / サーバサイドリクエストフォージェリ)、Port Scan(ポートスキャン)といった攻撃にも繋がる脆弱性です。OWASPはXMLプロセッサのこの機能を無効化するよう推奨しています。

A5: アクセス制御の不備

アクセス制御の不備とは、ユーザが自分の権限以上の機能を実行できる場合や他のユーザの情報にアクセスできる場合を意味します。攻撃者はこのタイプの脆弱性を悪用して他のユーザのアカウントへのアクセス、機密ファイルの表示、他のユーザのデータの変更、アクセス権の変更など、権限のない機能やデータにアクセスすることができます。OWASPは機能へのアクセスを信頼したユーザに限定する「deny by default」ルールの徹底、アクセス制御チェックの実装等を推奨しています。

A6: セキュリティ設定のミス

不適切なセキュリティの設定は通常、安全でないデフォルト設定、不完全またはアドホックな設定、公開されたクラウドストレージ、不適切な設定のHTTPヘッダ、機微な情報を含む冗長なエラーメッセージによりもたらされます。すべてのオペレーティングシステム、フレームワーク、ライブラリ、アプリケーションを安全に設定するだけでなく、それらに適切なタイミングでパッチを適用することやアップグレードをすることが求められます。

A7: クロスサイト・スクリプティング(XSS)

クロスサイト・スクリプティングは、Webサイト閲覧者側がWebページを制作できる掲示板やTwitter等の動的サイトに対して、自身が制作した不正なスクリプトを挿入するサイバー攻撃です。攻撃者は信頼性の高いサイト上のページを変更することにより、信頼されていないサイトと通信して重要なデータを公開したり、マルウェアを拡散させたりする可能性があります。

A8: 安全でないデシリアライゼーション

安全でないデシリアライゼーション(Insecure Deserialization)は、リモートからのコード実行を誘発します。デシリアライゼーションの欠陥によるリモートからのコード実行に至らない場合でさえ、リプレイ攻撃やインジェクション攻撃、権限昇格といった攻撃にこの脆弱性を用います。OWASPはデシリアライズするオブジェクトの種類を制限するか信頼されていないオブジェクトを一切デシリアライズしないことを推奨しています。

A9: 機知の脆弱性を持つコンポーネントの使用

ライブラリ、フレームワークやその他ソフトウェアモジュールといったコンポーネントは、アプリケーションと同等の権限で動いています。脆弱性のあるコンポーネントが悪用されると、深刻な情報損失やサーバの乗っ取りにつながります。既知の脆弱性があるコンポーネントを利用しているアプリケーションやAPIは、アプリケーションの防御を損ない、結果的に様々な攻撃や悪影響を受けることになります。

A10: 不十分なロギングと監視

不十分なロギングとモニタリングは、インシデントレスポンスに組み込まれていないか、あるいは非効率なインテグレーションになっている可能性があります。その場合、攻撃者がシステムをさらに攻撃したり、攻撃を継続できたりするようにし、さらには他のシステムにも攻撃範囲を拡げデータを改竄、破棄、破壊することを可能にします。

 

OWASP Top 10の脅威へ対抗するWAF製品

多くの企業ではセキュリティ対策としてファイアウォールを導入しています。しかし、通常のファイアウォールは主にシステム及びネットワークを保護する機能であって、ここに挙げられているようなWebアプリケーションへの攻撃を保護するには限界があります。一般的にはWebアプリケーションファイアウォール(WAF)を導入することでWebアプリケーションに対する攻撃を防ぐことができます。

OWASPが発表した10大脆弱性にすべて対応した「クラウドブリック(Cloudbric)」を導入することで、これらの脆弱性に対し対策を講ずることができます。さらに、クラウド型で提供されるため、企業の規模に関係なく簡単に導入することができます。システム及びネットワークを保護するファイアウォールと併せてWAFを導入しWebサーバーを保護することで、二重のセキュリティで昨今の脅威からWebサイトを保護し情報漏えい等の被害を防ぐことが可能です。

cloudbric_hp_owasp_2

【コラム】10大Webアプリケーション脆弱性と対策法

by ブログ

昨今ハッカーによるWeb攻撃が単純にWebサイトをフリーズさせるたけではなく、個人情報流出や重要資料の削除などの大問題になっています。
こういうニュースを見る際に「脆弱性」という単語をご覧になりましたか?
地下市場の発達により、今は専門ハッカーでなくてもWebページにアクセスして脆弱性を見つける事が出来て、脆弱性を多く持っているWebサイトを探してくれる自動化ツールまで出来ています。
Webサイトを安全に保護する為には、ハッカーの標的になる「脆弱性」を把握してそれに対する補完及び対策を立てることが重要です。
今回はOWASPが提示した10大Webアプリケーション脆弱性について述べ、脆弱性に備える方法をご説明致します。
脆弱性

1.10大Webアプリケーション 脆弱性

OWASP Top 10(2017年)
A1: インジェクション A6: 不適切なセキュリティ設定
A2: 認証の不備 A7: クロスサイトスクリプティング (XSS)
A3: 機微な情報の露出 A8: 安全でないデシリアライゼーション
A4: XML外部エンティティ参照(XXE) A9: 既知の脆弱性のあるコンポーネントの使用
A5: アクセス制御の不備 A10: 不十分なロギングとモニタリング

 

A1 : インジェクション
SQL, OS, XXE, LDAP インジェクションに関する脆弱性は、コマンドやクエリの一部として信頼されないデータが送信される場合に発生します。
攻撃コードはインタープリタを騙し、意図しな いコマンドの実行や、権限を有していないデータへのアクセスを引き起こします。
A2: 認証の不備
認証やセッション管理に関連するアプリケーションの機能は、不適切に実装されていることがあります。
不適切な実装により攻撃者は、パスワード、鍵、セッショントークンを侵害したり、他の実装上の欠陥により、
一時的または永続的に他のユーザーの認証情報を取得します。
A3: 機微な情報の露出
多くのウェブアプリケーションやAPIでは、財務情報、健康情報や個人情報といった機微な情報 を適切に保護していません。
攻撃者は、このように適切に保護されていないデータを窃取または 改ざんして、クレジットカード詐欺、個人情報の窃取やその他の犯罪を行う可能性があります。
機微な情報は特別な措置を講じないでいると損なわれることでしょう。
保存や送信する時に暗号 化を施すことや、ブラウザ経由でやり取りを行う際には安全対策を講じることなどが必要です。
A4: XML外部エンティティ参照(XXE)
多くの古くて構成の悪いXMLプロセッサーにおいては、XML文書内の外部エンティティ参照を指 定することができます。
外部エンティティは、ファイルURIハンドラ、内部ファイル共有、内部 ポートスキャン、リモートコード実行、DoS(サービス拒否)攻撃により、内部ファイルを漏え いさせます。
A5: アクセス制御の不備
権限があるもののみが許可されていることに関する制御が適切に実装されていないことがありま す。
攻撃者は、このタイプの脆弱性を悪用して、他のユーザのアカウントへのアクセス、機密 ファイルの表示、他のユーザのデータの変更、アクセス権の変更など、権限のない機能やデータ にアクセスします。
A6 : 不適切 なセキュリティ設定
不適切なセキュリティの設定は、最も一般的に見られる問題です。
これは通常、安全でないデ フォルト設定、不完全またはアドホックな設定、公開されたクラウドストレージ、不適切な設定 のHTTPヘッダ、機微な情報を含む冗長なエラーメッセージによりもたらされます。
すべてのオ ペレーティングシステム、フレームワーク、ライブラリ、アプリケーションを安全に設定するだ けでなく、それらに適切なタイミングでパッチを当てることやアップグレードをすることが求め られます。
A7 : クロスサイトスク リプティング (XSS)
XSSの脆弱性は、適切なバリデーションやエスケープ処理を行っていない場合や、HTMLや JavaScriptを生成できるブラウザAPIを用いているユーザ入力データで既存のWebページを更新 する場合に発生します。
XSSにより攻撃者は、被害者のブラウザでスクリプトを実行してユー ザーセッションを乗っ取ったり、Webサイトを改ざんしたり、悪意のあるサイトにユーザーをリ ダイレクトします。
A8 : 安全で ないデシリアライ ゼーション
安全でないデシリアライゼーションは、リモートからのコード実行を誘発します。
デシリアライ ゼーションの欠陥によるリモートからのコード実行に至らない場合でさえ、リプレイ攻撃やイン ジェクション攻撃、権限昇格といった攻撃にこの脆弱性を用います。
A9 : 既知の 脆弱性のあるコン ポーネントの使用
ライブラリ、フレームワークやその他ソフトウェアモジュールといったコンポーネントは、アプ リケーションと同等の権限で動いています。
脆弱性のあるコンポーネントが悪用されると、深刻 な情報損失やサーバの乗っ取りにつながります。
既知の脆弱性があるコンポーネントを利用して いるアプリケーションやAPIは、アプリケーションの防御を損ない、様々な攻撃や悪影響を受け ることになります。
A10 : 不十分なロギング とモニタリング
不十分なロギングとモニタリングは、インシデントレスポンスに組み込まれていないか、非効率 なインテグレーションになっていると、攻撃者がシステムをさらに攻撃したり、攻撃を継続でき るようにし、ほかのシステムにも攻撃範囲を拡げ、データを改竄、破棄、破壊することを可能に します。
ほとんどのデータ侵害事件の調査によると、侵害を検知するのに200日以上も要してお り、また内部機関のプロセスやモニタリングからではなく、外部機関によって検知されています。

(引用:OWASP Top10 – 2017 https://www.owasp.org/images/2/23/OWASP_Top_10-2017%28ja%29.pdf)

2.脆弱性に備える為には

日々増加しているWeb攻撃に備えて、企業はWebアプリケーションを保護する為の効率的なプロセスと技術を持つ必要があります。
この為、まず自社のWebサイトに内在している脆弱性を認知・把握した後、必要に応じてWAF等のソリューションを導入するべきです。
多くの企業がWebサイトに数多くの顧客情報を保存しているので、企業は社会的責任と貢献の為に常にセキュリティを念頭に入れる義務を持っています。
全ての脆弱性について認知し、Web攻撃を防御してくれるWAFを導入して企業と顧客の資産を守りましょう。
Cloudbricのパートナーシップ制度はこちら
パートナーに関するお問合せはこちら
Cloudbricの製品情報はこちら
製品に関するお問合せはこちら