海の向こうの“セキュリティ”
第44回:OWASPがWebアプリケーションの10大リスクを更新 ほか
●韓国で「CODEGATE 2010」開催
韓国で4月7日・8日の2日間に渡り、毎年恒例のセキュリティ関連のイベント「CODEGATE 2010」が開催されました。このイベントで毎年注目を集めるのはクラッキング技術などを競うコンテスト。
◆CODEGATE 2010
http://www.codegate.org/
◆CODEGATE 2010ブログ
http://blog.naver.com/codegate
今回は「国際ハッキング防御大会」と題して、4月7日の朝10時から翌8日の朝10時までの24時間行なわれました。
昨年はコンテスト終了1分前の大逆転で韓国のチームが優勝しましたが、今年は終了29分前まで3位に着けていたスウェーデンのチーム「HFS」が最後に高得点の問題を解いて大逆転し、優勝しました。
今回のコンテストは、3月13日から14日にかけて行なわれた予選を通過した8チームで競われました。予選に参加したのは30カ国・627チーム。予選を通過した8チームは以下の通りです。
・PPP(米国)
・int3pids(スペイン)
・Re Al Geeks(韓国)
・citctf(ロシア)
・HFS(スウェーデン)
・GoN(韓国)
・sutegoma2(日本)
・Nibbles(フランス)
今回のコンテストの課題は、3Dで具現化されたユビキタス仮想都市「CODEGATE CITY」を舞台にクラッカー(侵入者)に対抗して、データベースセキュリティ、ファイルサーバー脆弱性分析、ネットワークサービス分析、メモリーフォレンジクス、暗号学、Webセキュリティ、リバースエンジニアリングなどの技術を使って、都市を復旧・正常化させるというもの。
コンテスト中は順位が大きく変動したそうですが、最終的な順位は以下の通り。
1位:HFS(スウェーデン) 賞金2000万ウォン
2位:PPP(米国) 賞金1000万ウォン
3位:int3pids(スペイン) 賞金 500万ウォン
今回は日本からの参加もありましたが、残念ながら上位入賞はならなかったようです。
さて、今回優勝したスウェーデンのチーム「HFS(Hacking for Soju)」は昨年のコンテストにも「WHMM」のチーム名で参加、最終順位は7位でした。今回参加したチームメンバー4人のうち3人が昨年も参加したメンバーだそうです。
◆昨年の順位表
http://internet.watch.impress.co.jp/static/column/security/2009/05/12/codegate1.html
ちなみに、今回のチーム名「Hacking for Soju」のSojuは韓国語で焼酎。チームメンバー全員が韓国焼酎好きということで、この名前になったそうで、優勝賞金2000万ウォンでまず焼酎パーティーを開き、その後は世界で最も速いコンピューターを買ってホワイトハッカーとして活動すると語っています。
前回の記事で紹介した「Pwn2Own」もそうですが、この手のコンテストははっきり言ってしまえば「お祭り」に過ぎないので純粋に公平に技術を競うというものではありません。それでもこのような「お祭り」が技術者たち(特に若い世代)のモチベーションの維持・向上に繋がることは確かでしょう。今後、このような国際的なイベントが日本でも開催される、またはこのような国際的なイベントで日本のチームが活躍するようになることを願ってやみません。
また、今回のコンテストのように、単にクラッキング(侵入・改ざん)技術を競うのではなく、それに関連した総合的な技術を使って「復旧・正常化する」という極めて実践的で有益なテクニックを競うというのはとても興味深いです。
◆デジタルデイリー(2010年4月8付記事)
http://www.ddaily.co.kr/news/news_view.php?uid=61747
◆etnews.co.kr(2010年4月8付記事)
http://www.etnews.co.kr/news/detail.html?id=201004080282
●FBIが容疑者のGoogle Docsから証拠集め
昨年、FBIがスパム送信者を逮捕するにあたり、容疑者のGoogle Docsのデータから証拠を集めていたことが裁判資料から明らかになったとの報道がありました。
この事例自体は正規の捜査令状に基づくものであり、法的な問題はありません。しかしその一方で人権団体などは懸念を表明しています。
確かに容疑者本人のPCではなく、Google Docsのようなサービスプロバイダー側にデータが保存されているような場合、捜査令状がより取得しやすいといった「ハードルの低さ」があるのではないかという懸念はかねてより指摘されていたことではあります。
現時点では少々大げさに捉え過ぎているきらいもありますが、「クラウド」に対して少なからざる人々が感じていた不安を、より多くの人々と具体的な形で共有するきっかけとなった出来事と言えるかもしれません。
◆Wired.com(2010年4月16日付記事)
http://www.wired.com/threatlevel/2010/04/cloud-warrant/
●OWASPがWebアプリケーションの10大リスクを更新
Webアプリケーションのセキュリティに関する活動している「オープン」なコミュニティ「OWASP(Open Web Application Security Project)」が、企業におけるWebアプリケーション利用にあたっての10大リスクを発表しました。
◆OWASP TOP 10 FOR 2010 RELEASED
http://www.owasp.org/index.php/OWASPTop10-2010-PressRelease
これは2007年に発表したものを2010年の状況にあわせて更新したものです(2007年と 2010年の順位は表1を参照)。また、今回の更新ではリスクの評価方法が変更され、単に脆弱性の数や頻度だけに依存するものではなくなっています。具体的には、攻撃の容易さ、弱点の広まり具合、弱点探知の容易さ、技術的な影響など複合的な要素から算定されています。
表1 2007年と2010年の10大リスク比較 |
2007年と2010年のランキングを比較すると、まず2007年にソフトウェアの問題ではないとして削除されていた「Security Misconfiguration(=Insecure Configuration Management)」が組織的なリスクや広まりの度合いといった視点から復活しています。
また、2007年に「A3」として挙げられていた「Malicious File Execution」が、主にPHPに起因する問題であったのに対し、現在ではPHPがデフォルトで安全な設定になっていることから、削除されています。
他にも、2007年に「A6」として挙げられていた「Information Leakage and Improper Error Handling」が「Security Misconfiguration」に吸収される形で削除されています。
しかし、ランキングに挙げられた事項はあくまでOWASPが一般的な状況を想定して算定したものに過ぎません。また、挙げられた10項目以外を無視してよいわけでもありません。OWASPでは、このランキングは単なるデータに過ぎず、何らかの「標準(Standard)」を示すものではないと強調しています。
なお、「標準」に関しては、現在進行中のOWASP Application Security Verification Standard(ASVS)Projectもあわせて紹介されています。
ASVSは商用利用可能なオープンな標準として、アプリケーションレベルのセキュリティ検査について4つのレベルを定義するものであり、日本語の資料も公開されています。
◆OWASP Application Security Verification Standard Project
http://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project
◆OWASP Application Security Verification Standard日本語版(PDF)
http://owasp-asvs.googlecode.com/svn/trunk/documentation/asvs-webapp-release-2009-jp.pdf
●韓国でキーボードを使わないパスワード入力方式に障害者団体が反発
4月15日、韓国放送通信委員会とインターネット振興院(KISA)が、キーロガーなどによるパスワード流出を防ぐための新しいパスワード入力方式「SecurePass」を発表したことに対して、障害者団体などが反対を表明したとの報道がありました。
SecurePassとは、画面上で無作為に変わる文字や数字をマウスでクリックしてパスワードを入力するというもので、これを使えば、インターネットバンキングでの暗証番号の入力やクレジットカードの番号を安全に入力することができるとしています。放送通信委員会とKISAは、このSecurePassの技術を韓国国内の企業に供与することで、国内の産業振興と海外市場進出を期待しているようです。
しかし、この入力方式は視覚障害者などには利用不能な技術であることから、反発の声が上がっています。韓国にはすでに障害者Webアクセシビリティ標準として「インターネット・ウェブ・コンテンツ接近性指針」があり、それによるとキーボードだけでもWebコンテンツが提供するすべての機能を使えるようにしなければならないとされており、SecurePassはこれを無視しているというのです。なお、韓国視覚障害者連合会・韓国ウェブ接近性評価センターでは、公式に抗議文を送るとしています。
そもそも、SecurePassは単にキーボードからの入力情報の漏えいを防げるだけなので、画面キャプチャーや通信傍受などで、全く意味をなくす方式に思えます(苦笑)。
◆デジタルタイムス(2010年4月15日付記事)
http://www.dt.co.kr/contents.html?article_no=2010041602010560600009
2010/5/13 06:00
-ページの先頭へ-