LAMP / LAPP システム開発 - スプライン

スプラインは情報技術をビジネスに生かすためのお手伝いを致します。

セキュリティ評価サービス

不特定多数に対しサービスを提供するWEBシステムにおいては、セキュリティに対する注意が十分必要です。スプラインはお客様が現在運用しているWEBシステムの、安全性を評価するサービスを行っております。これまで技術者の手作業によるセキュリティ監査には、かなりの費用が掛かりました。スプラインでは低予算で開発されたサイトに多く存在すると思われるセキュリティホールに特化したサービスを実現する事で、リーズナブルな価格でのセキュリティ対策に取り組みます。中小規模サイトに適したサービスであると考えております。

SSLとファイヤーウォールだけで安全ですか?

WEBシステム向けによく知られているセキュリティシステムとして、SSLとファイヤーウォールがあります。前者は送受信情報の暗号化に、後者は不正侵入防止に用いるシステムです。

SSLとファイヤーウォールは、いずれも有効なシステムであり、WEBサイトの安全性を高めます。SSLによって暗号化された情報を正面から突破し解読する事や、ファイヤーウォールで遮断されたポート(通信用の出入口)から情報のやり取りをする事は不可能に近いと言えます。この2つは開発者のみならず一般の方にも広く知られており、導入されているサイトも沢山あります。

その一方、SSLやファイヤーウォールで遮断できないセキュリティホールが沢山あります。クロスサイトスクリプティング、SQLインジェクション等と言われる攻撃方法を許してしまうと、個人情報漏洩問題を発生させたり、悪意ある人間に大規模な破壊活動を行う隙を与えてしまいます。これらの攻撃方法に対しSSLはほとんど無力であり、ファイヤーウォールでも防御できません。

スプラインでは、お客様のサイトにこれらのセキュリティホールが無いかどうかを調査致します。

クロスサイトスクリプティングとは何か?

クロスサイトスクリプティングのイメージ図クロスサイトスクリプティングとは主にJavaScriptを悪用した攻撃方法で、エンドユーザーのPCから情報を盗み出す不正技術です。XSSと呼ばれる事もあります。入力フォームが存在するサイトで特に注意が必要です。

お客様のWEBサーバーを利用しているユーザーが何かのキッカケで攻撃者のWEBサイトを見てしまったとします(1)。すると攻撃者のWEBサーバーは、お客様のWEBサーバーに不正な情報を発信するように、ユーザーのPCに指示します(2)。その情報に基づきユーザーがお客様のWEBサーバーに情報を発信してしまうと(3)、お客様のWEBサーバーはユーザーのPCに対し、攻撃者に機密情報を引き渡すように指示してしまいます(4)。この結果、攻撃者はユーザーの機密情報を入手し(5)、さらに攻撃者が解析を行う事で善意のユーザーのログインパスワードやクレジットカード番号、その他個人情報を入手できてしまう可能性があります。

クロスサイトスクリプティングを遮断するプログラミングスタイルやその他のソリューションとして、様々な物が考案されています。しかし、現状では残念ながら深く浸透しているとは言えません。プログラムの入力データチェックが完璧なら起こりにくい問題ではありますが、対応できていないサイトは無数に存在します。多くのサイトにおいてクロスサイトスクリプティング脆弱性が確認されているのが現状です。

攻撃者のWEBサイトとお客様のWEBサイトの2つのサイトにまたがりスクリプトのやり取りが行われる事から「クロスサイトスクリプティング」と呼ばれています。

SQLインジェクションとは何か?

またSQLインジェクションとはサーバーのデータベースを外部から自由に操るクラッキング技術です。SQLインジェクションによって情報が漏洩する可能性もありますが、それ以上に驚異なのがサーバーのデータを改竄されてしまう可能性がある事です。

SQLインジェクションも入力フォームの入力チェックのミスを利用しますが、情報の流れはクロスサイトスクリプティング程複雑ではありません。攻撃者はお客様のWEBサーバーに脆弱性を発見すると、入力フォーム等を利用して不正な情報を送信します(1)。WEBサーバーは入力フォームの情報を保存するためにデータベースにアクセスします(2)。しかし、この時データベースに指示される情報は攻撃者によって作成された不正な命令なので、データを改竄したり破壊したりする結果に繋がります。

その他のセキュリティホール

SSLやファイヤーウォールで防げないセキュリティホールとして、クロスサイトスクリプティング脆弱性とSQLインジェクション脆弱性をご紹介致しました。その他にも驚異となるセキュリティホールは沢山あります。代表的な物をいくつかご紹介致します。

パラメーター改竄

入力フォームに開発者が予期しないパラメーターを入力する攻撃方法です。結果としてSQLインジェクションに繋がる場合がありますが、それ以外にも多くの不都合を発生させる事が可能です。

バッファオーバーフロー

システムが想定しているメモリ使用量を越える量のメモリを、強制的に利用させる攻撃方法です。サーバー上で悪意あるプログラムを実行されてしまう危険性もあります。

OSコマンドインジェクション

サーバーが稼動しているOSで、任意のコマンドを実行させる攻撃です。

スプラインでの評価実績例

現在、ほとんどのサイトにおいてなんらかの潜在的なセキュリティホールが存在しているのでは無いかと言われています。特にクロスサイトスクリプティング脆弱性に関しては、67%のWEBサイトに存在しているとの統計も存在します。スプラインでは、主にクロスサイトスクリプティングとSQLインジェクションに着目し、お客様のシステムを再評価し、レポートを提出致します。以下は他社様よりご依頼を頂き、スプラインで調査したセキュリティ評価の実績の例です。

某クレジットカード認証システム

クロスサイトスクリプティング脆弱性を発見。悪用する事により他人のクレジットカードで買い物が出来てしまう事を証明した。

某メールマガジン発行システム

SQLインジェクション脆弱性を発見。悪用する事により、全顧客データを抹消できてしまう事を証明した。

某金融システム

SQLインジェクション脆弱性を発見。ハードウェアに数千万円を投資した大規模冗長化システムであるにも関わらず、たった1台のPCからある操作をするだけで、サーバーに運用不可能な程の負荷を与える事が可能である事を証明した。

某運用管理システム

パラメーター改竄脆弱性を発見。管理者のレベルを責任者、一般管理者、アルバイトの3つのレベルで差別化していたが、アルバイト権限でログインしても、責任者と同等の処理を行えてしまう事を証明した。

某金融システム

対象となる金融機関の関連システム会社がセキュリティホールを発見。当社で依頼を受け、追試(問題の再確認)およびセキュリティパッチの作成を行った。また、フィッシング詐欺のサンプルプログラムを作成し、パッチを施していない状態では大規模な問題に発展する可能性がある事をプレゼンテーションした。

WEBの安全性を高めるために、是非当社のセキュリティ評価サービスをご利用下さい。セキュリティ評価サービスではお客様のサーバーを調査し、レポートを返送致します。レポートに従いサーバーのプログラムを修正する事でセキュリティを高める事が出来ます。また現在すでに開発会社との保守契約が切れてしまっている場合には、当社にてセキュリティパッチを行う事も可能です。

レポートサンプルも是非、ご覧下さい。

PDFファイルをご利用になるには、Adobe Systems Incorporated(アドビシステムズ社)が無料配布しているAdobe® Reader®が必要です。お持ちでない方は次のアイコンからダウンロードしてからご利用ください。 また、クリックしてもページが表示されない場合は、PDFファイルをダウンロードしてからご利用下さい。

Get Adobe Reader

ご依頼の手順と料金

セキュリティ評価サービスは、以下の手順により行われます。

ご依頼フォームの作成→事前調査

セキュリティ評価サービスご依頼フォームを記述し、送信して下さい。送信して頂きました内容に基づき、事前調査を行います。事前調査では当社でご依頼を承る事が可能かどうか、当社のサービスが有効であるかどうか等を調査致します。また事前調査の段階で御社の技術担当者の方に、いくつか質問させて頂く場合があります。この段階では費用は一切発生致しません。一次調査のキャンセルは事前調査中ならいつでも行えますので、是非お気軽にお申込下さい。

一次調査料金のお振込→見積書の送付

事前調査の結果は、メール、またはお電話でお知らせ致します。ご依頼頂く事が可能な場合、一次調査の料金73,500円(税込)をお振込下さい。お振込確認後、一次調査を行います。一次調査ではお客様のシステムの規模を調査し、お見積を作成しメールで送信致します。

二次調査の開始

お見積に同意頂けましたら、発注書を御送付下さい。折り返し発注請書をお送りし、調査を開始致します。

残金のお振込→レポートの提出

調査が終了し、調査レポートを作成致しましたら、その旨お知らせ致しますので残金をお支払い下さい。ご入金確認後に、調査レポートを郵便書留でお送り致します。

セキュリティホールの修正

レポートに基づき、セキュリティホールを修正して下さい。修正作業は契約されております開発業者様にご依頼下さい。または弊社にて修正を行う事も可能です。ご希望の場合はお問い合わせ下さい。


LAMP / LAPP システム開発 - スプライン