2. 脆弱性により引き起こされた被害～被害事例の …Title 2. 脆弱性により引き起こされた被害～被害事例のケーススタディ～ Author

Copyright © 2010 独立行政法人情報処理推進機構ウェブサイト運営者向けセキュリティ対策セミナー

2. 脆弱性により引き起こされた被害～被害事例のケーススタディ～

独立行政法人情報処理推進機構 (IPA)

セキュリティセンター

情報セキュリィ技術ラボラトリー

2010年8月6日公開


目次

1

1. 被害事例に基づくケーススタディ2. ケーススタディ（A）

ショッピングサイトAへのSQLインジェクション攻撃

3. ケーススタディ（B）レンタルサーバBへのOSコマンド・インジェクション攻撃

4. 攻撃事例のケーススタディJVN iPediaへの攻撃事例

5. まとめ


被害事例に基づくケーススタディ

2


相次ぐウェブサイトにおける事件

• 日々報道されるウェブサイトにおける事件

• 事件の原因の1つ– ウェブアプリケーションの脆弱性

3

改ざん

個人情報の漏えい

企業のウェブサイトにおける医療系企業のウェブサイト地方自治体のウェブサイト

ショッピングサイトにおけるアウトドア用品販売サイト PC ソフト販売サイト

オンラインゲームにおける不正アクセス


脆弱性の届出状況

• 脆弱性のあるウェブサイトの存在

– 届出されるウェブサイトは氷山の一角

4

37 46 49 66 52 69 54 60 51 43 39 24 32 96 95 103 80 244 208

509

1,430

801

386

131 127 139465 511 560 626 678 747 801 861 912 955 994 1,018 1,050845 940 1,043 1,1231,3671,575

2,084

3,514

4,3154,701 4,832 4,959 5,098

0

1,000

2,000

3,000

4,000

5,000

0200400600800

1,0001,2001,400

1Q2007

2Q 3Q 4Q 1Q2008

2Q 3Q 4Q 1Q2009

2Q 3Q 4Q 1Q2010

累計件数

四半期件数

ソフトウェア製品

ウェブサイト

ソフトウェア製品（累計）

ウェブサイト（累計）

図1.脆弱性関連情報の届出件数の四半期別推移


脆弱性により引き起こされた被害

• 脆弱性が悪用されると・・・

5

いつも同じこと言われているから、全然怖くない。うちで起こることはないだろうし。

改ざん個人情報の漏えい不正アクセス

こういった被害はすでに報道等で聞いたことがある

レンタルサーバを使っているから、レンタルサーバ会社にまかせれば大丈夫。

実際に自社のウェブサイトで事件が起こったら、何が起きるのか？


被害事例に基づくケーススタディ

• 被害事例に基づく2つのケーススタディ

6

ケーススタディ（A）:ショッピングサイト A への

SQLインジェクション攻撃

ケーススタディ（B）:レンタルサーバ B への

OSコマンド・インジェクション攻撃


ケーススタディ（A）：ショッピングサイトAへのSQLインジェクション攻撃

7


ケーススタディ(A)：ショッピングサイトA ＜概要＞

8

ショッピングサイトA●●株式会社が運営するショッピングサイト

10万人以上の個人情報を保持自社開発のウェブアプリケーションセキュリティ対策の実施ファイアウォールの導入脆弱性診断ツールの実施


ケーススタディ(A)：ショッピングサイトA ＜事件＞

■ SQLインジェクション攻撃による被害

9

改ざん個人情報の漏えい

生活用品のインターネット通販を展開する●●株式会

社が運営するショッピングサイトAが不正アクセスに遭い、個人情報の漏えい事件が発

生した。●●株式会社は、同社が保持するクレジット

カード情報を含む最大10万件の個人情

報が漏えいした事実を確認した。同社は、事件の原因

およびクレジットカード情報の不正利用がないか、調査を継続中と発表している。・・・・・


【参考】SQLインジェクションの脆弱性

• SQLインジェクションの脆弱性

– 発生しうる脅威

• データベース(*)に蓄積された非公開情報の閲覧

• データベースに蓄積された情報の改ざん、消去

10

悪意のある人ウェブサイト

データベース

改ざん

情報漏えい

(*) データベース：関連し合うデータを収集・整理して、検索や更新を効率化したファイル。


ケーススタディ(A)：ショッピングサイトA ＜被害＞

ウェブサイトはどんな被害を受けたのか

– 営業停止期間の機会損失

– 賠償用買い物ポイント

• 500円分/人 x 10万人 = 5,000万円相当

– 詫び状送付関連費用

– 調査人件費

– 被害者対応人件費

– （失った顧客、信用）

11

これらの被害をもう少し掘り下げてみよう


ケーススタディ(A)：ショッピングサイトA ＜考察＞

●●株式会社代表取締役の視点

12

■ 営業停止期間の機会損失■ 賠償用買い物ポイント■ 詫び状送付関連費用■ 調査人件費■ 被害者対応人件費

顧客にどう説明するか。クレジットカード会社に補償に関して相談しないと。刑事事件

として届出でるか。



ショッピングサイトＡ運営者の視点

13

■ 休日を含む連日連夜の徹夜作業• 突発的なウェブサイト再構築• 度重なる顧客からの問い合わせ• 関係組織との打ち合わせ

■ 突発的な作業にともなう２次トラブル• お詫びメールの誤送信

新しい販促キャンペーンの検討しなきゃいけないのに・・・


このケーススタディから学ぶこと

14


脆弱性が悪用されると・・・


このケーススタディの勘どころ

15

ケーススタディ(A)：ショッピングサイトA ＜勘どころ＞


ケーススタディ（B）：レンタルサーバBへのOSコマンド・インジェクション攻撃

16


ケーススタディ(B)：レンタルサーバB ＜概要＞

17

レンタルサーバB ▲▲株式会社が運営しているレンタルサーバB 利用者にウェブサイトスペースを提供 1万以上のウェブサイトを収納ウェブアプリケーションを標準でインストール済みディスク容量に応じた料金プラン 10GB: 1,000円、20GB： 2,000円、30GB：3,000円


ケーススタディ(B)：レンタルサーバB ＜概要＞

18

レンタルサーバB 標準でインストール済みのウェブアプリケーションデータベース日記ソフト掲示板問い合わせフォーム


ケーススタディ(B)：レンタルサーバB ＜事件＞

■ OSコマンド・インジェクション攻撃による被害

19

▲▲株式会社が提供しているレンタルサーバBが不正アクセスに遭い、レンタルサーバBの200以上のウェブサイトのトップページが改ざんされた。

▲▲株式会社のプレスリリースによると、この不正アク

セスには同社のレンタルサービスで提供しているウェブアプリケーション（問い合わせフォーム）

の脆弱性が悪用された。現在同社はレンタルサー

バBからこのウェブアプリケーションを削除し、レンタルサービス利用者にも削除するよう、連絡している。・・・・・

改ざん


ケーススタディ(B)：レンタルサーバB ＜事件＞

• OSコマンド・インジェクション攻撃による

200以上のウェブサイト改ざん

20

悪意のある人レンタルサーバB

・・・・・

・・・・・

ウェブサイトA

ウェブサイトC

ウェブサイトB改ざん

改ざん

改ざんウェブサイトのトップページが改ざん

問い合わせフォームのOSコマンド・インジェクションの脆弱性が悪用された

・・・


ウェブサイト

【参考】OSコマンド・インジェクションの脆弱性

• OSコマンド・インジェクションの脆弱性

– 発生しうる脅威

• サーバ内ファイルの閲覧、改ざん、削除

• システム操作

21

シェル(*)

システム不正操作

悪意のある人

改ざん

情報漏えい

(*) シェル：ユーザから入力された文字列を解釈し、他のプログラムの起動や制御を行うプログラム。


ケーススタディ(B)：レンタルサーバB ＜被害＞

ウェブサイトはどんな被害を受けたのか

– 調査人件費

– 被害者対応人件費

– レンタルサーバ構成変更人件費

– コンテンツ復旧対応人件費

22

「誰が」これらの被害を受けたのか？


ケーススタディ(B)：レンタルサーバB ＜考察＞

レンタルサーバB利用者の視点– 調査人件費用

– 被害者対応人件費用

– レンタルサーバ構成変更人件費用

– コンテンツ復旧対応人件費用

23

■ コンテンツ復旧対応人件費用改ざんされたトップページの更新他のコンテンツの更新

私たちでは脆弱なウェブアプリケーションを修正できない・・・



レンタルサーバB提供者の視点– 調査人件費用

– 被害者対応人件費用

– レンタルサーバ構成変更人件費用

– コンテンツ復旧対応人件費用

24

■ 調査人件費用■ 被害者対応人件費用■ レンタルサーバ構成変更人件費用脆弱なウェブアプリケーションの削除

標準インストールウェブアプリケーションの見直し



このような被害はレンタルサーバに限らない

– ASPサービス

– クラウドコンピューティング

• Software as a service(SaaS)• Platform as a service(PasS)• Infrastructure as a service(IasS)

25


このケーススタディから学ぶこと

26




27

ケーススタディ(B)：レンタルサーバB ＜勘どころ＞


【参考】IPAに寄せられたウェブサイト運営者の声

28

「脆弱性を修正しようにも、ASPサービスの

部分の脆弱性だから、私たちでは修正できないんです・・・」

「レンタルサーバ提供事業者に脆弱性の修正を相談しているんですが、なかなか対応してもらえないんです・・・」


攻撃事例のケーススタディJVN iPediaへの攻撃事例

29


攻撃事例のケーススタディ

• 脆弱性対策を行っていれば、ケーススタディの基にした事件は起こらなかった

30

狙われるウェブサイトは限られているんじゃないの？それなら脆弱性対策しなくてもいいんじゃないか？

脆弱性対策をやっていれば攻撃の被害に遭わないの？

実際のウェブサイトへの攻撃事例を見てみよう

だけど・・・


JVN iPediaへの攻撃事例2009年1月～2010年3月

ウェブサイトを狙った攻撃があったと思われる件数

攻撃があったと思われる件数：平均14.7件/日攻撃が成功した可能性の高い件数：0件

312009年

（件）

2010年

SQLインジェクションの

脆弱性を狙った攻撃は全体の46%


JVN iPediaへの攻撃事例2010年2月 iLogScanner解析結果

32


JVN iPediaへの攻撃事例SQLインジェクション攻撃事例（1）

33

xxx.xxx.xxx.xxx - - [04/Feb/2010:16:50:23 +0900] "GET /search/index.php?mode=_vulnerability_search_IA_VulnSearch&lang=en&useSynonym=1&keyword=CVE-YYYY-NNNN'%20and%20char(124)%2Buser%2Bchar(124)=0%20and%20''=' HTTP/1.1" 200 44500 "-" "Internet Explorer 6.0“

xxx.xxx.xxx.xxx - - [04/Feb/2010:16:50:35 +0900] "GET /search/index.php?mode=_vulnerability_search_IA_VulnSearch&lang=en&useSynonym=1&keyword=CVE-YYYY-NNNN'%20and%201=1%20and%20''=' HTTP/1.1" 200 44477 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"

■ SQLインジェクション攻撃の調査行為

SQL文として意味を持つ文字列を入力してくるウェブブラウザからアクセスに偽装してくる


JVN iPediaへの攻撃事例SQLインジェクション攻撃事例（2）

34

yyy.yyy.yyy.yyy - - [14/Feb/2010:06:04:14 +0900] "GET //index2.php?option=com_joomradio&page=show_radio&id=-1+union+select+1,concat_ws(username,0x3a,password),3,4,5,6,7+from+jos_users-- HTTP/1.1" 404 208 "-" "libwww-perl/5.812"

zzz.zzz.zzz.zzz - - [20/Feb/2010:16:42:00 +0900] "GET /ja/contents/2008/JVNDB-2008-002127.html//index.php?option=com_idoblog&task=profile&Itemid=1337&userid=62+union+select+1,concat_ws(0x3a,username,password),3,4,5,6,7,8,9,10,11,12,13,14,15,16+from+jos_users-- HTTP/1.1" 404 248 "-" "libwww-perl/5.803“

■オープンソースソフトウェアの脆弱性を悪用する攻撃

コンテンツ管理システム Joomla の脆弱性を狙っている


JVN iPediaへの攻撃事例＜考察＞

■ 確認できたSQLインジェクション攻撃

35

(1). SQLインジェクション攻撃の調査行為(2). オープンソースソフトウェアの脆弱性を悪用する攻撃

(1). の対策：SQLインジェクションの脆弱性を作り込まない(2). の対策：最新バージョンのソフトウェアを使用する


JVN iPediaへの攻撃事例＜勘どころ＞

36



【参考】「古いバージョンを使用しているサイトへの注意喚起」

37

計49サイトにおける届出があった

計88サイトにおける届出があった

出典元： http://www.ipa.go.jp/security/vuln/documents/2009/200907_ec-cube.htmlhttp://www.ipa.go.jp/security/vuln/documents/2009/200909_openssl.html


まとめ

38


まとめ

• 本業に専念するために脆弱性対策をしよう

– ウェブサイトにおける事件が起こったら・・・

• 経営者、ウェブサイト運営者、現場のエンジニア全員に、本業以外の過度の作業が生じる

• ウェブサービスを提供している立場であると、多くのウェブサービス利用者に被害を与えてしまう

• 脆弱性対策ができていれば、ウェブサイトを多くの攻撃から防御できる

39

Documents

2. 脆弱性により引き起こされた被害 ～被害事例の …Title 2. 脆弱性により引き起こされた被害 ～ 被害事例のケーススタディ～ Author

2. 脆弱性により引き起こされた被害～被害事例の …Title 2. 脆弱性により引き起こされた被害～被害事例のケーススタディ～ Author