powered by Symantec

シマンテックの「脆弱性アセスメント」機能を 使ってみたDATA SHEET

このレポートは、シマンテックの「脆弱性アセスメント」を HASH コンサルティングの徳丸浩様に評価いただいた内容を基にまとめております。（2012 年 10 月10 日に HASH コンサルティングオフィシャルブログにて公開された内容を許可を頂いた上で転載および別途調査時のデータを追加しています。

徳丸　浩

1985 年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。1999 年に携帯電話向け認証課金基盤の方式設計を担当されたことをきっかけに Web アプリケーションのセキュリティに従事。2004 年同分野を事業化され、2008 年独立、Web アプリケーションセキュリティを専門分野とする「HASH コンサルティング株式会社」を設立。現在は、脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動をおこなっている。今回の引用したブログは、HASH コンサルティングオフィシャルブログ（http://blog.hash-c.co.jp/）で読むことが出来る。

シマンテックの提供する「EV SSL 証明書」と「グローバル・サーバ ID」を購入すると、「脆弱性アセスメント」の機能（以下、脆弱性アセスメント）が無償で提供される。この脆弱性アセスメントを実際に使ってみたので報告する。

脆弱性アセスメントとは何か脆弱性アセスメントはインターネット上の Web サイトから、登録対象サイトを指定して行う。いったん登録すると、自動的に週１回脆弱性診断を実施してレポートが作成される。その流れを下図に示す。

シマンテック

インターネット

外部からの診断

レポート（PDF）

ウェブサイト管理者

シマンテック管理者サイト（コントロールセンターなど）

PDF①週一回　アセスメント　診断

④管理画面で　詳細確認

②脆弱性発見

③メールでお知らせ

① シマンテックのサイトから診断を起動② 対象サイトに診断を実施③ 診断終了のメール通知④ ウェブサイト管理者は管理者サイトにて診断レポートを受け取る

使ってみる診断の設定は、管理者サイトから行う。サービスアグリーメントに同意して、「Activate Scanning Service」ボタンをクリックする。すると 24 時間以内（実際には数時間以内）に脆弱性スキャンが始まる。今回の試用では、オープンソースのアプリケーション

（phpMyAdmin、MovableType など）を導入して現実に近い環境で診断したが、診断は開始後 1 時間程度で終了していた。（シマンテック注記；CPU とネットワークトラフィックへの負荷に関しては、文末の参照情報をご確認ください。）

チェックボタン押下

診断が終了するとメール通知が来るので、シマンテックの Webサイトから「Download vulnerability report」というリンクをクリックしてレポートをダウンロードする。

なお、上図の下部に「Request On-Demand Scan」というボタンがあるが、これは、重大な脆弱性を発見した場合に表示され、これをクリックすると、定期的な診断を待たずに診断を開始する。レポートの脆弱性を対策した後に、再診断する際にこのボタンを用いるとよい。

結果ここでアセスメントの結果レポートを見てみよう。　利用者がまず確認するのは、診断結果サマリだ（下図）。

ご覧のように、脆弱性は危険度に応じて Critical（重大な危険性）と Informational（注意を要する危険性）に分類されている。脆弱性診断ツールの中には、危険度が 5 段階程度に細かく表示されるものも多いが、利用者に必要な情報は「対策が必要か否か」という判断なので、この二段階表示は分かりやすいと感じた。ただし、Informational の中にも対処した方がよいものが含まれる場合があるので、最初に検出された時に内容を確認した方がよいだろう。

縦の分類は、Web、アプリケーション、データベースなど脆弱性の発生箇所の分類だが、ここでは具体的な説明は割愛する。

ここで、Critical の脆弱性の一覧を見よう。下図のように、9種類の脆弱性が報告されている。 表右端の「Vulnerability Details」の欄はリンクになっていて、各脆弱性の詳細説明にジャンプすることができる。

紙面の関係で、いくつかの脆弱性をかいつまんで紹介する。

まず、VA-001 の詳細の冒頭は下表のようになっている。「Cross Site Scripting」とあるように、クロスサイトスクリプティング

（XSS）脆弱性であることが分かる。

表の意味は、脆弱性の ID が VA-001、脆弱性の発生した場所がアプリケーションであること、脅威の内容が認証情報の盗難

（セッションハイジャック）、脆弱性の発生要因が安全でないプログラミングにあることを示している。

表をさらに見ると、Technical Details として脆弱性の発生箇所が示される。具体例を以下に示す。

Vulnerable URL: http://www.dwd.jp/login.php?url=/itemlist.php<Script>alert

（"HelloSIG"）</Script>

HTTP request method: GET

Response Snippet: <Script >alert（"HelloSIG"）</Script>

シマンテックの「脆弱性アセスメント」機能を使ってみた

powered by Symantec

上記から、脆弱性のあるスクリプトが /itemlist.php であり、パラメータがクエリ文字列 url であることがわかる。この情報は、開発者が脆弱性を再現し、対策する上で役に立つ。対策方法はこのレポートにも簡単に説明しているが、IPA の「安全なウェブサイトの作り方」などを参考にするとよいだろう。

試験環境ではトップページから 5 階層たどった場所にも XSS 脆弱性があったが、正しく指摘されていた。ある程度深いところまでクロールを行っていることが伺えるが、検査の網羅性については保証されていないので、診断がもれる可能性はある。

同様に、このレポートでは SQL インジェクションも報告されている（VA-002）が詳細は割愛する。

次に、VA-006 を紹介する。詳細レポートの冒頭は以下の通りである。

この脆弱性は、MySQL のデータベースを管理するツールの中でも特に使いやすいことで人気の高い phpMyAdmin の脆弱性である。この表を下にたどって Vulnerability Details 欄を見ると、リモートからコードが実行可能であるという簡単な説明があるが、さらに VA-006 のリファレンス情報を参照すると、CVE-2011-2505 ～ CVE-2011-2508 が該当することがわかる。このCVE 番号を元に、JVN iPedia（IPA が運営している脆弱性データベース）を検索することで、脆弱性の詳しい内容を日本語で読むことができる。

次に、「Appendix A - Environment Information」からポートスキャンの結果を紹介する。ポートスキャンとは、診断対象サーバーに実際にネットワークアクセスして、活動中のポート番号とサービスの種類、ソフトウェアの種類とバージョン等を確認したものである。

ポートスキャンの内容はサーバーの役割毎に異なるので、正常・異常の区別はなく、あるがままの内容が表示される。レポートの読者は、本来のサーバーの役割から必要最小限のポート番号を基準として、レポートの表示内容が基準と相違ないかを確認すると良い。とくに、気をつけたいのが「本来公開する必要のない」はずのポートである。Web サーバーの場合、HTTP の 80 とHTTPSの443は必要だが、これら以外のポートが開いていると、不要なポート・サービスである可能性がある。

この例では、MySQL （3306 ポート）と PostgreSQL （5432ポート）は通常公開する必要のないポートである。また、FTP（21ポート）と telnet（23 ポート）はセキュリティ上の問題が生じやすいので、22 ポートで動作する ssh と scp で代替するべきである。このように、ポートスキャンの結果を精査することで、セキュリティ上の問題点を把握し、改善につなげることができる。

評価・まとめシマンテックの脆弱性アセスメントを試用した。当アセスメント機能は、定期的に（毎週）、対象サイトに影響（負荷やごみを残すようなマイナスの影響）を与えずに診断をすることが特徴である反面、診断の精度についてはツール診断であるための限界があるようである。具体的には、脆弱性ではないものを脆弱性と判定する「誤検知」や、脆弱性が実際にはあるのに検出しない「検知漏れ」の可能性がある。これらは、未知のサイトに対して外部から診断するツールの特性上、原理的にゼロにはできない。

しかし、毎週という高い頻度で定期的に診断することのメリットは大きい。なぜなら、脆弱性管理の以下の課題に対応するためには、定期的な診断が有効であるからだ。

▪▪ 脆弱性情報は日々更新されているので、サイトを脆弱性のない状態にしていても、ある日突然脆弱性のある状態に変わる

▪▪ 設定・更新作業などで、誤って脆弱な設定（不要なポートを公開してしまう等）になる可能性は常にある

このため、シマンテックの証明書を購入すれば利用できる「脆弱性アセスメント」機能を有効活用すれば、追加コストを掛けずに脆弱性管理の有力なツールが得られると言えるだろう。

Copyright ©2014 Symantec Corporation. All rights reserved.

シマンテック（Symantec）、ノートン（Norton）、およびチェックマークロゴ（the Checkmark Logo）は米国シマンテック・コーポレーション（Symantec Corporation）またはその関連会社の米国またはその他の国における登録商標、または、商標です。

その他の名称もそれぞれの所有者による商標である可能性があります。

製品の仕様と価格は、都合により予告なしに変更することがあります。本カタログの記載内容は、2014 年 4 月現在のものです。

お問い合わせ

〒107-0052　 東京都港区赤坂1-11-44 赤坂インターシティ

Tel : 0120-707-637

E-mail : websales_jp@symantec.com

合同会社シマンテック・ウェブサイトセキュリティhttps://www.jp.websecurity.symantec.com/

シマンテックの「脆弱性アセスメント」機能を使ってみた

DSVulnerability2012_1403

（参考情報）サービス利用時の負荷について「脆弱性アセスメント」と市販の著名検査ツール利用時の CPU、ネットワークトラフィックへの影響についての比較しました。

シマンテック SSL サーバ証明書は、「暗号化通信」、「ウェブサイト運営者の実在性証明」に加えて、ウェブサイトの脆弱性対策として「マルウェアスキャン」と「脆弱性アセスメント」を無償で付加。導入後も継続的に脆弱性を診断し、ウェブサイトの健康管理をお手伝いします。

シマンテックSSLサーバ証明書

※別途、ストアフロントまたはマネージドPKI for SSLでの設定が必要です。　マルウェアスキャンはすべてのSSLサーバ証明書に提供されます。　脆弱性アセスメントは、グローバル・サーバID EV、セキュア・サーバID EV、グローバル・サーバID をご利用のお客様に提供されます。

ログインユーザー IDパスワード

OK

利用者

ウェブサーバ

① 動的コンテンツを利用して データベースを攻撃

⑤ マルウェアコードによってデータが攻撃者へ転送される

③ データ漏えい④ 一般利用者が知らずに マルウェアコードを ダウンロード

② データ改ざん

DBサーバ

ハッカー

ウェブアプリケーションの脆弱性を狙った攻撃手法

1 2 脆弱性アセスメント（週次）

ハッカーからの攻撃を受ける前に、ウェブの弱点を未然に知らせる

マルウェアスキャン（日次）

ハッカーからの攻撃を即時に知らせて、被害の拡散を防ぐ

シマンテック 脆弱性アセスメントの負荷

某著名検査ツールの負荷