HackerSafe証明書に偽りあり？

　Dan Godin氏は数日前、McAfeeが最近買収したHackerSafe部門がさらされている問題について素晴らしい記事を書き、The Resisterに取り上げられた。私がこの記事で面白いと思ったのは、HackerSafeがウェブアプリケーションのセキュリティホールを調べるスキャニングツールを使っていることだ・・・もちろん、ツールには限界があり、SQLインジェクションのように自動的に検出できるような簡単なものしか調べることができない。ウェブアプリケーションファイアウォール（WAF）と同じように、ツールは一定のセキュリティを提供するが、断じて完全なソリューションではない。

　Godin氏の記事には次のように書かれている。

　McAfeeによって「ハッカーに対して安全」だという証明を受けている60以上のeコマースサイトにセキュリティ上のバグが報告されてから3ヶ月以上経ったが、このほどあるセキュリティ研究者が新たに一連の脆弱性のあるウェブサイトを明らかにした。

　HolisticInfoSec.orgのセキュリティコンサルタントであるRuss McRee氏は、「ハッカーに対して安全」だと宣言するロゴを掲げる5つのサイトに、クロスサイトスクリプティング（XSS）の脆弱性があることを報告した。McRee氏はブログの記事に動画も掲載し、攻撃者が認証情報を盗んだり、閲覧者を悪意のあるウェブサイトに誘導したりすることが可能なバグについて説明している。

　5つのサイトすべてがMcAfeeのHackerSafe証明書サービスに登録している。このサービスは、日常的にウェブサイトのセキュリティを監視し、サイトへの訪問者がそこで取引をしても安全だという信頼を与えるものだ。McRee氏はGoogle検索のオプション機能を使って脆弱性のあるウェブアプリケーションを特定することでこの問題を発見できており、少なくとも1つのケースでは、このXSS脆弱性は1月から顧客のサイトに存在するという。

　「このサービスには、消費者への責任が欠如しているようだ。一般的な消費者は、このラベルを見たら自分は安全に違いないと考えるだろう」とMcRee氏はわれわれに話した。

　5つの脆弱性のあるサイトは、Alsto.com、Delaware Express、BlueFly、Improvements Catalog、Delightful Deliveriesだ。

　McAfeeの広報担当者は、同社はXSS脆弱性をSQLインジェクションやその他のセキュリティホールよりも危険度を低く評価していると述べた。「現在のところ、ウェブサイトにXSSの脆弱性が存在してもHackerSafe証明書に不適合にはならない」と広報担当者は話した。「McAfeeがXSSを特定した場合には、顧客に対しこれを通知し、XSS脆弱性について啓蒙している。」（McAfee広報担当者）

　本気だろうか？XSSがあってもHackerSafe証明書に不合格にはならない？これは、不合格になるべきだし、もしXSS脆弱性があれば、そのサイトは断じてハッカーに対して安全とは言えない。記事は次のように続く。

　これらの公表されたサイトは、最近のHackerSafeのサイトだけだ。1月には、XSSed.comの研究者が同サービスに登録している62のウェブサイトがXSS脆弱性を持っていることを公表している。HackerSafeの広報担当者は、InformationWeekに対し、その時点でこのセキュリティホールはサーバーをハックするのに利用することはできなかったと述べている。

　そうだろうか？サーバーをハックするには使えない？仮にそれを受け入れるとしても、この脆弱性は被害者の個人情報や認証が必要なアカウント、OSなどを攻撃するには100％使えるし、ローカルエリアネットワークを破られる可能性さえある。

　実際問題として、クロスサイトスクリプティングには多くのことができる。XSSを私が手がけているプロトコルハンドラ不正利用の研究や一部のActiveX攻撃と組み合わせれば、閲覧者のクライアントマシンを破れる可能性がある。Anti-DNS Pinning攻撃と組み合わせれば、被害者のネットワーク内部の資源を攻撃できる可能性もある。クロスサイトスクリプティング攻撃はその性質から持続的なものであり（攻撃はデータベースに保存され、その後そのページを訪れるすべてのユーザーを攻撃するのに使うことができる）、プロトコルハンドラやブラウザの弱点を突く攻撃と組み合わせられると、伝染性を持つ。

　従って、McAfeeがここで公式に表明しているのは、彼らはHackerSafeのロゴに対して支払いをしている人たちのセキュリティだけしか気にしておらず、それらのサイトのユーザーのセキュリティについては明らかに気にしていないということだ。そうでなければ、XSSに対してより厳しい基準を採用しているはずだ。ウェブのXSSがこれだけ普及していることを考えれば、もしXSS脆弱性がある場合はロゴを与えないことにすると、事業にならないという状況なのかも知れない。ロゴを取得するためにMcAfeeに金を払っているのは企業であり、結局はMcAfeeが本当に気にしているのは金のことだけだということだろうか。

　Goodin氏はこう続けている。

　この脆弱性は、クレジットカードの支払いを処理する事業者に要求されている、いわゆるPCIデータセキュリティ基準の問題を提起する。McRee氏によれば、XSS脆弱性を持つウェブサイトはほぼ確実にこの基準に合致しないが、それでもそれらのサイトの大部分はクレジットカードを受け付け続けている。しかし、この要件に関する問題についてはまたの機会に扱うことにしよう。

　McAfeeはこのプログラムの欠陥を修正するのに3ヶ月あったはずだが、これまでに修正した形跡は見えない。われわれはウェブサイトがセキュリティの脅威の急速な変化についていくのを助けるサービスには全面的に賛成だ。しかし、簡単に見つかるXSSの問題を抱えた顧客をハッカーに対して安全だと宣言するプログラムには異論がある。これは形式的に承認しているだけと言われても仕方がないもので、止めるべきだ。

　Dan、君は100％正しい。WAFやスキャニングツールだけでは不十分だということが理解されるべきだ。また、本当は偽物にも関わらず特効薬だと言われるようなものではなく、本物のセキュリティが必要だということが理解されるべきだ。