HackerSafe証明書に偽りあり?

文:Nathan McFeters(Special to ZDNet) 翻訳校正:石橋啓一郎 2008年05月02日 13時06分

  • このエントリーをはてなブックマークに追加

 Dan Godin氏は数日前、McAfeeが最近買収したHackerSafe部門がさらされている問題について素晴らしい記事を書き、The Resisterに取り上げられた。私がこの記事で面白いと思ったのは、HackerSafeがウェブアプリケーションのセキュリティホールを調べるスキャニングツールを使っていることだ・・・もちろん、ツールには限界があり、SQLインジェクションのように自動的に検出できるような簡単なものしか調べることができない。ウェブアプリケーションファイアウォール(WAF)と同じように、ツールは一定のセキュリティを提供するが、断じて完全なソリューションではない。

 Godin氏の記事には次のように書かれている。

 McAfeeによって「ハッカーに対して安全」だという証明を受けている60以上のeコマースサイトにセキュリティ上のバグが報告されてから3ヶ月以上経ったが、このほどあるセキュリティ研究者が新たに一連の脆弱性のあるウェブサイトを明らかにした。

 HolisticInfoSec.orgのセキュリティコンサルタントであるRuss McRee氏は、「ハッカーに対して安全」だと宣言するロゴを掲げる5つのサイトに、クロスサイトスクリプティング(XSS)の脆弱性があることを報告した。McRee氏はブログの記事動画も掲載し、攻撃者が認証情報を盗んだり、閲覧者を悪意のあるウェブサイトに誘導したりすることが可能なバグについて説明している。

 5つのサイトすべてがMcAfeeのHackerSafe証明書サービスに登録している。このサービスは、日常的にウェブサイトのセキュリティを監視し、サイトへの訪問者がそこで取引をしても安全だという信頼を与えるものだ。McRee氏はGoogle検索のオプション機能を使って脆弱性のあるウェブアプリケーションを特定することでこの問題を発見できており、少なくとも1つのケースでは、このXSS脆弱性は1月から顧客のサイトに存在するという。

 「このサービスには、消費者への責任が欠如しているようだ。一般的な消費者は、このラベルを見たら自分は安全に違いないと考えるだろう」とMcRee氏はわれわれに話した。

 5つの脆弱性のあるサイトは、Alsto.com、Delaware Express、BlueFly、Improvements Catalog、Delightful Deliveriesだ。

 McAfeeの広報担当者は、同社はXSS脆弱性をSQLインジェクションやその他のセキュリティホールよりも危険度を低く評価していると述べた。「現在のところ、ウェブサイトにXSSの脆弱性が存在してもHackerSafe証明書に不適合にはならない」と広報担当者は話した。「McAfeeがXSSを特定した場合には、顧客に対しこれを通知し、XSS脆弱性について啓蒙している。」(McAfee広報担当者)

 本気だろうか?XSSがあってもHackerSafe証明書に不合格にはならない?これは、不合格になるべきだし、もしXSS脆弱性があれば、そのサイトは断じてハッカーに対して安全とは言えない。記事は次のように続く。

 これらの公表されたサイトは、最近のHackerSafeのサイトだけだ。1月には、XSSed.comの研究者が同サービスに登録している62のウェブサイトがXSS脆弱性を持っていることを公表している。HackerSafeの広報担当者は、InformationWeekに対し、その時点でこのセキュリティホールはサーバーをハックするのに利用することはできなかったと述べている。

 そうだろうか?サーバーをハックするには使えない?仮にそれを受け入れるとしても、この脆弱性は被害者の個人情報や認証が必要なアカウント、OSなどを攻撃するには100%使えるし、ローカルエリアネットワークを破られる可能性さえある。

 実際問題として、クロスサイトスクリプティングには多くのことができる。XSSを私が手がけているプロトコルハンドラ不正利用の研究や一部のActiveX攻撃と組み合わせれば、閲覧者のクライアントマシンを破れる可能性がある。Anti-DNS Pinning攻撃と組み合わせれば、被害者のネットワーク内部の資源を攻撃できる可能性もある。クロスサイトスクリプティング攻撃はその性質から持続的なものであり(攻撃はデータベースに保存され、その後そのページを訪れるすべてのユーザーを攻撃するのに使うことができる)、プロトコルハンドラやブラウザの弱点を突く攻撃と組み合わせられると、伝染性を持つ。

 従って、McAfeeがここで公式に表明しているのは、彼らはHackerSafeのロゴに対して支払いをしている人たちのセキュリティだけしか気にしておらず、それらのサイトのユーザーのセキュリティについては明らかに気にしていないということだ。そうでなければ、XSSに対してより厳しい基準を採用しているはずだ。ウェブのXSSがこれだけ普及していることを考えれば、もしXSS脆弱性がある場合はロゴを与えないことにすると、事業にならないという状況なのかも知れない。ロゴを取得するためにMcAfeeに金を払っているのは企業であり、結局はMcAfeeが本当に気にしているのは金のことだけだということだろうか。

 Goodin氏はこう続けている。

 この脆弱性は、クレジットカードの支払いを処理する事業者に要求されている、いわゆるPCIデータセキュリティ基準の問題を提起する。McRee氏によれば、XSS脆弱性を持つウェブサイトはほぼ確実にこの基準に合致しないが、それでもそれらのサイトの大部分はクレジットカードを受け付け続けている。しかし、この要件に関する問題についてはまたの機会に扱うことにしよう。

 McAfeeはこのプログラムの欠陥を修正するのに3ヶ月あったはずだが、これまでに修正した形跡は見えない。われわれはウェブサイトがセキュリティの脅威の急速な変化についていくのを助けるサービスには全面的に賛成だ。しかし、簡単に見つかるXSSの問題を抱えた顧客をハッカーに対して安全だと宣言するプログラムには異論がある。これは形式的に承認しているだけと言われても仕方がないもので、止めるべきだ。

 Dan、君は100%正しい。WAFやスキャニングツールだけでは不十分だということが理解されるべきだ。また、本当は偽物にも関わらず特効薬だと言われるようなものではなく、本物のセキュリティが必要だということが理解されるべきだ。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連キーワード
セキュリティ

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]