HackerSafe証明書に偽りあり?

文:Nathan McFeters(Special to ZDNet) 翻訳校正:石橋啓一郎 2008年05月02日 13時06分

  • このエントリーをはてなブックマークに追加

 Dan Godin氏は数日前、McAfeeが最近買収したHackerSafe部門がさらされている問題について素晴らしい記事を書き、The Resisterに取り上げられた。私がこの記事で面白いと思ったのは、HackerSafeがウェブアプリケーションのセキュリティホールを調べるスキャニングツールを使っていることだ・・・もちろん、ツールには限界があり、SQLインジェクションのように自動的に検出できるような簡単なものしか調べることができない。ウェブアプリケーションファイアウォール(WAF)と同じように、ツールは一定のセキュリティを提供するが、断じて完全なソリューションではない。

 Godin氏の記事には次のように書かれている。

 McAfeeによって「ハッカーに対して安全」だという証明を受けている60以上のeコマースサイトにセキュリティ上のバグが報告されてから3ヶ月以上経ったが、このほどあるセキュリティ研究者が新たに一連の脆弱性のあるウェブサイトを明らかにした。

 HolisticInfoSec.orgのセキュリティコンサルタントであるRuss McRee氏は、「ハッカーに対して安全」だと宣言するロゴを掲げる5つのサイトに、クロスサイトスクリプティング(XSS)の脆弱性があることを報告した。McRee氏はブログの記事動画も掲載し、攻撃者が認証情報を盗んだり、閲覧者を悪意のあるウェブサイトに誘導したりすることが可能なバグについて説明している。

 5つのサイトすべてがMcAfeeのHackerSafe証明書サービスに登録している。このサービスは、日常的にウェブサイトのセキュリティを監視し、サイトへの訪問者がそこで取引をしても安全だという信頼を与えるものだ。McRee氏はGoogle検索のオプション機能を使って脆弱性のあるウェブアプリケーションを特定することでこの問題を発見できており、少なくとも1つのケースでは、このXSS脆弱性は1月から顧客のサイトに存在するという。

 「このサービスには、消費者への責任が欠如しているようだ。一般的な消費者は、このラベルを見たら自分は安全に違いないと考えるだろう」とMcRee氏はわれわれに話した。

 5つの脆弱性のあるサイトは、Alsto.com、Delaware Express、BlueFly、Improvements Catalog、Delightful Deliveriesだ。

 McAfeeの広報担当者は、同社はXSS脆弱性をSQLインジェクションやその他のセキュリティホールよりも危険度を低く評価していると述べた。「現在のところ、ウェブサイトにXSSの脆弱性が存在してもHackerSafe証明書に不適合にはならない」と広報担当者は話した。「McAfeeがXSSを特定した場合には、顧客に対しこれを通知し、XSS脆弱性について啓蒙している。」(McAfee広報担当者)

 本気だろうか?XSSがあってもHackerSafe証明書に不合格にはならない?これは、不合格になるべきだし、もしXSS脆弱性があれば、そのサイトは断じてハッカーに対して安全とは言えない。記事は次のように続く。

 これらの公表されたサイトは、最近のHackerSafeのサイトだけだ。1月には、XSSed.comの研究者が同サービスに登録している62のウェブサイトがXSS脆弱性を持っていることを公表している。HackerSafeの広報担当者は、InformationWeekに対し、その時点でこのセキュリティホールはサーバーをハックするのに利用することはできなかったと述べている。

 そうだろうか?サーバーをハックするには使えない?仮にそれを受け入れるとしても、この脆弱性は被害者の個人情報や認証が必要なアカウント、OSなどを攻撃するには100%使えるし、ローカルエリアネットワークを破られる可能性さえある。

 実際問題として、クロスサイトスクリプティングには多くのことができる。XSSを私が手がけているプロトコルハンドラ不正利用の研究や一部のActiveX攻撃と組み合わせれば、閲覧者のクライアントマシンを破れる可能性がある。Anti-DNS Pinning攻撃と組み合わせれば、被害者のネットワーク内部の資源を攻撃できる可能性もある。クロスサイトスクリプティング攻撃はその性質から持続的なものであり(攻撃はデータベースに保存され、その後そのページを訪れるすべてのユーザーを攻撃するのに使うことができる)、プロトコルハンドラやブラウザの弱点を突く攻撃と組み合わせられると、伝染性を持つ。

 従って、McAfeeがここで公式に表明しているのは、彼らはHackerSafeのロゴに対して支払いをしている人たちのセキュリティだけしか気にしておらず、それらのサイトのユーザーのセキュリティについては明らかに気にしていないということだ。そうでなければ、XSSに対してより厳しい基準を採用しているはずだ。ウェブのXSSがこれだけ普及していることを考えれば、もしXSS脆弱性がある場合はロゴを与えないことにすると、事業にならないという状況なのかも知れない。ロゴを取得するためにMcAfeeに金を払っているのは企業であり、結局はMcAfeeが本当に気にしているのは金のことだけだということだろうか。

 Goodin氏はこう続けている。

 この脆弱性は、クレジットカードの支払いを処理する事業者に要求されている、いわゆるPCIデータセキュリティ基準の問題を提起する。McRee氏によれば、XSS脆弱性を持つウェブサイトはほぼ確実にこの基準に合致しないが、それでもそれらのサイトの大部分はクレジットカードを受け付け続けている。しかし、この要件に関する問題についてはまたの機会に扱うことにしよう。

 McAfeeはこのプログラムの欠陥を修正するのに3ヶ月あったはずだが、これまでに修正した形跡は見えない。われわれはウェブサイトがセキュリティの脅威の急速な変化についていくのを助けるサービスには全面的に賛成だ。しかし、簡単に見つかるXSSの問題を抱えた顧客をハッカーに対して安全だと宣言するプログラムには異論がある。これは形式的に承認しているだけと言われても仕方がないもので、止めるべきだ。

 Dan、君は100%正しい。WAFやスキャニングツールだけでは不十分だということが理解されるべきだ。また、本当は偽物にも関わらず特効薬だと言われるようなものではなく、本物のセキュリティが必要だということが理解されるべきだ。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

連載

CIO
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
セキュリティの論点
ネットワークセキュリティ
スペシャル
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
企業決算を追う
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化