2008年04月16日

Web2.0は危険が一杯!

Web2.0は危険が一杯!ブラウザの設定で未来を守る

パソコン購入したばかりのころ、ウイルスに対しては「JavaScript」の無効が有効との記事を読んで、無効にしていました。当時はまだ無効でも良かったのですが、だんだん不便に感じ有効に設定を変更していました。3月25日にJavaScriptを無効にしたため、ブログの操作が出来なくなった記事を書きました。実は「止まらないWebページ改ざん,JavaScriptに気をつけろ」を読んで無効にしました。3月30日の「なぜフレームが使われなくなったの?」の記事を書くきっかけとなりました。


ITproから「セキュリティ」
2008年4月5日のトップページの週末スペシャルに取り上げられているWebページ改ざん、さらに「セキュリティ」のページより。

URLと一部を抜粋しておきます。日にちがたつとリンクがきれるかもしれませんが、↑のITproから「セキュリティ」へ見にいけばその時々の最新情報を見ることができます。
興味のある方はリンク先を読んでみてください。
止まらないWebページ改ざん,JavaScriptに気をつけろ (2008年4月4日の記事)

SQLインジェクションでiframeを埋め込み

 恐ろしいのは,埋め込まれるiframeタグに不正なJavaScriptが記述されていることだ。iframeは一つのWebページを区切って複数のコンテンツを表示させるためのHTMLタグ。ただ,このiframeは表示上はほとんど見えないように細工されている。このため,改ざんされたWebページを開くと,知らぬ間にiframeに埋め込まれた不正JavaScriptを自動実行し,悪質なサイトに誘導されたり,ブラウザやアプリケーション・ソフトのぜい弱性を突いて悪質なプログラムを勝手にダウンロードさせられたりするわけだ。

例えばトレンドマイクロの場合は,オンライン・ゲームのアカウント情報などを盗み出すウイルスを仕込まれようとしたと見られている。もちろん,ほかの種類のウイルスを仕込まれる可能性もある。いずれにしても,攻撃者の背後には犯罪組織があり,狙っているのは最終的に金銭につながる機密情報の入手と見て間違いないだろう。

エンドユーザーの対策はJavaScriptの無効化

Webサイトにアクセスするユーザーにとっての対策は,使っているソフトウエアのセキュリティ・パッチをきちんと適用しておくことや,ウイルス対策ソフトとそのパターン・ファイルを常に最新版に更新しておくこと。改ざんされたWebページにアクセスしても,ユーザー側に攻められるぜい弱性がなければ被害には遭わない。送り込まれてくるウイルスが既知のものなら,ウイルス対策ソフトで検出,回避できる。

それでも,未知のぜい弱性を悪用するウイルスなど,ウイルス対策ソフトが未対応のウイルスを送り込まれる可能性は否定できない。これを防ぐために一番効果的な策は,できるだけJavaScript実行させないことだ。

実際は,全くJavaScriptを動かさないのではなく,必要なドメインに関してだけJavaScriptを動かすといった使い方が現実的だろう。例えばFirefoxの拡張ソフトとして提供されている「NOSCRIPT」を使うと,JavaScriptを有効にするサイトと無効にするサイトを設定できる。無効にしていても,ブラウザの画面上で簡単に設定を変えられる。

このほか,企業として対策を考えるなら,勝手なファイル・ダウンロードなどウイルスによる通信を遮断する手もある。例えばプロキシ・サーバーに認証機能を持たせる。もっと単純に,www.2117966.netなど,情報が明らかになっている不正サイトへの通信をフィルタリングしてもいいだろう。

【続報】トレンドのサイト改ざん、手口やウイルスがほぼ明らかに
 (2008年3月12日の記事)
ウイルスは「ダウンローダー」

今回の改ざんにより、同社のWebページの一部には、他のWebサイトに置かれたウイルスをダウンロードおよびインストールさせるような文字列が埋め込まれた。このため、該当ページにアクセスするだけで、ウイルスに感染する危険性があった。
埋め込まれた文字列はWebページに表示されないようになっていたが、埋め込みが不完全なWebページでは、ウイルスのURLが表示されたという。こういったWebページでは、アクセスするだけでウイルスに感染する恐れはなかったものの、表示されたURLにアクセスした場合には、ウイルス感染の危険があった。

Part2 SQLインジェクションの手口 (2007年8月31日の記事)
データベースを好き勝手に操作された

データベースを好き勝手にされた結果,エンドユーザーに表示されるWebページが改ざんされてしまうことは珍しくない。Webサイトによっては,動的に生成するWebページの部品をデータベースに保存し,Webアプリがユーザーからの情報と合わせてWebページを作ることがよくあるからだ。クラッカが Webページの部品を改ざんしてウイルスへのリンクを貼り付ければ,エンドユーザーにウイルスをばらまくこともできる。
テンプレートに値を埋め込む
パラメータにコマンドを忍ばせる
対策はパラメータのチェック
SQLインジェクションはクラッカがWebアプリを直接攻撃する。Webアクセスする一般のエンドユーザーには打つ手がない。では,SQLインジェクションは防げないのだろうか。実は,Webサイト側が,Webアプリに「サニタイジング」(消毒)という処理を追加することで防止できる。

サニタイジングとは,Webブラウザから入力された値をチェックし,SQLインジェクションのために送られてきた値をブロックする処理である。

狙われるWebアプリケーション【第1回】 (2007年4月1日の記事)

SQLインジェクションとは,データベース・サーバーに送るSQL文を構成するパラメータにSQL断片を挿入してSQLの意味を改変し,不正な操作を実行することである。
ユーザー認証の入力フォームを悪用する場合。通常は,ユーザーIDとパスワード入力からSQLを実行して,IDとパスワードの組み合わせの妥当性を確認する。ここではプログラミング言語としてはPerlやPHPを想定している。

狙われるWebアプリケーション【最終回】 (2007年4月22日の記事)

HTTPヘッダー・インジェクション
HTTPヘッダー・インジェクションとは,サーバーからブラウザに送信される「HTTPレスポンス・ヘッダー」の中に意図しないフィールドを注入する手法である。Webアプリケーションの中には,ユーザーの入力値などをレスポンス・ヘッダーに「そのまま」返すものがある。その代表例が,Cookieの設定(Set-Cookie)やリダイレクション(Location)である。

Web2.0は危険がいっぱい!ブラウザの設定で未を守る (2007年3月1日の記事)

このページは,日経コミュニケーション3月1日号の特集「Web 2.0は危険がいっぱい」の情報を補完するためのものです。特集ではクロスサイト・スクリプティング対策の一つとして,ブラウザの設定変更によって JavaScriptの動作許可/禁止を切り替える自衛策を紹介しました。

ここでは,その設定方法の詳細を,Internet Explorer 7,Firefox 2,Opera9.1のそれぞれについて,動画を使って解説します。Operaについては,より簡単に設定を切り替えられるようにする,ツールバーのカスタマイズ方法も紹介しています。
(日経コミュニケーション編集部)

NoScript ● スクリプトの実行を禁止する (2008年2月5日の記事)
●URL:https://addons.mozilla.org/firefox/722/
●登録カテゴリ:Privacy and Security,Web Annoyances
●ライセンス:GPL
●作者:Giorgio Maone氏
●対応バージョン:Firefox 1.0 - 3.0a2
●日本語:対応

インターネット上には危険なサイトが数多く存在します。例えば,特定のサイトを開いただけで,不正プログラムが実行されたり,場合によってはウイルスに感染してしまいます。このようなサイトの多くは,スクリプトをWebページに配置しておき,ユーザーがそのページを閲覧すると自動的にスクリプトを実行するように作られています。

このようなサイトを閲覧したときに,スクリプトを自動実行させないようにする拡張機能が「NoScript」です。NoScriptではJavaScriptなどの実行を禁止できます。また,特定のサイトのみ実行を許可することも可能です。

興味のある方は全文を読んでみてください。どんなに対策をしても絶対はないということはにような気はします。

人気blogランキングへ
 ← ランキング ボケネコに励ましを。

★クリックで救える命がある★ ←クリックして募金をお願いします。
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック