ブログ

OWASPの2021年リストシャッフル。新たな戦闘計画と主な敵

マティアス・マドゥ博士
2021年10月05日掲載

この混沌とした世界では、人々が信頼できるいくつかの定数が常に存在していました。太陽は朝に昇り、夜に沈む。マリオはソニック・ザ・ヘッジホッグよりもかっこいい。インジェクション攻撃は、Open Web Application Security Project(OWASP)が発表した、攻撃者が積極的に利用する最も一般的で危険な脆弱性トップ10の中で、常にトップの座を占めている。

しかし、2021年に更新された悪名高いOWASPリストでは、インジェクション攻撃が1位の座から転落しています。最も古い攻撃の形態の1つであるインジェクション脆弱性は、コンピュータネットワークとほぼ同じくらい古くから存在しています。ブランケット脆弱性は、伝統的なSQLインジェクションからOGNL(Object Graph Navigation Libraries)に対して仕掛けられるエクスプロイトまで、幅広い攻撃の原因となっています。また、OSのコマンドインジェクション技術を利用したサーバへの直接攻撃も含まれます。インジェクション脆弱性は、攻撃者にとって汎用性が高く、また、潜在的に攻撃される可能性のある場所の数も多いため、このカテゴリーは長年にわたって上位にランクインしています。

しかし、射出王は倒れた。王様万歳です。 

これでようやくインジェクションの脆弱性問題が解決したと言えるでしょうか?そんなことはありません。OWASPのリストでは、インジェクションはセキュリティ上の敵の第1位から大きく後退することなく、第3位にとどまっています。しかし、他の脆弱性カテゴリーがインジェクションを上回ったことは、OWASPの新たなトップドッグが実際にどれほど広く普及しているかを示しており、開発者が今後も細心の注意を払う必要があることを意味しています。

しかし、最も興味深いのは、OWASP Top 10 2021が大幅に改訂され、新しいカテゴリーが導入されたことです。安全でない設計」、「ソフトウェアとデータの整合性の障害」、そしてコミュニティの調査結果に基づいた項目です。サーバーサイドリクエストフォージェリ」です。これらは、アーキテクチャ上の脆弱性への注目が高まっていることを示しており、ソフトウェアセキュリティのベンチマークとして、表面上のバグだけではなく、その先を見据えたものとなっています。

壊れたアクセスコントロールが王座に就く(そして、その傾向が明らかになる

OWASPが発表した脆弱性ランキングのトップ10で、5位から1位に躍り出たのが「Broken Access Control」です。インジェクションや、新たに登場した「安全でない設計」などと同様に、「アクセス制御不能」という脆弱性には、さまざまなコーディング上の欠陥が含まれており、それらが複合的に被害をもたらすため、疑わしい人気となっています。このカテゴリーには、アクセス制御ポリシーに違反することで、ユーザーが意図した権限の範囲外で行動できる場合が含まれます。 

OWASP がこの脆弱性群をトップレベルに引き上げた理由として挙げている「アクセス制御の破壊」の例には、攻撃者が URL、アプリケーションの内部状態、あるいは HTML ページの一部を変更できるものがあります。また、ユーザーがプライマリアクセスキーを変更することで、アプリケーション、サイト、またはAPIが、より高い権限を持つ管理者など、別の人物であると思い込ませることができるかもしれません。さらに、攻撃者がメタデータの変更を制限されず、JSONウェブトークン、クッキー、アクセスコントロールトークンなどを変更できるような脆弱性も含まれています。

この脆弱性が悪用されると、攻撃者はファイルやオブジェクトの認証を回避してデータを盗んだり、データベースの削除など管理者レベルの破壊的な機能を実行したりすることが可能になります。このように、アクセス・コントロールの破壊は、ますます一般的になっているだけでなく、決定的に危険なものです。

認証とアクセス制御の脆弱性が、攻撃者にとって最も攻撃しやすい環境になっていることは、非常に説得力があり、かつ驚くべきことではありません。ベライゾン社が発表した最新の「Data Breach Investigations Report」によると、アクセスコントロールの問題は、ほとんどすべての業界、特にITとヘルスケアの分野で広く見られ、全侵害のうち85%が人的要素を含んでいることが明らかになっています。人的要素」には、エンジニアリングの問題ではないフィッシング攻撃なども含まれていますが、報告書によると、侵入の3%には悪用可能な脆弱性が含まれており、古い脆弱性や、セキュリティの設定ミスなどの人的ミスが主な原因となっていました。

XSSやSQLインジェクションのような老朽化したセキュリティバグが開発者を悩ませている一方で、最近では、中核的なセキュリティ設計が失敗していることが明らかになってきており、アーキテクチャ上の脆弱性が生じています。 

しかし問題は、基本的な知識以上のトレーニングやスキル開発を受けているエンジニアが少なく、また、開発者が最初に引き起こしたコードレベルの局所的なバグを超えて、本当に知識や実用性を高めているエンジニアも少ないということです。

ロボットがほとんど見つけられないバグの防止

新たにグループ化されたアクセスコントロールの破壊された脆弱性のファミリーはかなり多様です。アクセスコントロールの破壊の具体的な例と、それを阻止する方法については、弊社のYouTubeチャンネルブログで紹介しています。

しかし、この新しいOWASPトップ10を称賛することは重要だと思います。実際、このトップ10はより多様で、スキャナでは必ずしも拾えないものを含む、より幅広い攻撃ベクトルを網羅しています。コードレベルの弱点が発見されるたびに、より複雑なアーキテクチャ上の欠陥が発見されますが、自動化されたシールドや武器がどれだけあったとしても、セキュリティ技術スタックのほとんどは気づかないでしょう。OWASPのトップ10リストの大部分は、依然としてスキャンデータに基づいて作成されていますが、安全でない設計やデータの整合性の失敗などをカバーする新しいエントリは、ロボットができないことを実現するためには、開発者のトレーニングの幅を急速に広げる必要があることを示しています。

しかし、セキュリティに精通した開発者のチームは、ベストプラクティスやビジネスのニーズに沿ってセキュリティIQを向上させることで、AppSecチームに計り知れないほどの貢献をすることができます。OWASP トップ 10 は優れたベースラインではありますが、脅威の状況は非常に速いペースで変化しているため(社内の開発目標の要求は言うまでもありません)、セキュリティに関する開発者のスキルアップをより深く、より具体的に行うための計画が必要であることを理解した上で、これを優れたセキュリティ・プログラムに織り込む必要があります。これを怠ると、必然的に早期修正の機会を逸することになり、予防的かつ人間主導のサイバーセキュリティへの全体的なアプローチを成功させる妨げとなります。

OWASP Top 10 2021に対応していますが、これはほんの始まりに過ぎません。開発者には 高度なセキュリティ・スキル・パスウェイを今すぐ。

リソースを見る
リソースを見る

脆弱性の王様と呼ばれたインジェクション攻撃(カテゴリ別)が、アクセス制御の不備に負けてワースト1位になったことは、開発者にとっても注目すべき点です。

ご興味がおありですか?

Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

デモを予約する
シェアする
著者
マティアス・マドゥ博士
2021年10月05日掲載

Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。

マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。

Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。

シェアする

この混沌とした世界では、人々が信頼できるいくつかの定数が常に存在していました。太陽は朝に昇り、夜に沈む。マリオはソニック・ザ・ヘッジホッグよりもかっこいい。インジェクション攻撃は、Open Web Application Security Project(OWASP)が発表した、攻撃者が積極的に利用する最も一般的で危険な脆弱性トップ10の中で、常にトップの座を占めている。

しかし、2021年に更新された悪名高いOWASPリストでは、インジェクション攻撃が1位の座から転落しています。最も古い攻撃の形態の1つであるインジェクション脆弱性は、コンピュータネットワークとほぼ同じくらい古くから存在しています。ブランケット脆弱性は、伝統的なSQLインジェクションからOGNL(Object Graph Navigation Libraries)に対して仕掛けられるエクスプロイトまで、幅広い攻撃の原因となっています。また、OSのコマンドインジェクション技術を利用したサーバへの直接攻撃も含まれます。インジェクション脆弱性は、攻撃者にとって汎用性が高く、また、潜在的に攻撃される可能性のある場所の数も多いため、このカテゴリーは長年にわたって上位にランクインしています。

しかし、射出王は倒れた。王様万歳です。 

これでようやくインジェクションの脆弱性問題が解決したと言えるでしょうか?そんなことはありません。OWASPのリストでは、インジェクションはセキュリティ上の敵の第1位から大きく後退することなく、第3位にとどまっています。しかし、他の脆弱性カテゴリーがインジェクションを上回ったことは、OWASPの新たなトップドッグが実際にどれほど広く普及しているかを示しており、開発者が今後も細心の注意を払う必要があることを意味しています。

しかし、最も興味深いのは、OWASP Top 10 2021が大幅に改訂され、新しいカテゴリーが導入されたことです。安全でない設計」、「ソフトウェアとデータの整合性の障害」、そしてコミュニティの調査結果に基づいた項目です。サーバーサイドリクエストフォージェリ」です。これらは、アーキテクチャ上の脆弱性への注目が高まっていることを示しており、ソフトウェアセキュリティのベンチマークとして、表面上のバグだけではなく、その先を見据えたものとなっています。

壊れたアクセスコントロールが王座に就く(そして、その傾向が明らかになる

OWASPが発表した脆弱性ランキングのトップ10で、5位から1位に躍り出たのが「Broken Access Control」です。インジェクションや、新たに登場した「安全でない設計」などと同様に、「アクセス制御不能」という脆弱性には、さまざまなコーディング上の欠陥が含まれており、それらが複合的に被害をもたらすため、疑わしい人気となっています。このカテゴリーには、アクセス制御ポリシーに違反することで、ユーザーが意図した権限の範囲外で行動できる場合が含まれます。 

OWASP がこの脆弱性群をトップレベルに引き上げた理由として挙げている「アクセス制御の破壊」の例には、攻撃者が URL、アプリケーションの内部状態、あるいは HTML ページの一部を変更できるものがあります。また、ユーザーがプライマリアクセスキーを変更することで、アプリケーション、サイト、またはAPIが、より高い権限を持つ管理者など、別の人物であると思い込ませることができるかもしれません。さらに、攻撃者がメタデータの変更を制限されず、JSONウェブトークン、クッキー、アクセスコントロールトークンなどを変更できるような脆弱性も含まれています。

この脆弱性が悪用されると、攻撃者はファイルやオブジェクトの認証を回避してデータを盗んだり、データベースの削除など管理者レベルの破壊的な機能を実行したりすることが可能になります。このように、アクセス・コントロールの破壊は、ますます一般的になっているだけでなく、決定的に危険なものです。

認証とアクセス制御の脆弱性が、攻撃者にとって最も攻撃しやすい環境になっていることは、非常に説得力があり、かつ驚くべきことではありません。ベライゾン社が発表した最新の「Data Breach Investigations Report」によると、アクセスコントロールの問題は、ほとんどすべての業界、特にITとヘルスケアの分野で広く見られ、全侵害のうち85%が人的要素を含んでいることが明らかになっています。人的要素」には、エンジニアリングの問題ではないフィッシング攻撃なども含まれていますが、報告書によると、侵入の3%には悪用可能な脆弱性が含まれており、古い脆弱性や、セキュリティの設定ミスなどの人的ミスが主な原因となっていました。

XSSやSQLインジェクションのような老朽化したセキュリティバグが開発者を悩ませている一方で、最近では、中核的なセキュリティ設計が失敗していることが明らかになってきており、アーキテクチャ上の脆弱性が生じています。 

しかし問題は、基本的な知識以上のトレーニングやスキル開発を受けているエンジニアが少なく、また、開発者が最初に引き起こしたコードレベルの局所的なバグを超えて、本当に知識や実用性を高めているエンジニアも少ないということです。

ロボットがほとんど見つけられないバグの防止

新たにグループ化されたアクセスコントロールの破壊された脆弱性のファミリーはかなり多様です。アクセスコントロールの破壊の具体的な例と、それを阻止する方法については、弊社のYouTubeチャンネルブログで紹介しています。

しかし、この新しいOWASPトップ10を称賛することは重要だと思います。実際、このトップ10はより多様で、スキャナでは必ずしも拾えないものを含む、より幅広い攻撃ベクトルを網羅しています。コードレベルの弱点が発見されるたびに、より複雑なアーキテクチャ上の欠陥が発見されますが、自動化されたシールドや武器がどれだけあったとしても、セキュリティ技術スタックのほとんどは気づかないでしょう。OWASPのトップ10リストの大部分は、依然としてスキャンデータに基づいて作成されていますが、安全でない設計やデータの整合性の失敗などをカバーする新しいエントリは、ロボットができないことを実現するためには、開発者のトレーニングの幅を急速に広げる必要があることを示しています。

しかし、セキュリティに精通した開発者のチームは、ベストプラクティスやビジネスのニーズに沿ってセキュリティIQを向上させることで、AppSecチームに計り知れないほどの貢献をすることができます。OWASP トップ 10 は優れたベースラインではありますが、脅威の状況は非常に速いペースで変化しているため(社内の開発目標の要求は言うまでもありません)、セキュリティに関する開発者のスキルアップをより深く、より具体的に行うための計画が必要であることを理解した上で、これを優れたセキュリティ・プログラムに織り込む必要があります。これを怠ると、必然的に早期修正の機会を逸することになり、予防的かつ人間主導のサイバーセキュリティへの全体的なアプローチを成功させる妨げとなります。

OWASP Top 10 2021に対応していますが、これはほんの始まりに過ぎません。開発者には 高度なセキュリティ・スキル・パスウェイを今すぐ。

リソースを見る
リソースを見る

以下のフォームに記入し、レポートをダウンロードしてください。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

送信
フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。

この混沌とした世界では、人々が信頼できるいくつかの定数が常に存在していました。太陽は朝に昇り、夜に沈む。マリオはソニック・ザ・ヘッジホッグよりもかっこいい。インジェクション攻撃は、Open Web Application Security Project(OWASP)が発表した、攻撃者が積極的に利用する最も一般的で危険な脆弱性トップ10の中で、常にトップの座を占めている。

しかし、2021年に更新された悪名高いOWASPリストでは、インジェクション攻撃が1位の座から転落しています。最も古い攻撃の形態の1つであるインジェクション脆弱性は、コンピュータネットワークとほぼ同じくらい古くから存在しています。ブランケット脆弱性は、伝統的なSQLインジェクションからOGNL(Object Graph Navigation Libraries)に対して仕掛けられるエクスプロイトまで、幅広い攻撃の原因となっています。また、OSのコマンドインジェクション技術を利用したサーバへの直接攻撃も含まれます。インジェクション脆弱性は、攻撃者にとって汎用性が高く、また、潜在的に攻撃される可能性のある場所の数も多いため、このカテゴリーは長年にわたって上位にランクインしています。

しかし、射出王は倒れた。王様万歳です。 

これでようやくインジェクションの脆弱性問題が解決したと言えるでしょうか?そんなことはありません。OWASPのリストでは、インジェクションはセキュリティ上の敵の第1位から大きく後退することなく、第3位にとどまっています。しかし、他の脆弱性カテゴリーがインジェクションを上回ったことは、OWASPの新たなトップドッグが実際にどれほど広く普及しているかを示しており、開発者が今後も細心の注意を払う必要があることを意味しています。

しかし、最も興味深いのは、OWASP Top 10 2021が大幅に改訂され、新しいカテゴリーが導入されたことです。安全でない設計」、「ソフトウェアとデータの整合性の障害」、そしてコミュニティの調査結果に基づいた項目です。サーバーサイドリクエストフォージェリ」です。これらは、アーキテクチャ上の脆弱性への注目が高まっていることを示しており、ソフトウェアセキュリティのベンチマークとして、表面上のバグだけではなく、その先を見据えたものとなっています。

壊れたアクセスコントロールが王座に就く(そして、その傾向が明らかになる

OWASPが発表した脆弱性ランキングのトップ10で、5位から1位に躍り出たのが「Broken Access Control」です。インジェクションや、新たに登場した「安全でない設計」などと同様に、「アクセス制御不能」という脆弱性には、さまざまなコーディング上の欠陥が含まれており、それらが複合的に被害をもたらすため、疑わしい人気となっています。このカテゴリーには、アクセス制御ポリシーに違反することで、ユーザーが意図した権限の範囲外で行動できる場合が含まれます。 

OWASP がこの脆弱性群をトップレベルに引き上げた理由として挙げている「アクセス制御の破壊」の例には、攻撃者が URL、アプリケーションの内部状態、あるいは HTML ページの一部を変更できるものがあります。また、ユーザーがプライマリアクセスキーを変更することで、アプリケーション、サイト、またはAPIが、より高い権限を持つ管理者など、別の人物であると思い込ませることができるかもしれません。さらに、攻撃者がメタデータの変更を制限されず、JSONウェブトークン、クッキー、アクセスコントロールトークンなどを変更できるような脆弱性も含まれています。

この脆弱性が悪用されると、攻撃者はファイルやオブジェクトの認証を回避してデータを盗んだり、データベースの削除など管理者レベルの破壊的な機能を実行したりすることが可能になります。このように、アクセス・コントロールの破壊は、ますます一般的になっているだけでなく、決定的に危険なものです。

認証とアクセス制御の脆弱性が、攻撃者にとって最も攻撃しやすい環境になっていることは、非常に説得力があり、かつ驚くべきことではありません。ベライゾン社が発表した最新の「Data Breach Investigations Report」によると、アクセスコントロールの問題は、ほとんどすべての業界、特にITとヘルスケアの分野で広く見られ、全侵害のうち85%が人的要素を含んでいることが明らかになっています。人的要素」には、エンジニアリングの問題ではないフィッシング攻撃なども含まれていますが、報告書によると、侵入の3%には悪用可能な脆弱性が含まれており、古い脆弱性や、セキュリティの設定ミスなどの人的ミスが主な原因となっていました。

XSSやSQLインジェクションのような老朽化したセキュリティバグが開発者を悩ませている一方で、最近では、中核的なセキュリティ設計が失敗していることが明らかになってきており、アーキテクチャ上の脆弱性が生じています。 

しかし問題は、基本的な知識以上のトレーニングやスキル開発を受けているエンジニアが少なく、また、開発者が最初に引き起こしたコードレベルの局所的なバグを超えて、本当に知識や実用性を高めているエンジニアも少ないということです。

ロボットがほとんど見つけられないバグの防止

新たにグループ化されたアクセスコントロールの破壊された脆弱性のファミリーはかなり多様です。アクセスコントロールの破壊の具体的な例と、それを阻止する方法については、弊社のYouTubeチャンネルブログで紹介しています。

しかし、この新しいOWASPトップ10を称賛することは重要だと思います。実際、このトップ10はより多様で、スキャナでは必ずしも拾えないものを含む、より幅広い攻撃ベクトルを網羅しています。コードレベルの弱点が発見されるたびに、より複雑なアーキテクチャ上の欠陥が発見されますが、自動化されたシールドや武器がどれだけあったとしても、セキュリティ技術スタックのほとんどは気づかないでしょう。OWASPのトップ10リストの大部分は、依然としてスキャンデータに基づいて作成されていますが、安全でない設計やデータの整合性の失敗などをカバーする新しいエントリは、ロボットができないことを実現するためには、開発者のトレーニングの幅を急速に広げる必要があることを示しています。

しかし、セキュリティに精通した開発者のチームは、ベストプラクティスやビジネスのニーズに沿ってセキュリティIQを向上させることで、AppSecチームに計り知れないほどの貢献をすることができます。OWASP トップ 10 は優れたベースラインではありますが、脅威の状況は非常に速いペースで変化しているため(社内の開発目標の要求は言うまでもありません)、セキュリティに関する開発者のスキルアップをより深く、より具体的に行うための計画が必要であることを理解した上で、これを優れたセキュリティ・プログラムに織り込む必要があります。これを怠ると、必然的に早期修正の機会を逸することになり、予防的かつ人間主導のサイバーセキュリティへの全体的なアプローチを成功させる妨げとなります。

OWASP Top 10 2021に対応していますが、これはほんの始まりに過ぎません。開発者には 高度なセキュリティ・スキル・パスウェイを今すぐ。

リソースにアクセス

以下のリンクをクリックし、この資料のPDFをダウンロードしてください。

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

レポートを見るデモを予約する
PDFをダウンロード
リソースを見る
シェアする
ご興味がおありですか?

シェアする
著者
マティアス・マドゥ博士
2021年10月05日掲載

Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。

マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。

Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。

シェアする

この混沌とした世界では、人々が信頼できるいくつかの定数が常に存在していました。太陽は朝に昇り、夜に沈む。マリオはソニック・ザ・ヘッジホッグよりもかっこいい。インジェクション攻撃は、Open Web Application Security Project(OWASP)が発表した、攻撃者が積極的に利用する最も一般的で危険な脆弱性トップ10の中で、常にトップの座を占めている。

しかし、2021年に更新された悪名高いOWASPリストでは、インジェクション攻撃が1位の座から転落しています。最も古い攻撃の形態の1つであるインジェクション脆弱性は、コンピュータネットワークとほぼ同じくらい古くから存在しています。ブランケット脆弱性は、伝統的なSQLインジェクションからOGNL(Object Graph Navigation Libraries)に対して仕掛けられるエクスプロイトまで、幅広い攻撃の原因となっています。また、OSのコマンドインジェクション技術を利用したサーバへの直接攻撃も含まれます。インジェクション脆弱性は、攻撃者にとって汎用性が高く、また、潜在的に攻撃される可能性のある場所の数も多いため、このカテゴリーは長年にわたって上位にランクインしています。

しかし、射出王は倒れた。王様万歳です。 

これでようやくインジェクションの脆弱性問題が解決したと言えるでしょうか?そんなことはありません。OWASPのリストでは、インジェクションはセキュリティ上の敵の第1位から大きく後退することなく、第3位にとどまっています。しかし、他の脆弱性カテゴリーがインジェクションを上回ったことは、OWASPの新たなトップドッグが実際にどれほど広く普及しているかを示しており、開発者が今後も細心の注意を払う必要があることを意味しています。

しかし、最も興味深いのは、OWASP Top 10 2021が大幅に改訂され、新しいカテゴリーが導入されたことです。安全でない設計」、「ソフトウェアとデータの整合性の障害」、そしてコミュニティの調査結果に基づいた項目です。サーバーサイドリクエストフォージェリ」です。これらは、アーキテクチャ上の脆弱性への注目が高まっていることを示しており、ソフトウェアセキュリティのベンチマークとして、表面上のバグだけではなく、その先を見据えたものとなっています。

壊れたアクセスコントロールが王座に就く(そして、その傾向が明らかになる

OWASPが発表した脆弱性ランキングのトップ10で、5位から1位に躍り出たのが「Broken Access Control」です。インジェクションや、新たに登場した「安全でない設計」などと同様に、「アクセス制御不能」という脆弱性には、さまざまなコーディング上の欠陥が含まれており、それらが複合的に被害をもたらすため、疑わしい人気となっています。このカテゴリーには、アクセス制御ポリシーに違反することで、ユーザーが意図した権限の範囲外で行動できる場合が含まれます。 

OWASP がこの脆弱性群をトップレベルに引き上げた理由として挙げている「アクセス制御の破壊」の例には、攻撃者が URL、アプリケーションの内部状態、あるいは HTML ページの一部を変更できるものがあります。また、ユーザーがプライマリアクセスキーを変更することで、アプリケーション、サイト、またはAPIが、より高い権限を持つ管理者など、別の人物であると思い込ませることができるかもしれません。さらに、攻撃者がメタデータの変更を制限されず、JSONウェブトークン、クッキー、アクセスコントロールトークンなどを変更できるような脆弱性も含まれています。

この脆弱性が悪用されると、攻撃者はファイルやオブジェクトの認証を回避してデータを盗んだり、データベースの削除など管理者レベルの破壊的な機能を実行したりすることが可能になります。このように、アクセス・コントロールの破壊は、ますます一般的になっているだけでなく、決定的に危険なものです。

認証とアクセス制御の脆弱性が、攻撃者にとって最も攻撃しやすい環境になっていることは、非常に説得力があり、かつ驚くべきことではありません。ベライゾン社が発表した最新の「Data Breach Investigations Report」によると、アクセスコントロールの問題は、ほとんどすべての業界、特にITとヘルスケアの分野で広く見られ、全侵害のうち85%が人的要素を含んでいることが明らかになっています。人的要素」には、エンジニアリングの問題ではないフィッシング攻撃なども含まれていますが、報告書によると、侵入の3%には悪用可能な脆弱性が含まれており、古い脆弱性や、セキュリティの設定ミスなどの人的ミスが主な原因となっていました。

XSSやSQLインジェクションのような老朽化したセキュリティバグが開発者を悩ませている一方で、最近では、中核的なセキュリティ設計が失敗していることが明らかになってきており、アーキテクチャ上の脆弱性が生じています。 

しかし問題は、基本的な知識以上のトレーニングやスキル開発を受けているエンジニアが少なく、また、開発者が最初に引き起こしたコードレベルの局所的なバグを超えて、本当に知識や実用性を高めているエンジニアも少ないということです。

ロボットがほとんど見つけられないバグの防止

新たにグループ化されたアクセスコントロールの破壊された脆弱性のファミリーはかなり多様です。アクセスコントロールの破壊の具体的な例と、それを阻止する方法については、弊社のYouTubeチャンネルブログで紹介しています。

しかし、この新しいOWASPトップ10を称賛することは重要だと思います。実際、このトップ10はより多様で、スキャナでは必ずしも拾えないものを含む、より幅広い攻撃ベクトルを網羅しています。コードレベルの弱点が発見されるたびに、より複雑なアーキテクチャ上の欠陥が発見されますが、自動化されたシールドや武器がどれだけあったとしても、セキュリティ技術スタックのほとんどは気づかないでしょう。OWASPのトップ10リストの大部分は、依然としてスキャンデータに基づいて作成されていますが、安全でない設計やデータの整合性の失敗などをカバーする新しいエントリは、ロボットができないことを実現するためには、開発者のトレーニングの幅を急速に広げる必要があることを示しています。

しかし、セキュリティに精通した開発者のチームは、ベストプラクティスやビジネスのニーズに沿ってセキュリティIQを向上させることで、AppSecチームに計り知れないほどの貢献をすることができます。OWASP トップ 10 は優れたベースラインではありますが、脅威の状況は非常に速いペースで変化しているため(社内の開発目標の要求は言うまでもありません)、セキュリティに関する開発者のスキルアップをより深く、より具体的に行うための計画が必要であることを理解した上で、これを優れたセキュリティ・プログラムに織り込む必要があります。これを怠ると、必然的に早期修正の機会を逸することになり、予防的かつ人間主導のサイバーセキュリティへの全体的なアプローチを成功させる妨げとなります。

OWASP Top 10 2021に対応していますが、これはほんの始まりに過ぎません。開発者には 高度なセキュリティ・スキル・パスウェイを今すぐ。

目次

PDFをダウンロード
リソースを見る
ご興味がおありですか?

Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

デモを予約するダウンロード
シェアする
リソース・ハブ

始めるためのリソース

その他の記事
リソース・ハブ

始めるためのリソース

その他の記事