OWASPの2021年リストシャッフル。新たな戦闘計画と主な敵

2021年10月05日掲載
マティアス・マドゥ博士著
ケーススタディ

OWASPの2021年リストシャッフル。新たな戦闘計画と主な敵

2021年10月05日掲載
マティアス・マドゥ博士著
リソースを見る
リソースを見る

この混沌とした世界では、人々が信頼できるいくつかの定数が常に存在していました。太陽は朝に昇り、夜に沈む。マリオはソニック・ザ・ヘッジホッグよりもかっこいい。インジェクション攻撃は、Open Web Application Security Project(OWASP)が発表した、攻撃者が積極的に利用する最も一般的で危険な脆弱性トップ10の中で、常にトップの座を占めている。

しかし、2021年に更新された悪名高いOWASPリストでは、インジェクション攻撃が1位の座から転落しています。最も古い攻撃の形態の1つであるインジェクション脆弱性は、コンピュータネットワークとほぼ同じくらい古くから存在しています。ブランケット脆弱性は、伝統的なSQLインジェクションからOGNL(Object Graph Navigation Libraries)に対して仕掛けられるエクスプロイトまで、幅広い攻撃の原因となっています。また、OSのコマンドインジェクション技術を利用したサーバへの直接攻撃も含まれます。インジェクション脆弱性は、攻撃者にとって汎用性が高く、また、潜在的に攻撃される可能性のある場所の数も多いため、このカテゴリーは長年にわたって上位にランクインしています。

しかし、射出王は倒れた。王様万歳です。 

これでようやくインジェクションの脆弱性問題が解決したと言えるでしょうか?そんなことはありません。OWASPのリストでは、インジェクションはセキュリティ上の敵の第1位から大きく後退することなく、第3位にとどまっています。しかし、他の脆弱性カテゴリーがインジェクションを上回ったことは、OWASPの新たなトップドッグが実際にどれほど広く普及しているかを示しており、開発者が今後も細心の注意を払う必要があることを意味しています。

しかし、最も興味深いのは、OWASP Top 10 2021が大幅に改訂され、新しいカテゴリーが導入されたことです。安全でない設計」、「ソフトウェアとデータの整合性の障害」、そしてコミュニティの調査結果に基づいた項目です。サーバーサイドリクエストフォージェリ」です。これらは、アーキテクチャ上の脆弱性への注目が高まっていることを示しており、ソフトウェアセキュリティのベンチマークとして、表面上のバグだけではなく、その先を見据えたものとなっています。

壊れたアクセスコントロールが王座に就く(そして、その傾向が明らかになる

OWASPが発表した脆弱性ランキングのトップ10で、5位から1位に躍り出たのが「Broken Access Control」です。インジェクションや、新たに登場した「安全でない設計」などと同様に、「アクセス制御不能」という脆弱性には、さまざまなコーディング上の欠陥が含まれており、それらが複合的に被害をもたらすため、疑わしい人気となっています。このカテゴリーには、アクセス制御ポリシーに違反することで、ユーザーが意図した権限の範囲外で行動できる場合が含まれます。 

OWASP がこの脆弱性群をトップレベルに引き上げた理由として挙げている「アクセス制御の破壊」の例には、攻撃者が URL、アプリケーションの内部状態、あるいは HTML ページの一部を変更できるものがあります。また、ユーザーがプライマリアクセスキーを変更することで、アプリケーション、サイト、またはAPIが、より高い権限を持つ管理者など、別の人物であると思い込ませることができるかもしれません。さらに、攻撃者がメタデータの変更を制限されず、JSONウェブトークン、クッキー、アクセスコントロールトークンなどを変更できるような脆弱性も含まれています。

この脆弱性が悪用されると、攻撃者はファイルやオブジェクトの認証を回避してデータを盗んだり、データベースの削除など管理者レベルの破壊的な機能を実行したりすることが可能になります。このように、アクセス・コントロールの破壊は、ますます一般的になっているだけでなく、決定的に危険なものです。

認証とアクセス制御の脆弱性が、攻撃者にとって最も攻撃しやすい環境になっていることは、非常に説得力があり、かつ驚くべきことではありません。ベライゾン社が発表した最新の「Data Breach Investigations Report」によると、アクセスコントロールの問題は、ほとんどすべての業界、特にITとヘルスケアの分野で広く見られ、全侵害のうち85%が人的要素を含んでいることが明らかになっています。人的要素」には、エンジニアリングの問題ではないフィッシング攻撃なども含まれていますが、報告書によると、侵入の3%には悪用可能な脆弱性が含まれており、古い脆弱性や、セキュリティの設定ミスなどの人的ミスが主な原因となっていました。

XSSやSQLインジェクションのような老朽化したセキュリティバグが開発者を悩ませている一方で、最近では、中核的なセキュリティ設計が失敗していることが明らかになってきており、アーキテクチャ上の脆弱性が生じています。 

しかし問題は、基本的な知識以上のトレーニングやスキル開発を受けているエンジニアが少なく、また、開発者が最初に引き起こしたコードレベルの局所的なバグを超えて、本当に知識や実用性を高めているエンジニアも少ないということです。

ロボットがほとんど見つけられないバグの防止

新たにグループ化されたアクセスコントロールの破壊された脆弱性のファミリーはかなり多様です。アクセスコントロールの破壊の具体的な例と、それを阻止する方法については、弊社のYouTubeチャンネルブログで紹介しています。

しかし、この新しいOWASPトップ10を称賛することは重要だと思います。実際、このトップ10はより多様で、スキャナでは必ずしも拾えないものを含む、より幅広い攻撃ベクトルを網羅しています。コードレベルの弱点が発見されるたびに、より複雑なアーキテクチャ上の欠陥が発見されますが、自動化されたシールドや武器がどれだけあったとしても、セキュリティ技術スタックのほとんどは気づかないでしょう。OWASPのトップ10リストの大部分は、依然としてスキャンデータに基づいて作成されていますが、安全でない設計やデータの整合性の失敗などをカバーする新しいエントリは、ロボットができないことを実現するためには、開発者のトレーニングの幅を急速に広げる必要があることを示しています。

しかし、セキュリティに精通した開発者のチームは、ベストプラクティスやビジネスのニーズに沿ってセキュリティIQを向上させることで、AppSecチームに計り知れないほどの貢献をすることができます。OWASP トップ 10 は優れたベースラインではありますが、脅威の状況は非常に速いペースで変化しているため(社内の開発目標の要求は言うまでもありません)、セキュリティに関する開発者のスキルアップをより深く、より具体的に行うための計画が必要であることを理解した上で、これを優れたセキュリティ・プログラムに織り込む必要があります。これを怠ると、必然的に早期修正の機会を逸することになり、予防的かつ人間主導のサイバーセキュリティへの全体的なアプローチを成功させる妨げとなります。

OWASP Top 10 2021に対応していますが、これはほんの始まりに過ぎません。開発者には 高度なセキュリティ・スキル・パスウェイを今すぐ。

リソースを見る
リソースを見る

著者

マティアス・マドゥ博士

マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。

Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

OWASPの2021年リストシャッフル。新たな戦闘計画と主な敵

2024年1月22日発行
マティアス・マドゥ博士著

この混沌とした世界では、人々が信頼できるいくつかの定数が常に存在していました。太陽は朝に昇り、夜に沈む。マリオはソニック・ザ・ヘッジホッグよりもかっこいい。インジェクション攻撃は、Open Web Application Security Project(OWASP)が発表した、攻撃者が積極的に利用する最も一般的で危険な脆弱性トップ10の中で、常にトップの座を占めている。

しかし、2021年に更新された悪名高いOWASPリストでは、インジェクション攻撃が1位の座から転落しています。最も古い攻撃の形態の1つであるインジェクション脆弱性は、コンピュータネットワークとほぼ同じくらい古くから存在しています。ブランケット脆弱性は、伝統的なSQLインジェクションからOGNL(Object Graph Navigation Libraries)に対して仕掛けられるエクスプロイトまで、幅広い攻撃の原因となっています。また、OSのコマンドインジェクション技術を利用したサーバへの直接攻撃も含まれます。インジェクション脆弱性は、攻撃者にとって汎用性が高く、また、潜在的に攻撃される可能性のある場所の数も多いため、このカテゴリーは長年にわたって上位にランクインしています。

しかし、射出王は倒れた。王様万歳です。 

これでようやくインジェクションの脆弱性問題が解決したと言えるでしょうか?そんなことはありません。OWASPのリストでは、インジェクションはセキュリティ上の敵の第1位から大きく後退することなく、第3位にとどまっています。しかし、他の脆弱性カテゴリーがインジェクションを上回ったことは、OWASPの新たなトップドッグが実際にどれほど広く普及しているかを示しており、開発者が今後も細心の注意を払う必要があることを意味しています。

しかし、最も興味深いのは、OWASP Top 10 2021が大幅に改訂され、新しいカテゴリーが導入されたことです。安全でない設計」、「ソフトウェアとデータの整合性の障害」、そしてコミュニティの調査結果に基づいた項目です。サーバーサイドリクエストフォージェリ」です。これらは、アーキテクチャ上の脆弱性への注目が高まっていることを示しており、ソフトウェアセキュリティのベンチマークとして、表面上のバグだけではなく、その先を見据えたものとなっています。

壊れたアクセスコントロールが王座に就く(そして、その傾向が明らかになる

OWASPが発表した脆弱性ランキングのトップ10で、5位から1位に躍り出たのが「Broken Access Control」です。インジェクションや、新たに登場した「安全でない設計」などと同様に、「アクセス制御不能」という脆弱性には、さまざまなコーディング上の欠陥が含まれており、それらが複合的に被害をもたらすため、疑わしい人気となっています。このカテゴリーには、アクセス制御ポリシーに違反することで、ユーザーが意図した権限の範囲外で行動できる場合が含まれます。 

OWASP がこの脆弱性群をトップレベルに引き上げた理由として挙げている「アクセス制御の破壊」の例には、攻撃者が URL、アプリケーションの内部状態、あるいは HTML ページの一部を変更できるものがあります。また、ユーザーがプライマリアクセスキーを変更することで、アプリケーション、サイト、またはAPIが、より高い権限を持つ管理者など、別の人物であると思い込ませることができるかもしれません。さらに、攻撃者がメタデータの変更を制限されず、JSONウェブトークン、クッキー、アクセスコントロールトークンなどを変更できるような脆弱性も含まれています。

この脆弱性が悪用されると、攻撃者はファイルやオブジェクトの認証を回避してデータを盗んだり、データベースの削除など管理者レベルの破壊的な機能を実行したりすることが可能になります。このように、アクセス・コントロールの破壊は、ますます一般的になっているだけでなく、決定的に危険なものです。

認証とアクセス制御の脆弱性が、攻撃者にとって最も攻撃しやすい環境になっていることは、非常に説得力があり、かつ驚くべきことではありません。ベライゾン社が発表した最新の「Data Breach Investigations Report」によると、アクセスコントロールの問題は、ほとんどすべての業界、特にITとヘルスケアの分野で広く見られ、全侵害のうち85%が人的要素を含んでいることが明らかになっています。人的要素」には、エンジニアリングの問題ではないフィッシング攻撃なども含まれていますが、報告書によると、侵入の3%には悪用可能な脆弱性が含まれており、古い脆弱性や、セキュリティの設定ミスなどの人的ミスが主な原因となっていました。

XSSやSQLインジェクションのような老朽化したセキュリティバグが開発者を悩ませている一方で、最近では、中核的なセキュリティ設計が失敗していることが明らかになってきており、アーキテクチャ上の脆弱性が生じています。 

しかし問題は、基本的な知識以上のトレーニングやスキル開発を受けているエンジニアが少なく、また、開発者が最初に引き起こしたコードレベルの局所的なバグを超えて、本当に知識や実用性を高めているエンジニアも少ないということです。

ロボットがほとんど見つけられないバグの防止

新たにグループ化されたアクセスコントロールの破壊された脆弱性のファミリーはかなり多様です。アクセスコントロールの破壊の具体的な例と、それを阻止する方法については、弊社のYouTubeチャンネルブログで紹介しています。

しかし、この新しいOWASPトップ10を称賛することは重要だと思います。実際、このトップ10はより多様で、スキャナでは必ずしも拾えないものを含む、より幅広い攻撃ベクトルを網羅しています。コードレベルの弱点が発見されるたびに、より複雑なアーキテクチャ上の欠陥が発見されますが、自動化されたシールドや武器がどれだけあったとしても、セキュリティ技術スタックのほとんどは気づかないでしょう。OWASPのトップ10リストの大部分は、依然としてスキャンデータに基づいて作成されていますが、安全でない設計やデータの整合性の失敗などをカバーする新しいエントリは、ロボットができないことを実現するためには、開発者のトレーニングの幅を急速に広げる必要があることを示しています。

しかし、セキュリティに精通した開発者のチームは、ベストプラクティスやビジネスのニーズに沿ってセキュリティIQを向上させることで、AppSecチームに計り知れないほどの貢献をすることができます。OWASP トップ 10 は優れたベースラインではありますが、脅威の状況は非常に速いペースで変化しているため(社内の開発目標の要求は言うまでもありません)、セキュリティに関する開発者のスキルアップをより深く、より具体的に行うための計画が必要であることを理解した上で、これを優れたセキュリティ・プログラムに織り込む必要があります。これを怠ると、必然的に早期修正の機会を逸することになり、予防的かつ人間主導のサイバーセキュリティへの全体的なアプローチを成功させる妨げとなります。

OWASP Top 10 2021に対応していますが、これはほんの始まりに過ぎません。開発者には 高度なセキュリティ・スキル・パスウェイを今すぐ。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。