TOP設計・移行・活用> はじめに
脆弱なWebアプリケーション
脆弱なWebアプリケーション

第2回:ファイル流出
著者:セントラル・コンピュータ・サービス  長谷川 武
2005/4/27
1   2  3  4  次のページ
はじめに

   前回は、Webアプリケーションの脆弱性が一般のソフトウェア製品のそれとは扱われ方が少々異なっていること、Webアプリケーションの脆弱性にはさまざまな種類のものがあるが、大きく5つのカテゴリーに分けることができることを紹介した。今回はその5つのカテゴリーの1番目ファイル流出を説明する。
※注意: この記事にはWebアプリケーションの脆弱性を解説する必要上、攻撃手口に関する情報が含まれています。これらの手口を他者が運営するWebサイトに向けて仕掛けると、最悪の場合刑事罰および損害賠償請求の対象となります。脆弱性の調査・検証は、必ずご自身の管理下のコンピュータシステムおよびローカルエリアネットワークで行ってください。この記事を参考にした行為により問題が生じても、筆者およびThinkIT編集局は一切責任を負いません。
ファイル流出

   「ファイル流出」とは、Webサーバ内のファイルがインターネット上の攻撃者によってどんどん読み出されてしまうセキュリティ問題のカテゴリーである。これはWebアプリケーションの脆弱性のうちもっとも基本的なものだ。ファイル流出対策ができていないWebサイトは、最もセキュリティレベルの低いサイトの部類に入る。このようなところでは、ほかのセキュリティ脆弱性対策を行ってもほとんど効果がない。

   ファイル流出のカテゴリーの問題には、データの蓄積場所としてWeb公開領域を使っている、サーバ内のファイルを限定して提供するはずのプログラムが逆にあらゆるファイルを流出させてしまう、Webアプリケーションのソースコードが何らかの形で読み出されてしまう、などがある。


データの危険な蓄積場所

   ファイル流出の最初のケースは、秘密保持が必要な大切なファイルの置き場所としてWeb公開領域の中が使われているというケースである。まさか、とお思いかもしれない。確かに今ではさすがにこのようなケースは減っていると考えられるが、2〜3年前にはしばしばこうした例があった。

   このようなファイルの配置を選択した人たちにもそれなりの理由はあったのである。Web公開領域内にファイルを置いたからといって、すぐに皆の目に触れる訳ではない。つまりファイルのURLが一般には知られていないことを保護の拠り所にしたのである。URLが知られてさえいなければ秘密は漏れない。

   しかしひとたび誰か一人がそのURLを知ってしまうと、この手の情報が好んで交換されている下世話な電子掲示板などを通じ、秘密はまたたく間に多くの人々の知るところとなる。こうなるともうファイルの内容を守る手だてはない。


アンケートサイト

   筆者の知る限りでは、こうしたファイルの置き方は比較的小規模なアンケートサイトに多かったようだ。消費者向け新製品キャンペーンコーナーといったコンテンツである。例えばアンケートへの回答がCSVファイル(値がカンマで区切られた形式のテキストファイル)に蓄積されるようになっていて、このファイルがアンケート質問のHTMLページなどと同じディレクトリに置かれることがあったのである。

   この種のアンケートコンテンツを請け負う業者にしてみれば、アンケート質問のWebページと回答蓄積ファイルの一式がひとつの場所に収まっていることによるメリットがあったと考えられる。こうしたサイトでは複数のアンケート企画が取り扱われていただろうから、各企画に関わるファイルがそれぞれひとところにまとまっていると管理が楽なのである。

   しかし、これはファイルがインターネットに流出するリスクに比べるとごく小さなメリットに過ぎない。URLが秘密であることだけを頼り、ファイルの秘密を危険にさらしてはいけない。

Web公開領域に秘密情報が保管されている
図1:Web公開領域に秘密情報が保管されている


1   2  3  4  次のページ


セントラル・コンピュータ・サービス株式会社
著者プロフィール
セントラル・コンピュータ・サービス株式会社  長谷川 武
シニア・セキュリティ・スペシャリスト、IPA 非常勤研究員。2002年にはIPA ISEC『セキュア・プログラミング講座』の制作ディレクターをつとめた。これを契機に、現在は勤務先とそのパートナー企業を通じてセキュアプログラミングセミナー/実習/スキル評価テストといった教育サービスを「TRUSNET(R)アカデミー」として提供している。問い合わせE-mail:info@trusnet.com


INDEX
第2回:ファイル流出
はじめに
  非情報システム系からの発注に注意
  逆に情報を流出
  ディレクトリリスティング