プレスリリース 2015 年 3 月 12 日 独立行政法人情報処理推進機構 「安全なウェブサイトの作り方 改訂第 7 版」を公開 ~パスワードリスト攻撃への悪用防止対策等を新たに追加~ IPA(独立行政法人情報処理推進機構、理事長:藤江一正)は、ウェブサイトの開発者や運営者向け の「安全なウェブサイトの作り方」にパスワードリスト攻撃への悪用防止対策等を新たに追加した改訂 第 7 版を 2015 年 3 月 12 日(木)から IPA のウェブサイトで公開しました。 URL: https://www.ipa.go.jp/security/vuln/websecurity.html IPA では、必要な技術的配慮が不足していたために起こるウェブサイトの情報漏えいや改ざん等、意 図しない被害を防ぐため「安全なウェブサイトの作り方」を 2006 年から発行しており、これまでに 6 版を数えています。その内容には、IPA への届出件数が多く攻撃による影響度が大きいソフトウェア製 品やウェブアプリケーションに関する脆弱性関連情報を取り上げ、適切なセキュリティが考慮されたウ ェブサイト作成のためのポイントをまとめています。 7 版となる今回の改訂では、DNS(*1)を狙った攻撃やパスワードリスト攻撃、クリックジャッキング 攻撃(*2)など、前回改訂の 2012 年以降問題となった攻撃、および新たな手口への有効な対策を追加し ています。また、今回は保存している利用者等のパスワードの漏えいに備える対策を提示しています。 パスワードリスト攻撃では、例えばA社のウェブサービスから漏えいしたパスワードがB社やC社など の他のサービスで悪用されているという指摘があります。そのためパスワードをそのままで保存してい ると、漏えいした場合に即攻撃に悪用される可能性があります。また、ハッシュ値(*3)にして保存して いたとしても、予めパスワードに使用される可能性のある文字列のハッシュ値をリスト化し、高速にパ スワードを復元する手口の存在が確認されていることから万全とはいえない状態でした。そのため 7 版 ではパスワードを“ソルト”と呼ばれる文字列を付加して計算したハッシュ値(「ソルト付きハッシュ 値」 )にし、見かけ上のパスワードを長くすることで、パスワード復元までの時間を非現実的な長さに 延ばすことを推奨しています。この対策により、万が一パスワードが漏えいしても、復元が困難なため パスワードリスト攻撃等への悪用防止効果が期待できます。 その他、7 版ではバッファオーバーフローやクロスサイト・スクリプティングの脆弱性の対策等を加 筆しています。 (*1) :Domain Name System の略で、コンピュータがネットワークのどこに接続されているかを示す IP アドレスという数字の集まり を、www.ipa.go.jp のような人に覚えやすいドメイン表記と対応させるための情報を管理する仕組み (*2) :ユーザーを視覚的にだまして、別のウェブページのコンテンツを誤ってユーザーに操作させる攻撃 (*3) :ハッシュ関数により求められる固定長のデータ。ハッシュ値から元の文字列を求めることが難しいという特性を持つ 1 ■ウェブサーバにおけるパスワードの保管方法例 復元までに かかる時間 A:パスワードをそのまま保管 パスワードそのもの パスワード P@ssw0rd P@ssw0rd マッチングにより 復元可能 B:パスワードをハッシュ値の形で保管 パスワード 公開されているパスワードと ハッシュ値のリスト ハッシュ値 パスワード A94a8fe5cc… test 21bd12dc18… P@ssw0rd 7c4a8d09ca… 123456 短 ハッシュ値 ソルトなし P@ssw0rd 21bd12dc183f740ee76f…… マッチングに悪用される リストは公開されてない C:パスワードをソルト付きハッシュ値の形で保管 パスワード ・・・・・・・・・・・ ・・・・・・・・・・・ ・・・・・・・・・・・ ・・・・・・・・・・・ ・・・・・・・・・・・ ・・・・・・・・・・・ ソルト付きハッシュ値 ソルトあり P@ssw0rd 復元は困難 yKQkZc6qsPH8 f705c11d4865eb4f60f9…… 長 ■主な改訂内容 区分 新規追加 項目 1章 新規追加 改訂内容 クリックジャッキング 脆弱性の概要、対策 バッファオーバーフロー 脆弱性の概要、対策 新規追加 ブラウザのセキュリティ機構を有効にする クロスサイト・スクリプティング 内容更新 内容更新 保険的対策 入力値の内容チェックによる保険的対策 2章 DNS に関する対策 DNS サーバーの設定や運用時の注意点 内容更新 ネットワーク盗聴への対策 通信経路の暗号化の解説 新規追加 パスワードに関する対策 パスワードの保管方法の解説 ■本件に関するお問い合わせ先 IPA 技術本部 セキュリティセンター 谷口/扇沢 Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail: [email protected] ■ 報道関係からのお問い合わせ先 IPA 戦略企画部広報グループ 横山/白石 Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: [email protected] 2
© Copyright 2024 ExpyDoc
