HOME > WAFとWebセキュリティ > Webアプリケーションの脆弱性とリスク

Webアプリケーションの脆弱性とリスク

今や、Webサイトを運営するほとんどの企業にとって必須となったWebアプリケーション。
しかし、小さな脆弱性を見過ごすことで、情報漏えいやサイト改ざんなど大きなリスクをもたらすことも事実です。

Webアプリケーションの重要性と脆弱性

日本におけるインターネット利用率は、100人以上の企業では2001年に、世帯単位では2007年に90%を突破し*1、インターネットは私たちの日常を支えるインフラとなっています。インターネットでのビジネスにおいてもWebアプリケーションを使わないサービスは皆無といってもいいでしょう。

Webメールや動画共有サイト、ネット検索、ECサイト、スマホアプリなど、あらゆるサービスにWebアプリケーションが使用されています。例えば、Web上の行動履歴に基づいて最適な広告や関連情報を表示したり、スマホのカメラが写した風景をリアルタイムでネイティブアプリのゲーム画面と組み合わせたり、金融機関のオンラインサービスにログインする際の認証管理にもWebアプリケーションは欠かせません。誰もが日常的に利用するものだからこそ、Webアプリケーションの脆弱性対策は重要度を増しています。

Webアプリケーションの開発では、要件定義段階、設計段階、実装段階のフェーズごとに考慮を開始すべき脆弱性対策があります。要件定義段階では、最新の脆弱性情報を収集し想定される脅威の洗い出しや、セキュリティポリシーの策定、インシデント発生時の対策方針など。設計段階では、Webアプリケーションに脆弱性を残さないセキュアプログラミング技法の周知・教育、セキュリティガイドラインの作成など。実装段階では、効率的にチェックが行える脆弱性診断ツールを利用することや、アプリケーション構成に応じたきめ細かなチェックができる手動診断を実施すること、セキュリティ専門企業に脆弱性診断を依頼することなどがあげられます。

しかし、あいまいな開発要件や、開発者のささいなミスなどから、アプリケーション内部の脆弱性を開発工程で完全に排除するのは、現実的には難しいものです。また、個人情報や決済情報などを扱う場合、より入念なテストや評価が重要になりますが、Webアプリケーション開発は常に時間との戦いでもあります。限られたスケジュールの中では、脆弱性の完全な排除にどこかで見切りをつけサービスを公開するという重要な判断を行わざるを得ないのが実情でしょう。また公開後にも、新たな脆弱性や未知の脆弱性を突いた攻撃手法が次々と現れるため、運用フェーズにおいても継続的に脆弱性対策を行う必要性があります。脆弱性対策の必要性に対する認知は高まりつつあるものの、今もWebサイトの脆弱性を狙う攻撃と被害はとどまる気配を見せません。独立行政法人 情報処理推進機構(IPA)の発表資料(*2)によれば、2019年第4四半期に届出を受理したWebサイトのさまざまな脆弱性のうち、Webアプリケーションの脆弱性としてよく知られるクロスサイトスクリプティング、SQLインジェクションの2種類だけで、実に届出数全体の69%を占めています(図)。この傾向は10年以上もの間、ほとんど変わっていません。

*1 総務省「通信利用動向調査」より
*2 ソフトウエア等の脆弱性関連情報に関する届出状況
【2019年第4四半期(10月~12月)】 より

国内における情報セキュリティインシデントの発生件数やWebサイト改ざんによる被害件数は減少傾向にあります。しかし、脆弱性に対する備えが不要になったわけではありません。近年被害が増えている新しい脅威として「サプライチェーン攻撃」があります。取引先や業務委託先が攻撃され、預けていた個人情報などの機密情報が漏洩するもので、自社だけのセキュリティにとどまらず、取引のある外部組織にも適切なセキュリティ対策が求められます。このように、新たな脅威に対する備えは常に必要なのです。

Webアプリケーション
Webアプリケーション

Webサーバ上で動作するアプリケーションプログラム全般を指します。ユーザはWebブラウザを利用してWebサーバにアクセスすることで、そのアプリケーションを利用することとなります。
ウェブサイトの脆弱性の種類 情報処理推進機構(IPA)資料

脆弱性の種類と危険度

Webアプリケーションへの攻撃対象になりやすい脆弱性としては、SQLインジェクションやクロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF)をはじめ、優に数十種類が挙げられます。これらの脆弱性情報と対策について、常に最新の情報を入手して理解し続けることは、開発者にとって大きな負担になっているのも実情です。

また、SSTが実施した多数のWebアプリケーション診断の結果でも、約70%のWebサイトで危険度Medium以上の脆弱性が検出されています。(*右図 2017年7月~2020年6月、SST調べ)

Webアプリケーションの脆弱性は、Webサイトの開発・運営には常に付きまとう、身近な問題となっているのです。

SQLインジェクション
SQLインジェクション

データベースと連動したWebサイトで、データベースへの問い合わせや操作を行なうプログラムに不正な命令を入力することにより、データベースを改ざんしたり不正に情報を入手する攻撃のこと。
クロスサイトスクリプティング(XSS)
クロスサイトスクリプティング(XSS)

動的にWebページを生成するアプリケーションのセキュリティ上の不備を意図的に利用し、狭義にはサイト間を横断して悪意のあるスクリプトを混入させる攻撃。また、それを許す脆弱性のこと。
クロスサイトリクエストフォージェリ
(CSRF)
クロスサイトリクエストフォージェリ(CSRF)

Webアプリケーションの「投稿」「削除」「購入」「退会」「メッセージ送信」などのコマンドを実行するURLへ誘導し、利用者が意図しないコマンドを実行させる攻撃のこと。
SST診断における脆弱性検出率

脆弱性がもたらす脅威

これまでにも情報漏洩、サイト改ざんなど、Webアプリケーションへの悪意ある攻撃による被害事例は多数報告されてきました。

ひとたび、サイト改ざんや情報漏洩等の事故を起こせば、サービスの停止、ユーザーへの補償など、ビジネスへの重大な影響は避けられません。しかし、コストの大きさや、社内に専門知識を持った担当者が必要となるという人的負担などから、残念ながらWebサイトの脆弱性対策が進められず、対策が施されていないWebサイトがまだ数多く存在しているのが実情です。Webアプリケーション内の脆弱性が見過ごされたままリリースされ、その対処が遅れた場合、どのような事態に陥ってしまうのか。脆弱性対策はすべての企業が考えるべき課題といえるでしょう。

サイト改ざん
サイト改ざん

Webアプリケーションの脆弱性などを利用してWebサイトの内容を書き換えること。最近はSQLインジェクション脆弱性を利用して実施することが多いと報告されています。
情報漏えい
情報漏えい

内部の機密情報等が外部に漏れてしまうこと。Webアプリケーションの脆弱性が原因となって、Webサイトから個人情報を含むデータが漏えいする事件が近年多発しており、直接・間接に発生する損害の大きさとあいまって問題となっています。