JALの不正ログイン事件について徳丸さんに聞いてみた

February 5, 2014, 7:31 pm

≫ Next: 【速報】Joomla3.2.2以前にSQLインジェクション脆弱性

≪ Previous: IE9以降でもHTMLフォームでファイル名とファイルの中身を外部から指定できる

高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、JALの不正ログイン事件についてお話を伺います。徳丸さん、よろしくお願いします。

徳丸: 徳丸です。よろしくお願いします。

高橋: まず、事件の概要を説明します。日本航空のホームページに不正アクセスがあり、JALマイレージバンク（JMB）のマイルが、Amazonのギフト券に勝手に交換される被害がありました。日本航空の発表では、1月31日から2月2日にかけて、身に覚えがないマイル交換がされているという問い合わせが複数ありました。調査の結果、40人の利用者のマイルがアマゾンのギフト券、数百万円相当と交換されていたというものです。

徳丸: ここで問題となるのは、パスワードは数字6桁ということなんですよね。

高橋: やはりそこですか。パスワードが数字6桁だとどのような攻撃ができるのでしょうか?

ブルートフォース攻撃

徳丸: まず、ブルートフォース攻撃の可能性がありますね。下図のように、ユーザIDを適当に固定して、パスワードの全てのパータンを試す攻撃のことです。

高橋: ちょっと待ってください。前回のお話では、オンラインのブルートフォース攻撃は現実的ではないとのことでしたが。

徳丸: それは、パスワードの桁数が十分な場合のことです。数字6桁のパスワードだと、オンライン・ブルートフォース攻撃が現実の脅威となります。

高橋: なぜでしょうか?

徳丸: 数字6桁のパスワード場合、パスワードのパターン数は100万通りですよね。

高橋: 結構大きな数字にも思えますが。

徳丸: そうでもないのです。1時間は3600秒ですから、1秒あたり10個のパスワードを試したとすると、1時間では36,000通り試せます。100万個のパスワードの試行には28時間弱で終わる計算です。

高橋: 一日ちょっとですか。確かに現実性がありますね。そうなると、今回の事件はブルートフォース攻撃なのでしょうか。

徳丸: いえ、それは違います。

高橋: あれれ、違いますか。

徳丸: はい。JALのログイン機能にはアカウントロックの機能があります。パスワードの間違いが一定回数続くと、アカウントがロックされ、パスワードを試すことができなくなります。

高橋: 一定回数とは何回くらいでしょうか。

徳丸: 数字6桁のパスワードだと5回くらいではないですかね。

高橋: ブルートフォース攻撃が駄目となると、どのような方法がありますか?

辞書攻撃

徳丸: 次に検討すべきは辞書攻撃ですね。パスワードを総当たりに試すのではなく、利用者がつけそうなパスワードの一覧（辞書）を用いて攻撃します（下図）。

高橋: でも、アカウントロックに引っかかりませんか?

徳丸: そうなんです。アカウントロックの閾値が5回のパスワード間違いだとすると、辞書攻撃に使う辞書には4種類のパスワードしか載せられません。

高橋: では、辞書攻撃ではない?

徳丸: いや、そうでもないのですが、いったん次の攻撃方法を説明しましょう。

高橋: はい、お願いします。

リバースブルートフォース攻撃

徳丸: 次に考えられるのは、リバースブルートフォースアタック（攻撃）です。

高橋: なんだかプロレスの必殺ワザみたいな名前ですね。

徳丸: これは、パスワードを適当に固定して、ユーザIDの方を変えながらログインできるか試す方法です（下図）。

高橋: 数字6桁というと、例の「123456」とかですか?

徳丸: よく知っていますね。123456は各種のパスワード統計でもっとも人気のあるパスワードですが、JALの場合は違います。

高橋: なぜでしょうか?

徳丸: 禁止されているからですよ。こちらをご覧下さい。

高橋: あーー、そうすると、123123くらいですか。

徳丸: いい線ですね。そうしておいて、ユーザID(お得意様番号)の方を変えていきます。

高橋: お得意様番号は分かるのですか?

徳丸: 具体的な番号の一覧が公開されている訳ではありませんが、ある程度の規則性はあるようですね。あとは、総当たり的に試すのでしょう。

高橋: 成功確率が低いのではありませんか?

徳丸: そうでもないです。こちらの記事によると、JMBの会員数は2700万人ということですから、100万で割ると、1つのパスワードあたり平均では27人の利用者がいることになります。

高橋: 根気よく試すと、平均27人の認証が通ってしまうのですか。

徳丸: 123123のように設定率の高いパスワードだと、もっといくでしょうね。

高橋: それは困りますね。JALは対抗策を講じていなかったのでしょうか?

徳丸: 特に対策していなかった可能性が高いですね。

高橋: なぜ分かりますか?

徳丸: こちらの記事によると、被害にあった利用者の被害者はすべて同一のIPアドレスからアクセスされたようです。ということは、IPアドレス毎に連続したログイン試行の監視やロックをしていなかったと思われます。

高橋: そうか! リバースブルートフォース攻撃の対策は、IPアドレス毎にログインを見張っていて大量の試行があればロックすればよいのですね。

徳丸: それが、そう単純でもないのです。

高橋: なぜでしょうか。

徳丸: 対策が完全ではないと言うことと、副作用があるということの2つの理由からです。

高橋: 完全ではないのですか?

徳丸: はい。攻撃者側がIPアドレスを変えながら攻撃する場合が多いです。GitHubに対する不正ログインの事例が典型的ですね（参考:GitHubに大規模な不正ログイン試行）。そうなると、IPアドレス単位でのロックは掛けにくいです。

高橋: 安全を見て、少ない回数でロックしてしまえば…

徳丸: そうしたいところですが、複数の利用者が同じIPアドレスを共有している可能性を考慮する必要があります。企業からのアクセスはプロキシによりIPアドレスを共有している場合が多いですし、最近はスマートフォンからの3GアクセスはNATですので、IPアドレス単位でロックすると、「道連れ」が大量に出る可能性があります。

高橋: そうなると、閾値をゆるめに設定しておかないと支障がでてきますね。

徳丸: はい。そうすると、閾値に達するまでに、被害に遭う可能性が高くて調整が難しいことと、GitHubのようにIPアドレスをこま目に変えられると対策としては不十分です。

高橋: 完全でないのと副作用というのは、これを指しているのですね。

徳丸: そうです。

高橋: でも、JALが何も対策してなかったとまでは言い切れないのでは?

徳丸: そうですね。しかし、今回の場合、攻撃元のIPアドレスが1つだったにも関わらず、利用者からの指摘で発覚しているので、監視も特にしていなかったと思われます。

高橋: JAL以外のサイトは、リバースブルートフォース攻撃は心配ないのですか?

徳丸: JAL以外のサイトでも一定の脅威ではありますが、JAL程ではありません。

高橋: なぜでしょうか?

徳丸: 利用者が安全なパスワードをつけられるからです。リバースブルートフォース攻撃はパスワードを固定するので、攻撃に使うパスワードは「ありがちなパスワード」使うと効率的です。

高橋: 例の「123456」などですね。

徳丸: そうです。123456やpasswordなど安易なパスワードを設定している利用者には脅威ですが、それは自己責任というか、自業自得の感があります。一方、JALの場合は、利用者が安全なパスワードをつけたくてもつけられないので、利用者の責任とは言えません。

高橋: その違いは大きいですね。

徳丸: そうです。

パスワードリスト攻撃

高橋: パスワードリスト攻撃についてはどうでしょうか? 最近被害が多いようですが。

徳丸: JALの場合は、パスワードリスト攻撃ではないと考えられますね。

高橋: なぜでしょうか?

徳丸: パスワードリスト攻撃は、別のサイトから漏えいしたIDとパスワードの一覧を用意して、攻撃対象のサイトで試すという方法です。ですので、IDとパスワードが一定確率で共通のものがないと、攻撃が成立しません。

高橋: あっ、そっか。

徳丸: JALの場合、IDは利用者がつけるものではなく、JALが割り当てた独自のものです。この時点でパスワードリスト攻撃の対象にはなりません。

高橋: 言い換えれば、パスワードリスト攻撃の対象は、利用者が好きなIDをつけられるか、メールアドレスをログインIDとして使用する場合、ということですね。

徳丸: そうです。加えて、JALの場合、パスワードの仕様が数字6桁ですが、多くのサイトで数字だけのパスワードはチェックで弾いています。これらの理由から、パスワードリスト攻撃ではないと考えられます。

再び辞書攻撃について

高橋: ところで、辞書攻撃については保留状態でしたが、どうなんでしょうか?

徳丸: そうでした。辞書攻撃の可能性もあると私は見ています。

高橋: 4～5回しか試せないのに攻撃が成立しますか?

徳丸: 辞書攻撃とリバースブルートフォース攻撃のハイブリッド攻撃という可能性があります。これは、先に紹介したGitHubに対する攻撃パターンです。

高橋: なるほど、リバースブルートフォースのようにパスワードを1つに固定しなければならないわけではないのですね。

徳丸: そうです。JALの場合は、IPアドレスが固定でしたからIPアドレスをキーに監視やロックができた可能性がありますが、IPアドレスまで変えられると、従来から取られてきた対策では防御できないのです。

高橋: 困りましたね。JALはどうすればよいでしょう?

対策

徳丸: 対策を検討する上で、パスワードに対する攻撃でどの程度の被害があり得るかを検討しましょう。

高橋: お願いします。

徳丸: アカウントロックに引っかからない前提で、1ユーザあたりパスワード4個まで試せると仮定すると、パスワードが的中してしまう確率は100万分の4です。JMBの利用者が2700万人いるので、かけ算すると、108人が被害にあう計算です。

高橋: あー、利用者数が多いことで、被害者も増えるのですか。

徳丸: そうです。しかも、パスワードをランダムに試すのではなく、人気のありそうなものにすれば、この数倍になるでしょう。

高橋: そういえば、ANAのパスワードは数字4桁だから、単純計算で1万人が被害にあう計算ですね。

徳丸: こちらの記事によると「ANAマイレージクラブ」は、2013年6月末時点で2,500万人の会員数を有している」ということなので、計算上はちょうど1万人ですね。

高橋: それは大変です。はやく対策を教えてください。

徳丸: 二要素認証を使う方法があります。ポイントの交換や個人情報の閲覧の際には、パスワード以外の情報を求める、というものです。

高橋: 具体的には何が使えますか?

徳丸: 登録したメールアドレス宛にトークン（6桁程度の乱数）を送るという方法がありますが、登録済みメールアドレスが使えるとは限らないのですよね。

高橋: 私も今回の件で、数年ぶりにJALのサイトにログインしました。そういう方だと、メールアドレスが変わっているという人も多そうです。

徳丸: ということなので、生年月日を使う方法が考えられます。

高橋: わざと嘘の生年月日を登録する人もいるそうですが…

徳丸: そうなのですが、航空会社の場合は、航空券の発券のために生年月日が必要だし、正しい情報を入れている人が多いのではないでしょうか?

高橋: でも、生年月日は秘密情報とまでは言えないですよね。

徳丸: はい。しかし、今回のような「不特定多数を狙った」攻撃には効果があります。特定ユーザを狙った攻撃など一般的な対策については、こちらの記事をご覧下さい。

高橋: わかりましたが、いちいち生年月日を入力するのも面倒ですね。

徳丸: そうでもないんじゃないですか? 自分の情報をしょっちゅう確認・変更する人はいないでしょうし、ポイントの交換もそんなにはないでしょう。

高橋: 頻繁に飛行機に乗る人は面倒だと思いますが…

徳丸: そうですね。だから、パスワードの制限を緩めて、安全なパスワードをつけられるようにすることが、総合的には安全性と利便性を両立できるのだと思います。

高橋: そもそも、なぜ数字のパスワードにこだわるのでしょうか?

徳丸: テレフォンサービスでも同じパスワードを使っているからでしょう。

高橋: あぁ、電話だと英字や記号は使えませんね。

徳丸: 電話の場合は、リバースブルートフォース攻撃などはできないので数字のままでもそれほど危険ではないでしょうしね。だから、Web用とテレフォンサービスとでは、パスワードを別にするしかないでしょう。

高橋: 利用者が2種類のパスワードを管理できないという意見もありそうですが。

徳丸: その辺が難しいところですね。ですが、数字6桁のパスワードでは一定の被害が出てしまうことは避けがたいので、Webが不要な利用者は数字のパスワードだけだがWebは使えなくするなど、きめ細かい施策を打つしかないでしょう。

高橋: そう言えば、対策に高額な費用が掛かるのであれば、対策は保留して金銭的な補償で対応するという経営判断もある、という記事を読みましたが。

徳丸: リスクの受容、あるいは俗に「サイバーノーガード戦法」と呼ばれるものですね。

高橋: 「ノーガード」はかわいそうな気もしますが…

徳丸: 金銭で片が付く問題であれば、一般論としては成立する話ですが、コンシューマー向けサービスでは、金銭補償は最後の手段として考えるべきでしょう。

高橋: なぜでしょうか?

徳丸: 不正ログインで被害にあうと、金銭的な損失もさることながら、精神的なショックが大きいですし、個人情報がいったん漏えいすると、回収は不可能です。これらは、金銭で補償できるという種類のものではありません。

高橋: 確かにそうですね。

徳丸: はい。なので、サイト運営者には、せめて常識的なラインまでは対策を行う義務があると私は考えます。

高橋: 数字6桁のパスワードは、常識的なラインを下回っている、と。

徳丸: その通りです。

高橋: ありがとうございました。これで、JALの不正ログインに関する徳丸さんへのインタビューは終わりです。みなさま、ごきげんよう～

※注: このエントリはインタビュー仕立ての記事であり、文責はすべて徳丸にあります。高橋は架空の人物です。

↧

【速報】Joomla3.2.2以前にSQLインジェクション脆弱性

February 7, 2014, 7:50 pm

≫ Next: マイナビのセミナーにて講演します

≪ Previous: JALの不正ログイン事件について徳丸さんに聞いてみた

Joomlaの最新版(3.2.2)にSQLインジェクション脆弱性が報告されていますので速報します。

概要

Joomla3.2.1のSQLインジェクション脆弱性がexploit-dbに報告されました。こちらで追試した結果、Joomlaの最新版である3.2.2にも同じ問題があります。再現条件は下記の通りです。

Joomla 3.2.1 および 3.2.2 (他のバージョンでは検査していません)
サンプルデータとして「テスト英語(GB)」を導入していること
データベース MySQL（他のデータベースでは検査していません）

この条件で http://examle.jp/joomla/index.php/weblinks-categories?id=\ にアクセスすると、下記の表示になります。

これは 500 Internal Errorのエラー画面ですが、画面最下部に以下のエラーメッセージが表示されています。

1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\)' at line 3 SQL=SELECT `t`.`id` FROM `xxxxx_tags` AS t INNER JOIN `xxxxx_contentitem_tag_map` AS m ON `m`.`tag_id` = `t`.`id` AND `m`.`type_alias` = 'com_weblinks.categories' AND `m`.`content_item_id` IN ( \)

SQLの詳細エラーメッセージが表示されており、IN句の中身が、外部から指定した「\」がそのまま入っています。この段階で、SQLインジェクション脆弱性があることが分かります。

http://example.jp/joomla/index.php/weblinks-categories?id=0)union+select+concat(username,password)+from+xxxxx_users+%23

上図の赤い囲みに「admin$P$DVZwwcGTspL434pDfmJOOUPZU8Dtf7/」と表示されていますが、これは管理者のIDとパスワードハッシュ値を連結したものです。

影響を受けるサイト

再現条件はまだはっきりしていません。前述のように、以下の両方を満たす場合に脆弱性が発現することを確認しています。

Joomla 3.2.1 および 3.2.2
サンプルデータとして「テスト英語(GB)」を導入していること

念のため、他のサンプルデータを全て試してみましたが、上記の形ではSQLインジェクション攻撃はできませんでした。
また、Joomla2.5.18では上記は再現していません。

対応

本稿執筆時点でのJoomla最新版3.2.2に脆弱性があるため、脆弱性が該当する場合は回避策を検討してください。回避策としては、以下が考えられます。

Joomlaの対応版が導入できるまでサイトを停止する
Web Application Firewall(WAF)を導入する
index.php/weblinks-categories へのアクセスを禁止する（可能な場合）
詳細エラーメッセージの表示を抑止する
Joomla2.5.18にダウングレードする

このうち、詳細メッセージの抑止方法については、以下の方法があります。現在選択中のテンプレートのディレクトリ中のerror.phpを編集します。上記の例では、templates/protostar/error.phpです。ここで、$this->error->getMessage() を表示している箇所（複数）を削除するかコメントアウトすると、エラーメッセージから機密情報が漏えいすることを防止できます。
ただし、他の方法で攻撃は可能です。たとえば、MySQLのsleep()関数を用いたブラインドSQLの可能性があります。
今後のこの脆弱性に関する情報が公表されると予想されるため、Joomla利用者はセキュリティ情報に注意することをお勧めします。

免責

このセキュリティ情報は予告なしに改訂される場合があります。このセキュリティ情報を適用した結果について徳丸浩およびHASHコンサルティング株式会社は一切の責任を負わず、利用者の利益のために、あるがままの状態で公開するものとします。

PR

HASHコンサルティング株式会社では、Webサイトを安全に守るためのセキュリティサービスを提供しています。WAF(Web Application Firewall)による効果的な脆弱性対策（SQLインジェクションを含む）や、リスクの評価、対策方法の策定、セキュリティの教育などを提供します。詳しくはお気軽にお問い合わせ下さい。

↧

マイナビのセミナーにて講演します

February 24, 2014, 4:30 pm

≫ Next: 正規表現によるバリデーションでは ^ と $ ではなく \A と \z を使おう

≪ Previous: 【速報】Joomla3.2.2以前にSQLインジェクション脆弱性

マイナビ主催のセミナー「2014年版! 標的型攻撃対策セミナー～最近の事件から学ぶ、攻撃手口と運用留意点～」で、辻伸弘さんと共に講演します。

日時：2014年2月28日（金）13：30～16：30（徳丸の出番は15:50～16:30）
場所：マイナビルーム2F-T（東京都千代田区）
費用：無料（申し込みはこちら）
講演タイトル：加害者にならないためのWebサイト保護施策～最新の動向を踏まえて～

講演の中ではWebサイトが「加害者」になるシナリオを3種類ほどデモする予定です。
Webサイトが外部から攻撃を受けて、自サイトが「被害者」になるだけでなく、他社への「加害者」になってしまうシナリオは多数ありますが、最近の動向を踏まえて、某大手レンタルサーバー事業者で発生したと推測されているシンボリックリンク攻撃のデモをする予定です。但し、詳細のシナリオは公表されていないため、徳丸の創作によるものです。

シナリオをこっそりお教えしましょうw

某レンタルサーバーにタナカとスズキがサイトを構築している
スズキは人気サイトであり攻撃者が狙っているが、こちらは外部から侵入できる脆弱性はない
スズキの方はWordPressを利用している
タナカの方では古いphpMyAdminを使っていて、外部から任意のスクリプトが実行できる
攻撃者はタナカ側に攻撃をしかけ、スズキサイト側にシンボリックリンクを貼る
攻撃者は上記シンボリックリンクを閲覧して、スズキのWordPress設定ファイルからMySQLのIDとパスワードを得る
攻撃者はタナカのphpMyAdminに対して、スズキ側のMySQLのIDとパスワードを使ってログインする
攻撃者はphpMyAdminを操作して、スズキ側コンテンツを書き換える
これ以降、スズキ側コンテンツを閲覧した利用者はマルウェアに感染する

うーん、ややこしい手順なので、理解しやすい説明を工夫しなければ…上記の「タナカ」は外部からの侵入を許した結果、自サイトは直接の被害がなく、スズキ側への攻撃に荷担してしまったため「加害者」になったという想定です。

それでは、よろしくお願いいたします。

↧

正規表現によるバリデーションでは ^ と $ ではなく \A と \z を使おう

March 3, 2014, 7:21 pm

≫ Next: Windows版PHPのbasename関数がドライブレターを除去しない問題はPHP5.4.25/PHP5.5.9で改修された

≪ Previous: マイナビのセミナーにて講演します

正規表現によるバリデーション等で、完全一致を示す目的で ^ と $ を用いる方法が一般的ですが、正しくは \A と \z を用いる必要があります。Rubyの場合 ^ と $ を使って完全一致のバリデーションを行うと脆弱性が入りやすいワナとなります。PerlやPHPの場合は、Ruby程ではありませんが不具合が生じるので \A と \z を使うようにしましょう。

はじめに

大垣さんのブログエントリ「PHPer向け、Ruby/Railsの落とし穴」には、Rubyの落とし穴として、完全一致検索の指定として、正規表現の ^ と $ を指定する例が、Ruby on Rails Security Guideからの引用として紹介されています。以下の正規表現は、XSS対策として、httpスキームあるいはhttpsスキームのURLのみを許可する正規表現のつもりです。


/^https?:\/\/[^\n]+$/i

しかし、Rubyの場合、以下の入力が上記正規表現にマッチしてしまいます。


javascript:exploit_code();/*
http://hi.com
*/

確かに、これはすごいワナです。なぜ、このようなことが起こるのでしょうか。その理由は下記の2点にあります。

メタ文字 ^ と $ は「行」の先頭と末尾を示す
Rubyの正規表現機能は、デフォルトで複数行モードである

^ と $ の意味

Rubyに限らずPerlやPHPでもそうですが、正規表現のメタ文字 ^ と $ は「行」の先頭・末尾を指します。文字列の先頭と末尾を指定する場合は、\A と \z を使用します。

デフォルトで複数行モード

こちらはRuby特有の仕様ですが、Rubyの正規表現は、デフォルトでPerlやPHPのm修飾子を指定したような動作となります。PerlやPHPの場合は、文字列の途中に改行があった場合でも、文字列全体を1行と見なします。一方、Rubyの場合や、PerlやPHPで正規表現の m修飾子を指定した場合は、改行を行の区切りと見なし、複数行として処理します。このため、/^xxx$/ （PerlやPHPの場合は/^xxx$/m ）という正規表現は、「xxxに一致する行がある場合にマッチ」となります。
ちなみに、Rubyにも m修飾子がありますが、これはPerlやPHPの s修飾子にあたるもので、メタ文字ドット「.」が改行にマッチするようにする指令です。

先のPoCの場合、2行目に http://hi.com というhttpスキームのURLがあるため正規表現がマッチして、「正しい入力」とみなされたことになります。

XSS以外の脆弱性の可能性

この問題はXSS以外の脆弱性になる可能性があります。

SQLインジェクション: 数値の妥当性確認を正規表現で行っていて、"1\nOR 1=1"等の入力が来た
メールヘッダインジェクション: メールアドレスの妥当性を正規表現で実施していて、"a@example.jp\nSubject: hoge"等の入力が来た
HTTPヘッダインジェクション: リダイレクト先のURLを正規表現でチェックしていて、"http://example.jp/\nSet-Cookie: SESSIONID=ABC"等の入力が来た

どうすればよいか(Rubyの場合)

では、どうすればよいかというと、文字列のバリデーションなどに正規表現を用いる場合、^ と $ を使わずに、\A と \zを文字列の先頭・末尾を示すメタ文字として使用します。私の観測範囲では、Ruby界隈では元々よく知られている内容と思いますが、大垣さんの指摘のように、他の言語からRubyに移ってきた人には落とし穴になりそうです。

PerlやPHPの場合も ^ と $ を避けよう

大垣さんは、先に参照したエントリで「PHPのpreg_*()もmb_regex_*()も文字列データの開始と終端はそれぞれ^と$です」と書いておられますが、正確には、PHPの場合も ^ と $ は「行」の先頭と末尾を示します。大垣さんに限らず大半の方が、正規表現でのバリデーションに ^ と $ を使って完全一致マッチングを指定していますが、これは間違いということになります。
それでは、過去のPHP（やPerl等）のスクリプトが、これが原因で脆弱性だらけになるかというと、そうではありません。なぜなら、PHPやPerlの正規表現のデフォルトは単一行モードであり、文字列の途中の改行の前後で ^ や $ がマッチすることはないからです。

しかし、行の末尾に改行がある場合にも $ は（改行の直前に）マッチしてしまいます。すなわち、以下のPHPスクリプトは 1 （マッチした）を返します。


preg_match('/^[0-9]+$/', "123\n")

一方、以下は 0 （マッチしない）を返します。


preg_match('/\A[0-9]+\z/', "1234\n")

このように、^ と $で完全一致のチェックをしているつもりでも、データ末尾に改行が含まれている場合を見逃してしまうという問題があります。

書籍等の対応

私はRuby関連の書籍はあまり持っていませんが、初めてのRuby

を確認すると、^ $ \A \z の意味が正しく説明されていました。これは、まぁyuguiさんなら当然でしょうが。
PHP関連の書籍はほぼ全滅のような気がしますが、PHP逆引きレシピ第2版 (PROGRAMMER’S RECiPE)

は正しい記述があります。第1版の方は間違っておりますので、まだ第1版をお使いの方は、この機に第2版を買いましょう（お勧め）。
追記。プロになるための PHPプログラミング入門

も正しい記述です。徹底攻略PHP5技術者認定［上級］試験問題集［PJ0-200］対応

には、上記の非常に詳しい解説があります。（追記終わり）
ちなみに、拙著体系的に学ぶ安全なWebアプリケーションの作り方　脆弱性が生まれる原理と対策の実践

もw…と、これは自分で書いているので当然として、実はこの本を書くためにこのあたりを調べていたのでした。

まとめ

正規表現によるバリデーションをする場合、完全一致を示す目的でメタ文字 ^ と $ が多用されますが、これは間違いであり、\A と \z を用いるようにして下さい。^ と $ を用いた場合、Rubyの場合は脆弱性の原因となりやすく、他の言語の場合でも、データ末尾の改行をチェックできないと言う問題が生じます。

謝辞

正規表現の完全一致に \A と \z を使うべしという知識は、小飼弾氏から教えていただきました。私が、自分のブログエントリ『正規表現で「制御文字以外」のチェック』にて、「Perlの場合末尾の\nがうまくチェックできない」と書いたところ、小飼氏が「regexp - ^$でなくて\A\zを使おう」にて回答下さいました。あらためてお礼申し上げます。ありがとうございました。

↧

Windows版PHPのbasename関数がドライブレターを除去しない問題はPHP5.4.25/PHP5.5.9で改修された

March 5, 2014, 6:26 pm

≫ Next: よくわかるPHPの教科書 PHP5.5対応版のクロスサイト・スクリプティング

≪ Previous: 正規表現によるバリデーションでは ^ と $ ではなく \A と \z を使おう

以前、「Windows版PHPのbasename関数はドライブレターを除去しない場合がある」にて、Windows版PHPのbasename関数が c:autoexec.bat などに対してそのままの文字列を返す（ドライブレター c: を除去しない）問題を報告しました。
この問題をBug #66395として報告したところ、PHP5.4.25 / PHP5.5.9にて改修されました。これらのリリースは約1ヶ月前で、そろそろ次のバージョンがリリースされますが確認が遅れておりました。
具体的には、数の左側の入力に対して、矢印の右側の結果となります。

bbb/c:autoexec.bat → autoexec.bat
bbb/cc:autoexec.bat → cc:autoexec.bat
c:bb/autoexec.bat → autoexec.bat

2番目の結果に違和感のある方がおられると思いますが、これはNTFSのストリームという機能に対応したものです。ストリームについては下記を参照下さい。

当初は、1番目の例も（ストリームの書式として）c:autoexec.bat と変換されていましたが、私から追記として指摘（PHPはNTFSストリームに対応していないし、パストラバーサル対策としてはまずいよ）したところ、いやいやPHPはNTFSストリームに対応しているよ（私の確認不足でした）という返答でしたが、最終的に、コロンの前（こちらがファイル名で、コロンの後ろがストリーム名）が一文字の場合は除去するというアドホックな仕様に落ち着いたようです
個人的には、NTFSストリームはExplorer等のWindows標準ツールでも上手く扱えないものを認めても混乱の元となるだけだと思いますが、まぁ独自のこだわりがあったのでしょう。最終的な仕様は許容できるものだと思います。

ということで、Windows版PHPをお使いの方は、最新のPHPにバージョンアップを推奨します。ただし、PHP5.3の最新版5.3.28では、この問題は直っていません。

また、アプリケーション側では、basename関数を通すだけでなく、「安全なウェブサイトの作り方」にあるように、「固定のディレクトリを指定」するようにしてください。そうすれば、basename関数のBug #66395の影響を受けなくなります。

↧

よくわかるPHPの教科書 PHP5.5対応版のクロスサイト・スクリプティング

March 9, 2014, 7:43 pm

≫ Next: cheeers! のオープンリダイレクタ脆弱性が修正された

≪ Previous: Windows版PHPのbasename関数がドライブレターを除去しない問題はPHP5.4.25/PHP5.5.9で改修された

たにぐちまことさんのよくわかるPHPの教科書

がこのたび改版されて、よくわかるPHPの教科書【PHP5.5対応版】

として出版されました。旧版はmysql関数を使ってSQL呼び出ししていましたが、mysql関数がPHP5.5にて非推奨となったための緊急対処的な内容となっているようです。つまり、従来mysql関数を呼び出していた箇所をmysqliの呼び出しに変更したというのが、主な変更点のようで、これ以外はあまり変更点は見あたりません。

既に、Amazonでは、熱烈な読者の方からの詳細のレビューが届いています。

神本御降臨！
言わずと知れたPHPプログラミング書籍のロングセラー。
2010年9月に発売された前作の改訂版。
PHPのバージョンも最新の5.5に対応、内容は前作と殆ど同じ。
少し前に前作を購入した方も本書を購入した方がいいでしょう。
【中略】
それにしても、帯の「３万人に読まれた定番の入門書が・・」では、この偉大な書籍にしては謙遜している気が。
せめて「３万人に愛された伝説の入門書が・・・」とか「３万人の運命を変えた史上最強の入門書が・・・」と
書いても良いのではないでしょうか。
プログラミングの入門書でこれだけ支持・絶大な人気の書籍は他にないのですから。
引用元

たにぐちさんの人気はすごいなぁとあらためて思いながら読んでいると、意外にも私の名前もありました。

どうも、現役のバックエンドエンジニア達の反応や評価がよくわからない・・・
どう思っているのでしょうか？気になるところです。
（購入者自身が納得すれば良い話なので、意味がないかもしれませんが）
また、改訂版の本書に対して徳丸先生からの書評も待ちたいところです。

召喚されてしまいましたw

まだ網羅的には調べ切れていませんが、現時点で1箇所興味深いクロスサイト・スクリプティング(XSS)を見つけましたので紹介します。

XSSをどうやって見つけたか

私は脆弱性を見つける際には、ソースを見るよりも先に動かしてみることが多いのですが、この脆弱性はソースのgrepで見つけました。サンプルソースをダウンロードして、以下のgrepコマンドの結果を眺めました。

$ grep -r echo *

すると、1箇所HTMLエスケープしていない箇所がありました。

part5-2_sample/join/check.php:        <img src="../member_picture/<?php echo $_SESSION['join']['image']; ?>" width="100" height="100" alt="" />

$_SESSION['join']['image']をエスケープしないで表示しているので、この時点で「局所的にXSSが存在」と言って良いかと思います。

攻撃経路はあるか?

しかし、セッション変数がインプットですので、攻撃経路があるかどうかを確認して見ましょう。この変数は下記でセットされています（part5-2_sample/join/index.php）。

// 画像をアップロードする
$image = date('YmdHis') . $_FILES['image']['name'];
move_uploaded_file($_FILES['image']['tmp_name'], '../member_picture/' . $image);

$_SESSION['join'] = $_POST;
$_SESSION['join']['image'] = $image;

利用者がアップロードしたファイルのファイル名がソースになっていますね。
「ファイル名なのでHTMLエスケープしない」という例は割合見かける気がします。その背景として、以下の心理があるのかもしれません。

ファイル名には「<」や「>」は使えないのでXSSはできない
ファイルアップロードのフォームではファイル名を外部から指定できない

しかし、これらはいずれも正しくありません。
まず、Unix/Linux/Mac OSではファイル名として「<」や「>」を使うことができます。それに、「<」や「>」を使わないXSS攻撃も可能です。
また、ファイルアップロードのフォームにてファイル名を外部から指定することもできます。これについては、下記のエントリを参照下さい。

ということで、このXSSは攻撃経路がある、ということになります。

実証

このXSSが発現することを以下のPoCで確認しました。JavaScriptはXMLHttpRequest Level2を利用してファイル名を " onerror=alert(document.cookie) gif にセットしています。そして、末尾近くのiframe要素で、XSSのあるcheck.phpを呼び出します。

<body>
<script>
  // 以下は送信するHTTPリクエストボディの中身
  // \n\ は改行(\n) と 継続行(行末の\)を示す
  data = '\
----BNDRY\n\
Content-Disposition: form-data; name="name"\n\
\n\
e\n\
----BNDRY\n\
Content-Disposition: form-data; name="email"\n\
\n\
e@example.jp\n\
----BNDRY\n\
Content-Disposition: form-data; name="password"\n\
\n\
pass\n\
----BNDRY\n\
Content-Disposition: form-data; name="image"; filename="\\" onerror=\'alert(document.cookie)\' gif"\n\
Content-Type: image/gif\n\
\n\
GIF87a\n\
----BNDRY--\n\
';

  var req = new XMLHttpRequest();
  req.open('POST', 'http://example.jp/join/');
  req.setRequestHeader('Content-Type', 'multipart/form-data; boundary=--BNDRY');
  req.withCredentials = true;
  req.send(data);
</script>
<iframe src="http://example.jp/join/check.php"></iframe>
</body>

生成されるimg要素は下記となります。src属性が「"」で閉じられ、onerror属性（イベント）が定義されています。

<img src="../member_picture/20140310092527" onerror='alert(document.cookie)' gif" width="100" height="100" alt="" />

画面は下記となり、確かにセッションクッキーが読み取られています。

対策

ここまで読んだ読者の中には、「こんなに高度な攻撃のことまで考慮しなければならないのか」と疑問を持った方がおられるかもしれませんが、そうではありません。攻撃経路があるかないかに関わらず、淡々と、HTML出力時にエスケープ処理を入れるだけで対策は終わりです。

すなわち、「高度なことを考慮する必要がある」ということではなく、「中途半端に高度なことを考えてしまったので対策漏れが生じた」と言えます。

この脆弱性は、攻撃には高度なワザが必要だが、対策は平凡、というありがちな例と言えるでしょう。局所的な対策をもれなく実施することが重要です。

↧

cheeers! のオープンリダイレクタ脆弱性が修正された

March 10, 2014, 10:20 pm

≫ Next: ANAの不正ログイン事件について徳丸さんに聞いてみた

≪ Previous: よくわかるPHPの教科書 PHP5.5対応版のクロスサイト・スクリプティング

クラウドファンディングサイトcheeers!にはオープンリダイレクタ脆弱性がありましたが、サイト運営者に連絡したところ修正されましたので報告します。

cheeers! のログイン画面は下記の通りですが、アドレスバーに注目ください。from=というクエリ文字列にURLをパーセントエンコードしたものがついています。

正しいIDとパスワードを入力してログインすると、このfromで指定されたURLに遷移ます。下記は遷移後の画面例です。

以上は正常系の流れですが、それではfrom=に、cheeers! とは無関係のURLを指定したらどうなるでしょうか。たとえば、from=https://twitter.com/HiromitsuTakagi/status/350971098248118272 と指定しておくと、ログイン成功後に下記の画面が表示されていました（現在は表示されません）。

爆笑。大草原不可避。wwwwwwwwww wwwwwwwwww wwwwwwwwww wwwwwwwwww wwwwwwwwww pic.twitter.com/KS0gsMThHZ
— Hiromitsu Takagi (@HiromitsuTakagi) 2013, 6月 29

— Hiromitsu Takagi (@HiromitsuTakagi) 2013, 6月 29

これはかなりドキッとしそうです。ひょっとすると、口に含んでいたコーヒーを手許のMacBook Airにぶちまけてしまうという「被害」も想定されますが、被害はこれにとどまりません。以下は、cheeers!のログイン失敗画面ですが、これとそっくりの「偽画面」を用意して、そこに遷移させるという攻撃が考えられます。

すると、大半の利用者はパスワードを間違えたと勘違いして、もう一度正しいID（メールアドレス）とパスワードを入力するでしょう。しかし、これは偽画面なので、IDとパスワードを盗まれてしまいます。その後正規の画面に遷移するので、パスワードを盗まれたことすら気づかないで、利用者は閲覧を続けるでしょう。フィッシングの一種ではありますが、起点となる画面が正規のものなので、注意深い人でもだまされやすいというところが問題です。

私はこの問題に3月7日(金)夜に気づきましたのでメールにて運営に報告したところ、3月10日(月)には状況が変化していました。具体的には、https://twitter.com/.... などのサイトには遷移しないようにチェックが入ったようですが、このチェックは不完全でした。具体的には、以下のようなURLはチェックを通ってしまう状況でした。

http://takeo.cheeers.jp.example.jp/

つまり、前方一致検査で、http://takeo.cheeers.jp までを確認していたようですが、正しくは、http://takeo.cheeers.jp/ まで（スラッシュまで）確認しなければ、上記のようなサブドメインを使った攻撃を許してしまうのでした。
この問題に昨夜気づきましたので、再度運営に連絡したところ、今日の午前中には修正されていました。

オープンリダイレクタは比較的よく見かける脆弱性ですので、読者の皆様もご注意ください。

なお、拙著体系的に学ぶ安全なWebアプリケーションの作り方　脆弱性が生まれる原理と対策の実践

には、4.7.1 オープンリダイレクタ(P184)として、脆弱性が混入する原因や対策方法について詳しく説明しています（宣伝）。

↧

ANAの不正ログイン事件について徳丸さんに聞いてみた

March 12, 2014, 7:10 pm

≫ Next: 徳丸本Kindle版が半額(1,400円)となるキャンペーン始まりました

≪ Previous: cheeers! のオープンリダイレクタ脆弱性が修正された

高橋: こんにちは、高橋です。先月に引き続き徳丸さんをお招きして、今度はANAの不正ログイン事件についてお話を伺います。徳丸さん、よろしくお願いします。

徳丸: 徳丸です。よろしくお願いします。

高橋: まず、事件の概要を説明します。「ANAマイレージクラブ」のWebサイトに不正ログインがあり、顧客9人のマイレージ、総計112万マイルがiTunesギフトコードに勝手に交換されていたとするものです。当初顧客の通報で発覚した点はJALの場合と同じですね（参考）。

徳丸: で、私はなにをしゃべればいいのですかね。お招きいただいたので出てきましたが、パスワードがJALは数字6桁、ANAは4桁ですが、それ以外はあまり変わらないのですよね。

高橋: JAL、ANAと事件が続きましたが、攻撃手口は見えてきていないのでしょうか?

徳丸: 公式発表も報道もあまり情報がないので確定的なことは言えないのですが、最近気づいたことがあります。

高橋: それそれ、教えて下さいよ。

徳丸: パスワードを狙った攻撃というと、パスワードが分かったらすぐに悪用すると思いませんか?

高橋: はい。違うのですか?

徳丸: 違うかもなと思い始めたのです。悪用するとバレやすくなりますから。

高橋: 結局ばれるんじゃないのですか? 今回も発覚はしていますよ。

徳丸: はい。ですが、最初の一人でばれると、悪人のもうけが減るじゃないですか。

高橋: はー。すぐ悪用しないとすると、どうだったと推測されますか?

徳丸: JALとANAの事件では、以下のプロセスが必要ですが、1と2は続けてやるとして、攻撃対象のアカウントをためておいて、3は後でまとめて実行した可能性があります。

ログイン画面でパスワードを試行する
ログインできたユーザのマイルの残高を確認する
マイルを悪用する

高橋: 続けて実行するのとどう違いますか?

徳丸: 今回の事件でも、利用者からの通報で発覚しましたが、不正ログインしてマイル残高を確認するまでであれば、利用者は不正を知る術がないのですよ。

高橋: そういえば、そうですね。私のアカウントは大丈夫かしら。

徳丸: ひょっとするとログインまでは成功していて、マイルが少ないから何もされていないだけかもしれませんね。

高橋: あら、どうしましょ。パスワードを変更した方がいいかしら?

徳丸: まだ変更していないのですか?

高橋: だって、数字4桁のパスワード変更しても無意味、みたいなツイートが多かったし…

徳丸: それはきっと、パスワードを変更しても安全になるわけではないという意味でしょう。現に攻撃が起こっていて、パスワードがばれているかもしれないので、パスワードを変更することで、パスワードがばれていない状態にする、という意味はあります。

高橋: そうなのですか。ANAのサイトには、「会員の皆様に安心してサービスをご利用いただくため、AMCのパスワード変更のお手続きをお願いいたします」と書かれていた。ので、「パスワードが数字4桁のままで、どう変えたら安心できるの? ぷんぷくり～ん」と怒っていました。

徳丸: お怒りはごもっともですが、パスワードを変更する意味はあります。

高橋: 分かりました。それでは、パスワードの試行と悪用を分ける意味をもう少し詳しく説明いただけますか?

徳丸: はい。数字4桁のパスワード（暗証番号）とはいえ、パスワードの試行には、それなりに時間が掛かると思うのですよ。

高橋: どれくらい掛かりますか?

徳丸: それは分からないのですが、想定をおいて計算をしてみましょう。

高橋: お願いします。

徳丸: 現時点で悪用されたアカウントは9人ですが、ログイン成功したアカウントはずっと多いと予想されます。

高橋: 何故でしょうか?

徳丸: 奪われたマイル数が多いからですよ。9人で112万マイルということは、1人あたりの平均では12.4万マイルですよ。

高橋: それはすごいですね。私なんか、先日東京～札幌往復しましたが、1020マイルしか貯まってません。

徳丸: そういう利用者が大半だと思うのですよね。

高橋: それでは、マイル残高の多い利用者を狙ったということですか?

徳丸: はい。マイルを盗むと発覚の可能性が高まるので、マイル残高の多い利用者を一気に狙ったと予想します。

高橋: あー、なんか頭いい感じですね。

徳丸: パスワードがばれた利用者数はわかりませんが、ここでは300人と仮定しましょうか。パスワード試行1回で正答する確率は1万分の1ですから、単純計算で300万回パスワードを試行した計算になります。

高橋: 数字がぶれる要素はどこでしょうか?

徳丸: 300人というのは根拠がありませんし、「1234」など利用者がつけそうな暗証番号を狙うと、もう少し確率は上がるでしょう?

高橋: えっ、1234はつけられるのですか? JALの時は、123456は禁止されていましたよね。

徳丸: はい。この画面を見て下さい。これは、ANAマイレージクラブのパスワード変更画面です。

高橋: パスワードの例として「0123」とありますね。

徳丸: これ、本当に0123にセットできるんです。1234もいけますよ。

高橋: ぎょえー

徳丸: ですが、300人の根拠もありませんので、そのまま計算を進めます。ログインの監視もあるのでむやみに試行のスピードがあげられないので、1秒間に1回パスワードを試すとすると、300万秒、すなわち約830時間で、これは約35日間です。

高橋: 35日間も監視でばれなかったのでしょうか?

徳丸: 元々利用者の多いサイトですし、リバースブルートフォース攻撃などで、かつ試行に用いるIPアドレスを分散すれば、監視は相当困難でしょうね。

高橋: あれ、JALの時も、そうだった可能性ありません?

徳丸: そうなんです。不正ログインのIPアドレスは単一だっという報道がありましたが、それ以前のログイン試行の時はIPアドレスを分散していて、悪用の際は単一のIPアドレスだった可能性はありますね。前回は、「JALは監視してなかったのでは?」なんて言ってしまい、すみませんでした(_ _)

高橋: 徳丸さん、憶測でものを言うときは気をつけないと。

徳丸: 面目ないです。

高橋: ともかく、ゆっくり時間を掛けてパスワードを収集して悪用は一気に実行した、というのが徳丸さんの推測なのですね。

徳丸: はい。もちろん根拠はありませんが、攻撃方法としては合理的だと思います。

高橋: 対策はありませんか?

徳丸: あります。JALの場合も、ANAの場合、攻撃発覚は利用者の通報でしたよね。

高橋: はい。

徳丸: なので、利用者に攻撃を早期に伝えるという施策が有効です。

高橋: 具体的にはどのようなものでしょうか?

徳丸: ログイン履歴の表示とか、ログイン通知メールの送信ですね。

高橋: それを実施しているサイトはありますか?

徳丸: Yahoo!ジャパンがそうですね。こちらの「ログインアラート」と「ログイン履歴」が該当します。

高橋: 徳丸さん、Yahoo!のログインについては以前批判していませんでしたか?

徳丸: こちらの記事でしょうか? これはパスワードリセットに用いる「秘密の質問と回答」に関するもので、アカウントの保護全般に関しては、Yahoo!の機能は素晴らしいですよ。だから、なおのこと、残念だということで。

高橋: そうだったのですね。

徳丸: はい。JALもANAも、ログイン通知の機能があればもっと早期に発覚しただろうし、被害もずっと小さくなった可能性があります。

高橋: あー、それにしても、私のアカウント大丈夫かしら。

徳丸: とりあえずパスワードは変えましょうよ。そして、ログイン履歴の機能は早期に実現して欲しいですね。

高橋: それよりも、パスワードの仕様を変えて、もっと安全なものがつけられるようにすることが先決ではありませんか?

徳丸: ごもっともですが、大規模なシステムなので、パスワードの仕様を変えるとなるとオオゴトですよ。それはそれでやってもらうとして、緊急対処としてできることは早期に実行して欲しいです。

高橋: 他に実施できるものはありますか?

徳丸: あります。崎村さんから教えていただいたのですが、ANAはGoolge等と認証連携しているのですよ。

@ockeghemそもそもANAは認証連携しているので、Webパスワードをオフにする昨日を提供して欲しい。また、認証連携されてないアカウントについては、毎回登録したメールにワンタイムリンクを送って、それでログインさせるとかすることを考えて良いと思う。
— 崎村夏彦 (=nat) (@_nat) 2014, 3月 11

高橋: Googleでも認証できるということで、4桁暗証番号でもログインできると意味ないのでは?

徳丸: はい。なので、崎村さんが書いておられるように、パスワード認証を無効にする機能を追加できれば、Google等の2段階認証の機能を活用できることになります。

高橋: それはいいですね。

徳丸: ということで、タテマエ論としてはパスワードの仕様を早くなんとかしろというのは要求しつつ、すぐにできる対処もあるので回避策を早急に実施して欲しいですね。

高橋: ありがとうございました。これで、ANAの不正ログインに関する徳丸さんへのインタビューは終わりです。みなさま、ごきげんよう～

※注: このエントリはインタビュー仕立ての記事であり、文責はすべて徳丸にあります。高橋は架空の人物です。

↧

徳丸本Kindle版が半額(1,400円)となるキャンペーン始まりました

March 13, 2014, 7:39 pm

≫ Next: ANAマイレージクラブのログインを少しでも安全にする運用を考えてみたが見つからない

≪ Previous: ANAの不正ログイン事件について徳丸さんに聞いてみた

拙著「体系的に学ぶ安全なWebアプリケーションの作り方　脆弱性が生まれる原理と対策の実践」のKindle版が、本日から2週間、半額の1,400円でお買い求めいただけるキャンペーンが始まりました。

参考: 【電子書籍】4社共同IT書キャンペーン実施！

※キャンペーンはAmazonのKindleのみで実施しています。
※キャンペーンは2014/3/27まで実施の予定ですが、都合により早めに終了することがあります。

徳丸本電子版をまだお持ちでない方は、この機会に購入をご検討ください。

ただし、徳丸本電子版は、Kindle版以外にPDF版もあります。PDF版の割引キャンペーンはありませんが、Kindle版に対して下記のメリットがあります。

DRMフリー
検索が可能
PC、Macなど様々な端末での閲覧が可能
印刷、コピペ等の制限解除
将来にわたる閲覧の保証

Kindle版に関しては、下記の注もお読みください。

※この商品は固定レイアウトで作成されており、タブレットなど大きなディスプレイを備えた端末で読むことに適しています。また、文字列のハイライトや検索、辞書の参照、引用などの機能が使用できません。

とにかく安いものが欲しい、あるいはKindleでぜひ読みたいという方はKindle版を、通常価格でもPDF版のメリットが欲しい方はPDF版を購入されるとよいと思います…が、最終的に読者の判断で決めていただければと思います。
皆様のご愛読に感謝申し上げます。ありがとうございました。

PDF版の購入はこちら
Kindle版は購入はこちら

↧

ANAマイレージクラブのログインを少しでも安全にする運用を考えてみたが見つからない

March 16, 2014, 7:59 pm

≫ Next: とあるECサイトのアクセス制御不備

≪ Previous: 徳丸本Kindle版が半額(1,400円)となるキャンペーン始まりました

既に「ANAの不正ログイン事件について徳丸さんに聞いてみた」で書いたように、ANAマイレージクラブ(AMC)のWebサイトに不正アクセスがあり、利用者 9人、計112万マイルがiTunesギフトコードに不正交換されました。ITproの記事を引用します。

ANAに申告があった9人分、計112万マイルについて、3月7～9日の間にiTunesギフトコードへ交換されていたことを確認したという。【中略】同社は10日18時30分以降、iTunesギフトコードへの交換サービスを停止した。不正ログインの手段など攻撃の詳細や、他にも不正ログインがあったかについては調査中という。
ニュース - ANAマイレージクラブへの不正ログインで112万マイルが詐取、住所なども閲覧可能に：ITproより引用

攻撃があってから一週間たちますが、まだANAに申告があった利用者の被害しか発表されていません。上記9名以外にも、マイル不正交換があった可能性はありますので、AMC利用者の方は一度確認をお勧めします。
さらに、不正交換はないものの個人情報が流失した利用者は相当数あると想定されるものの、攻撃者が単に不正ログインして、個人情報を閲覧されただけでは、利用者には確認の手段がありません。

ANAマイレージクラブ・サービスセンターに電話してみた

では、私のアカウントは大丈夫なのだろうかと、こちらのサイトで案内されていたANAマイレージクラブ・サービスセンターに電話で問い合わせてみました。「私の個人情報は漏えいしてないのですか? それは分からないのですか? 」と問い合わせたところ、上席に替わりますということになり、上席なる方の説明によると、個人情報開示手続きにて、ある範囲のアクセス履歴を開示できるということでした。
電話で聞く限り、開示手続きにて開示される履歴は、マイル交換や個人情報の変更に関するもので、それは敢えて開示請求しなくてもメールにより都度通知されるので、利用者も把握できる情報です。利用者が把握できない情報として、IPアドレスやUser-Agentの情報も開示されるようですが…
一方、単にログインしただけとか、ログインした後個人情報を閲覧しただけでは開示の対象にならないようです。さらに開示の期間は直近の1ヶ月間と説明されました。これでは意味がないなと思いつつ、どのような情報が開示されるのか開示請求をかけてみました。結果については、別途報告したいと思います。

AMCサイトはパスワードの定期的変更の効果が多少ある

先のブログエントリで書いたように、AMCサイトは以下の困った特徴があります。

パスワードが4桁数字であり不正ログインの可能性が高い
他者がログインに成功しても、それを利用者が知る手段がない
不正ログインがあってもサイト運営者がそれを検知できていない（実績として）
不正ログインに成功しても直ちに悪用されず、後からマイル交換等の悪用をする動機が攻撃者側にある

最後の項について補足します。先のエントリでは、攻撃者はパスワード収集とマイル交換のフェーズを分けて実行したのではないかという推測を書きました。これに加えて、不正ログインに成功した時点ではマイルは交換の対象になっていないが、数ヶ月後であればマイルが増えていて交換の対象になる可能性があります。すなわち、直ちに悪用しないで、後から悪用する動機が攻撃者にはあることになります。
AMCサイトの上記の特性から、AMCサイトではパスワードの定期的変更が一定の効果を持つことになります。これは、以前「パスワードの定期的変更について徳丸さんに聞いてみた(2)」で、「理論的には、次の条件を満たすサイトを使わないといけない場合は、パスワードの定期的変更が効果がなくはない」と指摘した通りです。すなわち、

不正ログインの確率が下がる訳ではない
個人情報が漏えいする確率は変わらない
不正ログイン時点でマイルを直ちに交換せず後からマイル交換するという行為を防げる可能性がある

ということで、効果も、確実性も高い訳ではありませんが、一定の効果があることは認めなければなりません。しかし、これは、パスワード定期的変更が一般的に効果があるという証拠ではありません。むしろ、「AMCサイトは、パスワードの定期的変更くらいしか防衛手段がない残念なサイト」である証拠であると私は考えます。

ただし、上記シナリオに限定すると、パスワードの定期的変更よりも効果的な防御策があります。それは、

マイルが貯まったら直ちに交換する

という方法です。マイルが貯まるタイミングは利用者が分かるので、パスワードの定期的変更よりも確実です。ただし、「マイルをたくさん貯めてプレミアムなサービスと交換したい」という希望はあきらめなければなりません。たくさん貯まる前に窃取される可能性があるからです。その場合はパスワードの定期的変更も、あまり意味はないかもしれません。マイルが一定量貯まっていれば、その時点で不正交換されてしまうかもしれないからです。

そもそも、マイルの不正交換が心配なのであれば、不正交換があった時点で運営者に申告して補填してもらうことが筋でしょう。ということで、パスワードの定期的変更を推奨するわけではありません。

アカウントロックを試してみた

既に色々なところで書かれているように、AMCサイトにはアカウントロックの仕組みが実装されていますが、何回パスワードを間違えた段階でロックされるかは書かれていません。そこで、実験で試してみました。
自分のID（お客様番号）を固定して、パスワードの方を変えながら試していくと、10回パスワードを間違えた後に以下の画面が表示されました。

この画面は固定のURLのようです。

アカウントがロックされても利用者にはメール通知されないようです。これは問題だと感じます。第三者から攻撃されていることを、利用者は知る術がないことになります。

次に、アカウントロックの解除はどうすればよいでしょうか。具体的な方法は書いてありませんが、上記の画面には、意味ありげに「パスワードを変更される場合はこちらへどうぞ。」と書かれていますので、こちらに従ってパスワードリセットしたところ、アカウントロックも解除されました。これ自体は妥当な仕様でしょう。正当な利用者がアカウントをロックさせてしまうのは、パスワードが分からなくなってしまったからという理由が多そうで、その場合はパスワードリセットすることで、ロックも解除されるという仕様のようです。
なお、パスワードリセットのためには、登録済みメールアドレスでメールが受け取れることと、会員番号、電話番号、生年月日が必要ですので、試してみる方は上記を確認してから…というより、アカウントロックを試す場合は、先にパスワードリセットができることを確認してからの方が無難でしょう。

認証連携を積極活用するという裏技の検討

前にも書きましたが、AMCサイトはGoogle等と認証連携していることを崎村さんから教えていただきました。

@ockeghemそもそもANAは認証連携しているので、Webパスワードをオフにする昨日を提供して欲しい。また、認証連携されてないアカウントについては、毎回登録したメールにワンタイムリンクを送って、それでログインさせるとかすることを考えて良いと思う。
— 崎村夏彦 (=nat) (@_nat) 2014, 3月 11

「Webパスワードをオフにする機能」は現時点ではないわけですが、facebookの私のウォールでの会話（非公開）で @keikumaさんから以下の指摘をいただきました。非公開の会話ですので、keikumaさんの許可を得て以下に引用します。

これ、ANAに電話したんですが、同一アカウントに対する試行回数の制限は入っているのだそうです。認証連携があるので、試行回数制限でパスワードをロックしたまま、連携認証ができないかなぁと思ったのですが、今、ちょうど出張の準備が忙しくて、ロックされて面倒な事になると困るので、試せていません。

利用者がわざとアカウントロックした状態で、Google等の認証連携でログインできれば、認証連携のみでの運用ができ、2段階認証等も活用できるというアイデアです。このアイデアについても、先にアカウントロックを試したついでに確認してみました。その結果、@keikumaさんの予想（希望）通り、

パスワード間違いでアカウントロックされた状態でも、認証連携ではログインできる

ことを確認しました。
ただし、おそらくサイト運営者の意図した使い方ではないと思われるので、以下に書くような副作用も予想されます。

アカウントロックされた状態で認証連携でログインできることは、バグとして将来変更になる可能性がある
アカウントロックは、利用者が解除しなくても、一定期間経つと自動的に解除される可能性がある
あまりに長期間アカウントロック状態が続くと、アカウントが凍結される可能性がある
…

ということで、「こうするとよい」という意味ではなく、あくまで調査結果の報告という形でみなさまの参考情報として紹介します。
【追記】公開直後に気づきましたが、意図的にアカウントロックしておいて、使う時はパスワードリセットして使う（認証連携が使えればそちらを使う）という運用はありそうです…が、パスワードリセットしてサイトを使った後は再度アカウントをロックしなければならず、「怪しい行為」として疑われるかもしれません。疑われないにしても、自動的にアカウントロックが解除される可能性はあり、その場合は、この運用は難しいといえます。

まとめ

AMCサイトのログインの仕様について調査した内容を以下にまとめます。

AMCサイトのアクセス履歴は個人情報開示請求にて一定の内容が開示される
AMCサイトはパスワード10回間違いでアカウントロックになる
アカウントロックのメール通知は来ない
アカウントロックはパスワードリセットによりロック解除される
アカウントロックされた状態でも認証連携ではログインできる
意図的にアカウントロックを活用した裏技があるが、推奨するわけではない
特定の利用者を狙ったパスワード攻撃が成功する確率は 0.1% であり、この確率を減らす方法は（裏技は別として）利用者にはない
不正ログインから時間をおいてマイルを窃取する攻撃に対してはパスワードの定期的変更が一定の効果があるが、もっと良い方法はマイルが貯まったら直ちに交換すること

ANAに対する要望は以下の通りです。

不正ログインの全容（被害者の数など）を早く公開して欲しい
不正ログインされた利用者には個別にその旨を連絡するか、不正ログインの有無を確認する機能を実装して欲しい
ログイン通知機能やログイン履歴閲覧機能を実装して欲しい
アカウントロックのメール通知を実装して欲しい
パスワードの仕様をすぐに変更できない場合は、パスワード認証の停止などの代替策を早期に実装して欲しい
パスワードの仕様を安全なものに変更して欲しい

ANAのサイトは、心配だから使わないということは難しいわけで、一利用者として早期の改善を希望致します。

↧

とあるECサイトのアクセス制御不備

March 27, 2014, 5:33 pm

≫ Next: ANAの個人情報開示請求により1ヶ月間のログイン履歴が確認できた

≪ Previous: ANAマイレージクラブのログインを少しでも安全にする運用を考えてみたが見つからない

商売柄、脆弱性や侵入事件のニュースがあると背景を調べることが多いのですが、このエントリは、侵入されたサイトを見に行って発見した脆弱性のお話です。
とあるECサイトが外部から侵入されたというニュースを見て、再開後のECサイトを見に行きました。普通に会員登録してログインしてみると、セッションIDの他に気になるクッキーが発行されていました（クッキーの名前と値は変えてあります）。

Set-Cookie: login=123456; path=/
Set-Cookie: loginflg=1; path=/

直感的に、login=123456は内部的なユーザID(ユーザ番号)、loginflg=1はログイン済みであることを示すフラグのように思えました。しかし、まさかね。今時それはありえないアルよ。
そこで検証のために、先ほどとは別のユーザを登録してログインしてみました。すると、以下のクッキーが発行されるではありませんか。

Set-Cookie: login=123457; path=/
Set-Cookie: loginflg=1; path=/

なんということでしょう。loginというクッキーが、1つインクリメントされているではありませんか。この段階で、loginの示す値が内部的なユーザID（ユーザ番号）であることは確実のように思えます。
外部に晒す必要のない会員番号を公開している時点で、よろしくない状況ではあるのですが、まだこの段階では致命的な脆弱性であるとまでは言えません。たまに、意味ありげなクッキーを吐いていても実際には使っていなかったり、表示のためだけに使っている場合もあるからです。

そこで、ブラウザのすべてのクッキーを削除した後上記のクッキー(123456等)のみを再セットして、会員情報を表示するページを閲覧してみました。すると、私の個人情報が表示されるではありませんか。次に、loginを123457に変更して個人情報ページを閲覧すると、2番目に登録した方の個人情報が閲覧できました。うーん、これで確定のようですね。クッキーloginの数字を変えるだけで任意のユーザになりすましができてしまいます。しかも、この数字は連番ですので、推測が容易です。

私は拙著「体系的に学ぶ安全なWebアプリケーションの作り方　脆弱性が生まれる原理と対策の実践

」にて、自動ログインの危険な実装例として以下の説明を書きました。

体系的に学ぶ安全なWebアプリケーションの作り方　脆弱性が生まれる原理と対策の実践

P330より引用

引用した箇所は自動ログインとしての説明であり、上記はログイン結果の保持という違いはありますが、「かなり極端な例」として紹介した実装を21世紀の今日、ECサイトのログインで見かけたというのはいささか驚きでした。

では、どうすればよいかですが、読者の皆様には今さら説明する必要もないでしょうが、セッション変数にログインユーザを保持すれば問題ありません。クッキーとは異なり、セッション変数は第三者からも利用者からも変更はできないからです。

ということで、ここから得られる教訓は下記の通りです。

認証後にログインユーザ名を保持するにはクッキー等ではなくセッション変数を使おう
侵入被害にあった後サイトを再開する前に、セキュリティの専門家にチェックしてもらおう

なお、この脆弱性はIPAに届け出を行い、既に修正されていることを確認済みです（取扱い番号 IPA#19289197）。届け出の際の脆弱性は「セッション管理の不備」としていましたが、上記の実装だと「アクセス制御の不備」の方が妥当な気がします。容易に推定できる番号だけで認証状態になってしまうからです。

↧

ANAの個人情報開示請求により1ヶ月間のログイン履歴が確認できた

March 30, 2014, 5:44 pm

≫ Next: 2014年エイプリルフール跡地

≪ Previous: とあるECサイトのアクセス制御不備

先日のエントリ「ANAマイレージクラブのログインを少しでも安全にする運用を考えてみたが見つからない」で紹介したように、ANAの個人情報開示手続きにてAMCホームページへのアクセス履歴が開示されるということなので申し込んでおりましたが、昨日封書にて到着しましたので皆様の参考のために公開します。
ますば、送付案内です。

続いて、アクセス履歴。

これを見て、以下の疑問が生じました。

アクセス履歴の項目

IPアドレスについても開示されると思っていましたが、「※IPアドレスにつきましては、社内規定に則り開示をすることは出来かねます。」とありますが、上記の情報だけだと、自分のアクセスなのか、第三者によるものなのかの判別が難しいと考えます。
Yahoo!のログイン履歴にはIPアドレスが表示されます（参考）し、Googleの最近のアクティビティには市区町村までの地域が表示されます（参考）。
表示されるIPアドレスは原則として自分のものであり、仮に自分以外のIPアドレスがあれば、それは不正アクセスであることから、IPアドレスを開示しない合理的理由が分かりません。
ただし、IPアドレスも加えて、上記にある項目は私が例示として示した項目ですので、さまざまな項目を明記すれば、さらなる情報が開示される可能性はあります。

開示期間について

「過去一ヶ月分のアクセス履歴」とあるものの、いつからいつまでの履歴であるのかが分かりません。上記には、3/11～3/15の履歴が表示されていますが、3月16日移行も私はログインをしています。そこで、開示請求書を見直してみると、「ご請求日」の欄が3月15日となっていました。
これで分かりました。「ご請求日」を起点として、過去1ヶ月間のログイン履歴を表示しているということでしょう。
ということは、2月15日から3月10日までは誰もログインしていないということが確認できたことになります。それより前のことは分かりませんが、この期間中には不正ログインは受けていないことが確認できました。

ということで、あまり期待していなかったANAの個人情報開示請求ですが、はなはだ不満は残るものの、当初の目的としていた情報は一応得られたことになります。
なお、AMCサービスセンターに電話で確認したところでは、通常個人情報請求には500円が必要ですが、今回の不正ログインに関しては、例外として、4月末までは無料で対応しているとのことです。
上記の納得のいかない点については、開示請求書の書き方を変えて、昨日再度請求していますので、届き次第報告いたします。

↧

2014年エイプリルフール跡地

March 31, 2014, 7:58 pm

≫ Next: PHP考古学: PHP4.2.xではmb_eregは複数行モードで動作していた

≪ Previous: ANAの個人情報開示請求により1ヶ月間のログイン履歴が確認できた

2014年のエイプリルフールは終了致しました。

↧

PHP考古学: PHP4.2.xではmb_eregは複数行モードで動作していた

April 10, 2014, 5:22 pm

≫ Next: 三井住友VISAカードのフィッシングサイト

≪ Previous: 2014年エイプリルフール跡地

大垣さんのブログエントリに刺激を得て、古いmb_eregの挙動を調査しました。その結果、 PHP4.2.x上のmb_eregは複数行モードで動作していたことが分かりましたので報告します。

前回までのまとめ

「正規表現によるバリデーションでは ^ と $ ではなく \A と \z を使おう」にて、Ruby、Perl、PHPの正規表現では、^ と $ は、「行」の先頭と末尾を示していて、文字列の先頭と末尾を指定するには、\A と \z を使うべきであることを説明しました。そして、Rubyの場合はデフォルトが複数行モードであるので、^○○○$ という形で全体一致検索を指定したつもりでも、簡単にチェックをすり抜け重大な脆弱性に直結します。一方、PerlやPHPの正規表現はデフォルトでは単一行モードであるので、文字列末尾の改行をチェックできないという問題はあるものの、重大な脆弱性に直結するケースはあまりないと考えられることを指摘しました。

古いバージョンのmb_eregはデフォルトが複数行モードだった?

ところが昨日大垣さんの書かれたエントリ「なぜRubyと違い、PHPの正規表現で^$の利用は致命的な問題ではないのか？」には以下のように書かれていました。

実は古いmbregex（忘れるくらい古い4.xの時代の話です）はRubyと全く同じ動作をしていました。この動作はセキュリティ上の問題であるとして、現在の^は\A（データの先頭）と同じ、$は\Z（改行を含む終端にマッチ）に変更されました。

私がPHPに親しむようになったのはPHP5.2以降のことなので、「忘れるくらい古い4.xの時代の話」は知らないのですが、どうしても知りたいと思い調べてみました。
といっても、私の手元にはphpallにて PHP4.4.9とPHP5.0.0以降のバイナリはすべてありますが、それより古いPHPはありません。そこで、この機会に、すべてのPHP4もビルドすることを決意いたしました。phpall完全版とでも言いましょうかw

phall完全版

phpall完全版と言っても、ここからPHPの古いソースをダウンロードしてビルドするだけです。@hnwさんが指摘するように、PHP5の古いバージョンをビルドするのはコツがいります。

実は、PHP 5.0.0-5.0.3はgcc4 でコンパイルできないという問題点があります。gcc4でコンパイルするためには、http://bugs.php.net/bug.php?id=32150の通り、Zend/zend_modules.h を修正する必要があります。
こんなときgcc3でコンパイルするのも一つの手ですが、MacOSX10.4や10.5ではgcc3が提供されていません。今後このような環境が増えてくるのではないでしょうか。
また、PHP 5.2.0-5.2.3は./configureの途中で下記のように怒られてしまいます。
configure: error: installation or configuration problem: C++ compiler cannot create executables.
原因は追いかけていませんが、autoconfでconfigureスクリプトを作り直すと問題なくバイナリのビルドまで通ります。
phpallコマンドでPHPの全バージョンの挙動を試すより引用

後者のPHP 5.2.0-5.2.3の問題については、独自の調査により新たな知見を得ております。お恥ずかしいことに実験ノートをきちんとつけていなかったので、いつ・どのように発見したかを示す証拠はないのですが、以下のようにg++を導入することにより、エラーなくビルドできるようになります（Ubuntu 12.04LTSにて確認）。

$ sudo apt-get install g++

この方法で、私はこれまでに~~200回~~2回ほどPHP5.2.0-5.2.3のビルドに成功しています。まぁ、C++コンパイラが動かないよというメッセージに素直に従っただけということですがw
PHP4については、gccのバージョンが上がりチェックが厳しくなったためにエラーになる箇所が複数ありました。具体的には、static変数をextern宣言している等です。これらは、ソースの方を修正しました。
先のアーカイブにはPHP3.0.18のソースもあったので、ついでにこれもビルドしました。ということで、PHP3.0.18、PHP4全て、PHP5全てを含む「phpall完全版」の誕生です。

試してみる

以下のソースで試してみました。

<?php
  $a = "abc\n123\ndef";
  var_dump(mb_ereg('^[0-9]+$', $a));

実行結果は下記となります。mb_eregが実装されたのはPHP 4.2.0以降なので、該当バージョンのみ示します。

$ phpall mbereg.php
php-4.2.0: int(1)
php-4.2.1: int(1)
php-4.2.2: int(1)
php-4.2.3: int(1)
php-4.3.0: bool(false)
php-4.3.1: bool(false)
php-4.3.2: bool(false)
...
php-4.3.11: bool(false)
php-4.4.0: bool(false)
...
php-4.4.9: bool(false)
php-5.0.0: bool(false)
...
php-5.5.11: bool(false)
php-5.6.0beta1: bool(false)

なんということでしょう! PHP 4.2.xでは、大垣さんの指摘のように、mb_eregが複数行モードで動いていたようです。
PHP 4.3.0でこの仕様は単一行モードに変更されていますが、その理由は、大垣さんの言われる「セキュリティ上の問題」というよりは、eregと仕様を合わせたということではないでしょうか。mb_eregはeregからの移行を想定していると思われますし、mbstring.func_overload = 4 とすると、ereg関数の呼び出しがmb_eregにオーバーロードされるわけで、eregとの互換性は重要です。

この問題による影響と対策

PHP 4.2.xを使っている環境では、mb_eregの全体一致検索に ^ と $ を使っていると、前述のような脆弱性となる可能性があります。^ と $ ではなく、\A と \z を使って全体一致検索を指定するようにしてください…というより、PHP 4.2はとっくの昔のサポートが終了しているので、最新のPHPに移行するようにしましょう。
…と、ここで気になってPHP 4.2がリリースされた時期を調べてみたのですが、

PHP4.2.0 2002年4月22日
Windows XP 2001年10月25日（OEM）

いまとなっては化石のようなPHP4.2ですが、リリースされた時期はWindows XPよりも *新しい* のですね。いかに、Windows XPが長くサポートされてきたかをあらためて感じました。

まとめ

大垣さんの指摘に刺激を受けて、古いmb_eregの挙動を調査しました。その結果、PHP4.2.xのmb_eregは複数行モードで動作することを確認しました。
この結果に関係なく、全体一致検索には、\A と \z を用いるようにしましょう。また、PHP4.xを使っているサイト（まだ結構あります）は早急にPHPの最新版に移行しましょう。

↧

三井住友VISAカードのフィッシングサイト

April 29, 2014, 5:34 pm

≫ Next: JSON SQL Injection、PHPならJSONなしでもできるよ

≪ Previous: PHP考古学: PHP4.2.xではmb_eregは複数行モードで動作していた

昨日当方に来た以下のメール。メール自体はやる気のないフィッシングという感じでしたので、中身を見てやろうと検証環境を起動しました。閲覧しただけでマルウェアに感染するかもしれませんので…

で表示されたのは、1回リダイレクトして、以下のサイト。デザインが本物そっくり（同じ?）なのは当然として、アドレスバーに注目ください。

ちなみに、本物はこれです。

URLを見ると、

本物: https://www.smbc-card.com/vp/create/create_user.do
偽物: http://www.smbc-card.com.xxxxxx.com/vp/create/create_user.html

ということで、違いは下記の通りです。

本物はEV SSLだが、偽物はHTTP（HTTPSですらない）
ドメイン名は、偽物は先頭は同じだが、後ろに xxxxxx.com がついている
拡張子の違い（.do と .html）

筋論から言うと、ドメイン名の見分け方を学習してもらうべきところではありますが、一般の方に理解いただくのは中々難しそうです。ということで、

そもそもメールに書いてあるURLは閲覧しない
銀行やクレジットカードのサイトは EV SSL の企業名・組織名を確認する

というあたりが対策としてよいのではないでしょうか。

ところで、twitter上では、メールの電子署名で確認できないかというコメントを頂きました。これは筋としてはよいと思うのですが…

@ockeghemメールにS/MIME署名はなかったですよね、さすがに。「ログオンを求めるメールに電子署名がなかったら疑え」と触れて回っています。「どれどれどんなフィッシングだ」と見物してDBD攻撃もあり得るので「アクセスするな」とも。
— AKEMA, Tamio (@involving_layer) 2014, 4月 29

たまたまSMBC VISAからの本物（と思われる）メールが来ていますが、本物にもS/MIME署名はありませんでした。同じSMBCでも、銀行の方はS/MIME署名がされています。

ということで、皆様もお気をつけ下さい。

PS.
拡張子の .do が時節柄気になるところではありますね。

↧

JSON SQL Injection、PHPならJSONなしでもできるよ

July 6, 2014, 7:47 pm

≫ Next: 模倣サイトとして各所から注意喚起が出されているサイトについて徳丸さんに聞いてみた

≪ Previous: 三井住友VISAカードのフィッシングサイト

DeNAの奥さんと、はるぷさんがJSON SQL Injectionについて公表されています。

上記の記事は、主にPerlスクリプトがJSONデータを受け取るシナリオで説明されています。もちろん、この組み合わせに限定したはなしではないわけで、それではPHPではどうだろうと思い調べてみました。

JSON SQL Injectionとは

以下、はるぷさんの「不正なJSONデータによる…」にしたがってJSON SQL Injectionについて説明します。
Perl向けのSQLジェネレータの一つであるSQL::Makerにおいて、以下のスクリプトを想定します。

my ($sql, @bind) = $builder->select(
    "table_name", ["*"],
    {"name"=>$user_name});

ここで、$user_nameとして 'yamada'を与えると、以下のSQL文が生成されます。

SQL文： SELECT * FROM `table_name` WHERE (`name` = ?)
変数： yamada

$user_nameが外部からJSON形式で渡ってくる場合（APIなどのように）を想定すると、ここの部分のJSONデータが {"key":"value"} となっていると、SQL::Makerは、keyをWHERE句の比較演算子とみなし、以下のSQL文を生成します。

SQL文： SELECT * FROM `table_name` WHERE (`name` KEY ?)
変数： value

ここで、keyの部分は任意の文字列を書くことができ、それが *そのまま* SQL文に流し込まれます。この仕様を悪用すると、SQL文を本来意図しない形に改変できてしまいます。これがJSON SQL Injectionです。

PHPではどうか?

それでは、我らがPHPではどうでしょうか。
@memememomoさんがSQL::MakerをPHPに移植されておられまして（参照）、これを使うと、JSON SQL Injectionが再現できます。

$builder = new SQL_Maker(array('driver' => 'mysql'));
list($sql, $binds) = $builder->select('table_name', array('*'), array('name' => $user_name));

ここで、$user_nameが'yamada'の場合、以下のようにPerl版とまったく同じ結果になります。

SQL文： SELECT * FROM `table_name` WHERE (`name` = ?)
変数： yamada

次に、$user_name = array('key' => 'value'); とすると、生成されるSQL文は下記のとおりです。

SELECT * FROM `table_name` WHERE (`name` key ?)

すなわち、JSONのキーとして指定した値が *そのまま* SQL文に注入されます。JSON SQL InjectionがPHPでも再現出来ました。
ここでは、PHP版のSQL::Makerを題材として使用させていただきましたが、後述するように、他にも同様の挙動をしめすSQLジェネレータを確認しています。

PHPの場合はJSONは必要ない

しかし、上記のスクリプトにおいて、SQLインジェクションを起こすためには、入力値がJSON形式である必要はありません。$user_nameが連想配列（文字列をキーとした配列）であれば良いわけですので、PHPの場合であれば、以下のようにHTMLフォームからでも指定は可能です。
先のスクリプトで、$user_name = $_GET['user_name'] としていた場合、以下のクエリ文字列でスクリプトを呼び出すと…

http://example.jp/query.php?user_name[key]=value

生成されるSQL文は下記となります。

SELECT * FROM `table_name` WHERE (`name` key ?)

このため、keyの箇所に任意のSQL断片を指定することにより、SQLインジェクション攻撃が可能となることを確認いたしました。一例を挙げます。

http://example.jp/query.php?user_name[>''+or+1%3d1)%23]=value

生成されるSQL文は下記となります。

SELECT * FROM `table_name` WHERE (`name` >'' or 1=1)# ?)

PHPの場合、JSONを使わなくてもJSON SQL Injectionができてしまう(*1）ことになり、該当するSQLジェネレータを使っている場合、広範囲のアプリケーションが脆弱になる可能性があります。

*1: この場合、JSON SQL Injectionという呼称は適切でないと考えられます。

対策

PHP版のSQL::Makerについては、対策版が公開されています。本家Perl版と同様に、strictモードが導入されました。memememomoさん、対応ありがとうございます。
これは以下のように使用します。

$builder = new SQL_Maker(array('driver' => 'mysql', 'strict' => 1));
$user_name = array('key' => 'value');
list($sql, $binds) = $builder->select('table_name', array('*'), array('name' => $user_name));

この際の実行結果は下記のように例外が発生します。

PHP Fatal error:  Uncaught exception 'Exception' with message 'cannot pass in a ref as argument in strict mode' in /home/ockeghem/php-SQL-Maker-master/lib/SQL/Maker/Condition.php:52

strictモードが使えない場合は、条件設定に与える引数の型チェックを行う方法があります。

  $user_name = $_GET['user_name'];
  if (! is_string($user_name)) {
    # エラー処理
    exit;
  }

他のSQLジェネレータの状況

SQL::AbstractのPHPへの移植版についても同種の問題があることが分かっています。作者に連絡をとったところ、古く個人的なプロジェクトであり、かつ開発者自身の使い方では strict モードに移行すると過去のスクリプトが動かなくなると言うことで、strictモードの対応は今のところないということでした。元々、ライブラリ側の脆弱性とまでは言えない問題ですので、これは仕方ないと考えます。呼び出し側での対応をするのがよいでしょう。

FluentPDOの場合、任意のSQL断片を注入することはできないようですが、パラメータとして配列を与えることによって、等号ではなく IN 演算子を使うものに変更はできるようです。以下のスクリプトで説明します。

$pdo = new PDO("mysql:dbname=...
$fpdo = new FluentPDO($pdo);  // FluentPDOオブジェクトの生成
$query = $fpdo->from('user')->where('id', $_GET['id']);

まず通常のケースとして、クエリ文字列を ?id=yamada とすると、生成されるSQL文は以下となります。yamadaはバインドする値として指定されます。

SELECT user.* FROM user WHERE id = ?

次に、?id[]=yamada&id[]=sato とすると、生成されるSQL文は以下の通りです。

SELECT user.* FROM user WHERE id IN ('yamada', 'sato')

これにより、特定IDの存在の有無を確認するようなケースでは、一度に多数の候補を試すことができることから、少ないリクエストでの探索が可能になります。

まとめ

SQLジェネレータが生成するSQL文について、PHPを使う場合は、JSONを用いていない場合でも、JSON SQL Injectionと類似の問題が発生する可能性があることを紹介しました。ライブラリの特性・仕様を理解した上で、正しい使い方により、脆弱性の混入を防ぎましょう。

また、私1人の調査には限界がありますので、類似の問題を見つけた方は教えて頂けると幸いです。

↧

模倣サイトとして各所から注意喚起が出されているサイトについて徳丸さんに聞いてみた

August 24, 2014, 5:24 pm

≫ Next: 安全なウェブサイトの作り方セミナーin 2014 にて講演します

≪ Previous: JSON SQL Injection、PHPならJSONなしでもできるよ

高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、今話題の『模倣サイトとして各所から注意喚起が出されているサイト』についてお話を伺います。徳丸さん、よろしくお願いします。

徳丸: 徳丸です。よろしくお願いします。

高橋: まず問題のサイトですが、NTT東日本、NTTドコモ、日本銀行、外務省、総務省など様々なサイトを模倣したサイトが見つかっていて、各社、各省庁が注意喚起をしているというものです。詳しくは、北河拓士さんのまとめをごらんください。

徳丸: これ、総務省のサイトだと、http://www.soumu.go.jp.○○○.org/ のように、ドメイン名の先頭が本物と同じだし、中身も同一だしで、見た人がびっくりしたのでしょうね。

高橋: はい。これはパクリのサイトではないのですか?

徳丸: パクリではありません。PROXYサーバーの一種で、元のサイトのアクセスして、その内容をそのまま表示しているだけです。パクリではなく中継ですね。詳しくは、piyokangoさんがサイト運営者に取材した日記を参照ください。

高橋: なんのためにあるのでしょうか?

徳丸: おそらく悪意などはなく、利用者の便宜のためであると推測されます。

高橋: 便宜とはどのような?

徳丸: piyokangoさんの取材によると、運営者は「ロシアのインターネット検閲回避のために開発したプロキシサービスである」としているようですね。

高橋: いま出ている注意喚起は、閲覧によるウイルス感染とか、フィッシング的に個人情報を盗まれるリスクを説明しているようですが…

徳丸: はい。しかし、検閲回避のサービスであるという説明は信じられそうですし、今の時点で大騒ぎするようなものではないですよ。

高橋: なぜでしょうか? 懸念が少しでもあれば、早めに警告した方がよいと思いますが。

徳丸: それがそうでもないんです。まず、このサイトにアクセスする人が一人もいないとしたらどうでしょうか? ウイルス感染や個人情報漏洩は起こると思いますか?

高橋: それはないですね。しかし、今後うっかり閲覧してしまう人がいるから、そういう事故も起きるのですよね。

徳丸: そこです。一般利用者がどのような経路でこのサイトにアクセスするかを考えてみましよう。

高橋: お願いします。

徳丸: このサイトに限らず、一般の利用者が未知の（悪意のある）サイトを閲覧するには、以下の三通りの経路があります。

メールやtwitterなどから未知のサイトに誘導する
正規サイトと一文字違いなど紛らわしいURLで打ち間違いからアクセスされる
検索サイトから遷移する

高橋: 順にご説明いただけますか?

徳丸: はい。まず1のメールやtwitterからの誘導ですが、フィッシング等の罠サイトに誘導する定番の手法です。

高橋: 今はなくても、今後そういう誘導が現れるのではないですか?

徳丸: 絶対にないとは言い切れませんが、もしそうしたいのであれば今の段階からサイトを公開して、各サイトから注意喚起など対策されてしまうのは、攻撃側のメリットがまったくないですね。

高橋: それは、単に攻撃者がお馬鹿さんということで、絶対にないとは言い切れないのでは?

徳丸: はい。しかし、このサイトに限らず本物そっくりのフィッシングサイトは絶えず出現しているわけで、その都度サイトをつぶしたり、ブラウザ側のフィッシング対策機能などで対処しているわけです。万一フィッシング等に使われ始めてから対処すればよいでしょう。

高橋: 既に怪しいサイトとして出現しているのですから、今のうちから手を打った方がよいのでは?

徳丸: いやいや、それはキリがないですよ。仮に私が悪い人だったら、〇〇.org が怪しいと見せかけておいて、本番の罠サイトは〇〇.jp に置きますよ。フィッシングに引っかかるような方は、その程度のひねり方でもひっかかてしまいますからね。

高橋: 徳丸さん……悪い人だったのですね。

徳丸: 仮定の話ですっ。

高橋: ちょっとからかっただけですよw でも、早めに注意喚起することが悪いとはまでは思えませんね。

徳丸: 後で、そうするデメリットが出てきますので、少しお待ちください。

高橋: 分かりました。2番はどうですか?

徳丸: これはタイポスクワッティングと言われる手法で、入力間違いしやすいスペルのドメイン名を取得して、罠に誘導するというものですが、ドメイン名の先頭が一致しているとはいえ、入力間違いで閲覧してしまうとは思えませんね。

高橋: 私もそう思います。それでは、3 をお願いします。

徳丸: メールなどで誘導しないと仮定すると、もっともありそうな流入経路は検索エンジンですよね。

高橋: はい、そう思います。Google検索とかでたどり着くサイトが多いですよね。

徳丸: そうなんです。そうすると、今回の件で該当サイトが話題になり、ブログサイトからリンクされる例が増えると、どんどん検索順位が上がってしまう可能性があるのですよね。

高橋: すると、どうなりますか?

徳丸: たまたま、とある検索キーワードでヒットしたサイトが、問題のサイトである確率が高まるかもしれません。

高橋: そうなんですか? 検索エンジンに登録されないようにrobots.txtが設置してあったりしないのですか?

徳丸: 実はしてあります。すべてのユーザーエージェントに対して「Disallow: /」の指定がされていますが、これはこのサイトの悪意のなさの表れと言えます。しかし、仮に悪意があるのであれば、将来この設定を変えるかもしれませんよ

高橋: どうなりますか?

徳丸: 突然検索サイトの上位に躍り出て、フィッシングなどの悪用に使われるかもしれません。

高橋: やっぱり悪いサイトじゃないですか!

徳丸: いやいや、仮定の話ですよ。言いたいことは、このサイトの悪意を仮定するのであれば、取り上げずにそっとしておいたほうがよいということです。

高橋: 先ほど言っておられた「デメリット」とはこのことですね。

徳丸: そうです。対策するなら、別の形の方がいいです。

高橋: 対策にはどのようなものがありますか?

徳丸: まずはフィッシング一般に向けた対策がいいでしょう。自社のドメイン名を広く告知する、キャンペーン毎にドメイン名を取得することはできるだけ避けて、自社のドメイン名のサブドメインにサイトを集める、予算に余裕があればEV SSLにする、などです。

高橋: そっとしつつ、サイトの内容をぱくられない方法はありませんか?

徳丸: あります。PROXYサイトからの通信を遮断すれば、ぱくられることはありません。詳しくはこちらのサイトの説明をお読みください。

高橋: 分かりました。それでは、最後にまとめていただけますか?

徳丸: はい。問題のサイトはロシアの検閲を回避するために設置されたPROXYサービスであり、現時点で悪意を想定する理由は見当たりません。将来悪意をもつことを想定したとしても、現時点で注意喚起することは賢明とは言えず、そうするデメリットもある、ということですね。

高橋: ありがとうございました。これで『模倣サイトとして各所から注意喚起が出されているサイト』に関する徳丸さんへのインタビューは終わりです。みなさま、ごきげんよう。

※注: このエントリはインタビュー仕立ての記事であり、文責はすべて徳丸にあります。高橋は架空の人物です。

↧

安全なウェブサイトの作り方セミナーin 2014 にて講演します

August 31, 2014, 8:39 pm

≫ Next: Android版KindleにおけるSSLサーバ証明書の検証不備の脆弱性CVE-2014-3908

≪ Previous: 模倣サイトとして各所から注意喚起が出されているサイトについて徳丸さんに聞いてみた

ディーアイエスソリューション株式会社と株式会社ジェイピー・セキュア共催のセミナー「安全なウェブサイトの作り方セミナー　in 2014」で講演します。

日時：2014年9月5日（金）14：30～17：10　受付は14:00より
場所：ダイワボウ情報システム株式会社　東京支社１Ｆセミナールーム（東京都品川区）
費用：無料（申し込みはこちら）
講演タイトル：安全なPHPアプリケーションの作り方2014

企業セミナーとしては珍しいと思いますが、安全なアプリケーションの開発方法を説明して欲しいという主催者からのご依頼でしたので、PHPカンファレンス関西2014の講演(45分間)を90分に引き伸ばしたロングバージョンをお話いたします。普段の徳丸の講演よりも入門的な内容で「最低これだけはやってね」というテーマです。
アジェンダは以下の通りです。

アプリケーションの脆弱性を対策しよう

クロスサイト・リクエストフォージェリ(CSRF)
クロスサイト・スクリプティング(XSS)
SQLインジェクション

プラットフォームの脆弱性を対策しよう

PHPの脆弱性対策
SNSやphpMyAdminの脆弱性対策

パスワードを保護しよう

パスワードリスト攻撃の傾向と対策
ソルトつきHASHでのパスワード保存

「アプリケーションの脆弱性」の方では、短文投稿サイトに対する「なりすまし投稿」をCSRF、XSS、SQLインジェクションの三種で実演します。
「プラットフォームの脆弱性」とパスワード保護の説明では、PHPの脆弱性とphpMyAdmin（予定）の脆弱性およびパスワードリスト攻撃を用いて、架空のECサイトに対するクラッキングをやってみます。
おっと、もちろん対策方法も…←「も」ではなくてこちらがメインですがw

それでは、よろしくお願いいたします。

※セミナー終了後の抽選会にて、20名の方に拙著「体系的に学ぶ安全なWebアプリケーションの作り方」が贈呈されるそうです。

↧

Android版KindleにおけるSSLサーバ証明書の検証不備の脆弱性CVE-2014-3908

September 1, 2014, 5:48 pm

≫ Next: パスワード定期的変更の効能について徳丸さんに聞いてみた

≪ Previous: 安全なウェブサイトの作り方セミナーin 2014 にて講演します

本稿では、Android版KindleにおけるSSLサーバ証明書の検証不備の脆弱性CVE-2014-3908について、発見の経緯と脆弱性の詳細、起こり得る影響などについて報告します。

発見の経緯

奥一穂さんとfacebook上で会話していて、スマホアプリ等でSSLサーバ証明書の検証をする際に、コモンネームを検証していないアプリの可能性について示唆を受けました。その内容は、奥さんのブログ記事として以下にまとめられています。

Kazuho's Weblog: SSL/TLSライブラリの正しい使い方（もしくは、コモンネームの検証について）

詳しくは上記記事をお読みいただくとして、サーバ証明書の検証の要点としては以下となります。

証明書が信頼された認証局の発行したものであること
証明書の有効期限の範囲内であること
サーバ証明書のコモンネームが接続しようとしているサーバと一致していること

これらのうち、コモンネームの検証が漏れているアプリが結構あるのではないかという問題意識に至りました。私は奥さんとの会話の後、そのようなアプリがどの程度あるのか確認してみたくなりました。

しかし、一般にMITMモードを備えたPROXY（Burp Suite、Fiddler等）は、発行元が信頼されていないがコモンネームと有効期限は適切な証明書を発行して返します。下図は、Burp Suiteを用いてIPAのサイトに接続した際の証明書の内容です。発行者がPortSwigger CAとなっていますが、それ以外のコモンネーム(CN)と有効期限は適正です。

このため、Burp Suite等はこの実験の目的には適しません。
ネットでしばらく探してみましたが、適当なものが見当たらなかったため、簡易的なPROXYを自作して試すことにしました。

実験環境

実験の環境は、以前のブログ記事で使用した環境をほぼそのまま使い、Burp Suiteの代わりに自作PROXY（下図のMITM PROXY）を使いました。「被害者のAndroid端末」としては、改造していない（ルート化や証明書の追加をしていない）Nexus 7を用いました。

MITM PROXYには固定のサーバ証明書（正規のもの）が導入されていて、どのサーバーへの接続に対しても、端末との接続にはそのサーバ証明書を用います。このため、ブラウザでこのPROXY経由で接続すると、下記のようなエラーとなります。下図はIPAのサイトにSSL接続しようとした際にiPhone上のGoogle Chromeが表示しているエラーメッセージです。

実験の結果

この状態でAndroid版Kindleを使用すると、通常は通信エラーになります。下図は、サインインの際のエラー表示の様子です。

しかし、テストをしているうちに、Kindleパーソナル・ドキュメントサービスに関しては、上記MITM PROXYにて復号可能な状態でSSL通信をしていることがわかりました。PROXYをBurp Suiteに変更すると通信エラーになるため、証明書のチェックのうちコモンネームの検証がもれていると推測しました。
これはすなわち、この実験で求めていた成果が、意外な大物として釣り上げられたことになります。

下記は、Kindleパーソナル・ドキュメントに対するリクエストの例です。

GET /FionaCDEServiceEngine/FSDownloadContent?type=PDOC&key=FIHKZL674JJEWT…
is_archived_items: 1
currentTransportMethod: WIFI
software_rev: 1141637187
X-ADP-Request-Digest: K+yGNDcBY3j61RPAtEhhbFHEME+sH4Tn550gwjE88v6TE6EYRAu…
Range: bytes=0-
Accept-Language: ja-JP
X-ADP-Authentication-Token: {enc:JfYZXcdve5JIhRIk8Ec9AfFN/2doDyBtfpWsYeFA…
x-adp-alg: SHA256WithRSA:1.0
x-adp-token: {enc:JfYZXcdve5JIhRIk8Ec9AfFN/2doDyBtfpWsYeFAMiImkmQgm3PocVq…
x-adp-signature: IZjXKX5fo1LelIUc0FKNRiaiHt9tDI0b7ZRdXcu3j5ClUmnXvOYBUIi3…
User-Agent: Dalvik/1.6.0 (Linux; U; Android 4.4.2; Nexus 7 Build/KOT49H)
Host: cde-ta-g7g.amazon.co.jp
Connection: Keep-Alive
Accept-Encoding: gzip

以下はレスポンスの例です。生のPDFが返されていることがわかります。

HTTP/1.1 206 Partial Content
Server: nginx
Date: Sat, 01 Feb 2014 09:48:27 GMT
Content-Type: application/pdf
Content-Length: 27318
Connection: keep-alive
x-adp-host: HMKP292P91XQM
Accept-Ranges: bytes
content-disposition: attachment; filename=odawara-tokumaru.pdf; filename*=UTF-8''%6f%64%61%77%61%72%61%2d%74%6f%6b%75%6d%61%72%75.pdf
Hint-Sidecar-Download: 0
Content-Range: bytes 0-27317/27318

%PDF-1.5
%粤ﾏﾓ
1 0 obj
<</Type/Metadata/Subtype/XML/Length 2885>>stream
<?xpacket begin="" id="W5M0MpCehiHzreSzNTczkc9d"?>
<x:xmpmeta xmlns:x="adobe:ns:meta/">
<rdf:RDF xmlns:rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns#">
<rdf:Description rdf:about="" xmlns:dc="http://purl.org/dc/elements/1.1/"><dc:format>application/pdf</dc:format><dc:title><rdf:Alt><rdf:li>odawara-tokumaru</rdf:li></rdf:Alt></dc:title><dc:creator><rdf:Seq><rdf:li>Microsoft アカウント</rdf:li></rdf:Seq></dc:creator></rdf:Description>
<rdf:Description rdf:about="" xmlns:pdf="http://ns.adobe.com/pdf/1.3/"><pdf:Producer>Microsoft® Word 2013</pdf:Producer></rdf:Description>
<rdf:Description rdf:about="" xmlns:xmp="http://ns.adobe.com/xap/1.0/"><xmp:CreateDate>2014-02-01T17:06:14+09:00</xmp:CreateDate><xmp:ModifyDate>2014-02-01T09:46:44Z</xmp:ModifyDate><xmp:CreatorTool>Microsoft® Word 2013</xmp:CreatorTool></rdf:Description>
</rdf:RDF></x:xmpmeta>【以下略】

なお、レスポンスからPDFデータを取り出したところ、元のPDFと目視レベルで一致していることを確認しました。バイナリでは一致していませんが、Kindleパーソナル・ドキュメントサービス側で加工が入ったと推測します。

この問題の影響

この脆弱性による影響を報告します。
まず、HTTPSリクエストには認証に関する情報が入っていますので、この情報からAmazonへのセッションがハイジャックされる可能性があります。実際にハイジャック可能かどうかまでは追いかけていません。
次に、レスポンスのPDFデータですが、Kindleパーソナル・ドキュメントサービスを利用して、Kindle端末(Android)に機密文書をダウンロードしようとして、それが盗聴されると情報漏洩となります。
しかしながら、例えば空港のフリーWi-Fiなど信頼出来ないネットワークを使って機密文書をKindle端末にダウンロードするというシナリオがどの程度あり得るかというと、絶対にないとは断言できないものの、それほどありそうなシチュエーションとは思えません。
このような状況を考慮して、IPAによる脆弱性深刻度は、「CVSS値 4.0、攻撃条件の複雑さ: 高」としたのだと推測します。私はこの深刻度評価を支持します。

対策

Android版Kindleをアップデート（本稿執筆時点の最新版は4.6.0）することにより脆弱性は解消されます。

アプリケーション開発者がこの問題を確認する方法

アプリケーション開発者が実機テストにてこの問題、すなわちアプリケーションがSSLサーバ証明書のコメンネームを検証しているかどうかを確認するためには、試験用サーバに本番とは別のSSLサーバ証明書（正規のものだがコモンネームの異なるもの）を導入した状態でテストを行い、端末側でエラーになることを確認するとよいでしょう。

まとめ

Android版KindleにおけるSSLサーバ証明書の検証不備の脆弱性CVE-2014-3908について報告しました。たまたまKindleの場合、脆弱性の影響はそれほど大きくないと考えますが、外出先等でよく使う機能に当該の問題があると、大きな影響となります。公衆無線LANを使う機会が多いという方は増えていると思いますが、公衆無線LANが偽AP（アクセスポイント）や事前共有鍵を用いた暗号解読（参照）による盗聴の危険性が常にあることを考えると、SSLによる暗号化が情報漏洩を防ぐ上では重要です。
皆様の開発されるアプリケーションにおかれましても、SSLサーバ証明書のコモンネームの検証ができているか確認を推奨いたします。

↧

パスワード定期的変更の効能について徳丸さんに聞いてみた

September 9, 2014, 8:54 pm

≫ Next: 気づけばプロ並みPHP 副読本：お助け電子BOOKへの寄稿の顛末

≪ Previous: Android版KindleにおけるSSLサーバ証明書の検証不備の脆弱性CVE-2014-3908

高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、今話題のパスワードの定期的変更について、本当のところ効果がないのか、その効能についてご説明いただきます。徳丸さん、よろしくお願いします。

徳丸: 徳丸です。いつもはパスワードの定期的変更にはあまり意味がないと主張していますが、今日はパスワードの定期的変更を擁護する立場なんですね。面白そうです。よろしくお願いします。

高橋: まず問題の整理についてです。IPAより9月3日に『「ID・パスワードのセキュリティ対策促進に関する広告等業務」係る企画競争』の仕様書(PDF)が公開されました。その仕様書中の行動喚起を促す対策事例の一つに「ID・パスワードは定期的に変更する」があったので、セキュリティクラスタが騒ぎ出し、その結果かどうかは分かりませんが、9月9日に同仕様書が改定され、パスワードの定期的変更は対策例から削除されました。一連の議論についてはこちらを御覧ください。

徳丸: 高橋さん、最初は、パスワードの定期的変更の『効能』を説明する人選に僕を選ばれたのはどうしてだろうと思っていたのですが、考えてみると、僕は適任かもしれないと思いました。

高橋: ようやく気づいていただけましたか!

徳丸: 遅まきながら（笑い）。僕は、パスワードの定期的変更については批判的な立場ですが、公平な批判をするためには、パスワードの定期的変更の効能についても客観的に把握しないといけませんからね。

高橋: 確かに。

徳丸: しかも、パスワードの定期的変更を主張している人達は、従来、そうすべき理由をはっきり説明してこなかったのです。

高橋: えっ、そうなんですか?

徳丸: はい。説明があったとしても、簡単に論破できるようなものが多かったです。なので、パスワードの定期的変更の効能をそもそも何だろうとずっと考えてきました。私の過去のエントリについてはこちらを参照ください。

高橋: 最初のエントリは6年半前ですか。

徳丸: そうですね。考えてきた結果、パスワードの定期的変更の「効能」は以下の3つだろうと考えます。

パスワード解読防止
パスワードの漏洩後の緩和策
個人に割り当てられていないIDのパスワード管理の簡便法

高橋: それでは、1からご説明いただけますか? 1はすごく効能がありそうですが…

徳丸: まず前提として、これはオンライン攻撃ではなく、オフライン攻撃を対象にしています。

高橋: オフライン攻撃とは何でしょうか?

徳丸: オフライン攻撃というのは、ネットワークを通じてではなく、攻撃者の手元で攻撃することです。パスワードの場合は、暗号化されたパスワードあるいはパスワードのハッシュ値が漏洩して、それから元のパスワードを求める行為を指します。

高橋: パスワードが漏れちゃった後の話なんですか…

徳丸: そうです。しかし、昔のUNIXでは、それが当たり前だったのですよ。

高橋: え!? それは本当ですか?

徳丸: はい。UNIX系OSには /etc/passwd というファイルがあって、OSにログインしている人であればだれでも参照はできますよね。このファイルにパスワードのハッシュ値が格納されていたのです。

高橋: そうなんですか! passwdというファイル名なのにパスワードが入ってないなと思っていたのですが、昔は入っていたのですね。

徳丸: はい。/etc/passwdはログインユーザであれば誰でも参照できるので、時間をかければ元のパスワードが解読できてしまいます。それで、定期的にパスワードを変えないと現実的にまずいということがありました。

高橋: パスワードを定期的に変更する合理的な理由があった、と。

徳丸: はい。しかし、そもそもパスワードのハッシュと言えども、誰でも見られる状態で保存するのはまずいということになり、今では /etc/shadow など、rootのみが参照できるファイルにパスワードのハッシュ値が入っています。

高橋: 過去にはパスワードを定期的に変更する理由があったが、今はそうではない、と。

徳丸: 1に関してはそうなりますね。

高橋: わかりました。それでは、2について説明をお願いします。

徳丸: 2は、パスワードが「知らないうちに」漏れているかもしれないので、定期的にパスワードを変更すれば、「パスワードが漏れてない状態」になる、というものです。例えば、パスワードを三ヶ月毎に変更すれば、最長でも被害は三ヶ月で食い止められる…ということですが、実はそうとも言い切れません。

高橋: なぜでしょうか?

徳丸: パスワードが知らないうちに漏れていたとすると、パスワード変更後に再度漏れる可能性があります。

高橋: 必ずそうなりますか?

徳丸: そうとは限りません。パスワード漏洩がフィッシングによるものだとすると、二度目のフィッシングには利用者が気づく可能性もあります。また、既に攻撃側が目的を達していた場合、再度パスワードを得ようといないかもしれません。

高橋: なんか、微妙なラインですね。どういうシステムが、パスワードを定期的に変更したほうがよいのでしょうか?

徳丸: 社内ネットワークのWindowsアカウントのパスワードや、メールの（POP3の）パスワード等は、パスワードの盗用に気づきにくいし、長期間にわたって被害がある可能性が高いので、パスワードの定期的変更が有効という局面はありそうです。

高橋: そういえば、Windowsはポリシーでパスワードを強制的に定期的変更させる機能がありますね。

徳丸: はい。パスワード定期的変更懐疑派の筆頭格であるシュナイアー氏も、会社のパスワードは時々変える（You should change your corporate login password occasionally）ことを勧めていますね。

高橋: 徳丸さんも会社のパスワードは時々変えているのですか?

徳丸: いえ、変えていません。

高橋: ガタッ、だめじゃないですか。

徳丸: 私の会社は、私一人しかいないのでPCはほぼスタンドアロンの利用ですよ。リモートログオンできるわけではないので、脅威はほぼマルウェアに限定されますから、パスワード変えても脅威は減らないです。

高橋: なるほど、環境によってパスワード変更の重要度が変わってくるのですね。

徳丸: そうです。だから、インターネット上のPOP3のパスワードは先日変更しました。と言っても、SSLのみ許可しているし、不正アクセスの可能性は低いので、マルウェアの脅威くらいしかないのですが、これはまぁ気分の問題です。

高橋: 気分ですか、その程度の重要性ということですね。そういえば、先ほど、被害の期間が長期間にわたってとありましたが、被害が短期間が終わってしまう場合があるのですか?

徳丸: あります。spam投稿が目的のなりすましや、代表例は不正送金ですね。

高橋: なぜでしょうか? 長期間に渡って不正送金できたほうが、犯人は嬉しいでしょうに。

徳丸: さすがに悪用された側が気づくでしょう。

高橋: さるセキュリティ専門家は、自分のクレジットカードは（利用額が大きいので）20万円くらい不正使用されても気づかないだろうと豪語されていたようですが…

徳丸: そういう方は、パスワードを定期的に変更するより前に、自分の口座を定期的に確認する必要がありますね。

高橋: それもそうですね。

徳丸: しかし、オンラインバンキングでも、法人口座の場合は定期的変更が有効になる可能性がありまして、それが3番の理由になります。

高橋: なぜでしょうか?

徳丸: 法人口座の場合は、口座の管理者が複数いて、複数の人がパスワードを共有している場合があるからです。

高橋: どうして定期的変更になるのでしょうか?

徳丸: 複数の管理者のうち1人が退職したり、異動になった場合、「パスワードを知っていてはいけない」状態になりますよね。パスワードを例えば3ヶ月毎に変えれば、「パスワードを不正に知っている」状態は最長でも3ヶ月で止まります。

高橋: 銀行口座の場合だと3ヶ月でも長過ぎますね。かといって、毎日パスワードを変更するわけにもいかないし…

徳丸: その通りです。幸いなことにもっと良い方法があります。

高橋: なんだ、その方法を教えて下さい。

徳丸: 一番良いのは、担当者毎にアカウントを分けて別のパスワードにすることです。たとえばジャパンネット銀行の場合ですと、「利用者ID機能」というものがあり、同じ口座に対して利用者毎にIDを変えることができます。

高橋: それは素晴らしいですね。担当者が退職したら、その方のIDを解除するか、パスワードを変更して別の人が使えば良いわけですね。他の方のパスワードは変更しなくてもよい、と。徳丸さんの会社でも「利用者ID機能」を使っているのですか?

徳丸: だーかーらー、私の会社は私一人しかいないので、使う必要がありません。

高橋: でしたねー。でも、そういう機能が利用できない場合は、定期的に変更するしかないのでは?

徳丸: いえ、そうではありません。共用のパスワードを知っている人の退職や異動のタイミングでパスワードを変更するべきです。そうすれば、「パスワードを不正に知っている人」をゼロにできるはずです。理論的には…

高橋: 歯切れが悪いですね。

徳丸: 今までの話は、職務上パスワードを知っているはずの人の話ですが、元々パスワードを知っているはずのない人がパスワードを知っている場合に、定期的にパスワードを変更すると、その人の知っているパスワードを無効にできますね。

高橋: しかし、パスワードを知っていてはいけない人がパスワードを知っていること自体が重大な問題だと思いますが…

徳丸: はい。でも現実にはあり得ますよね。サーバー管理者が外出中にrootで作業をしなければならないのに、リモートからログインできないので、同僚にrootパスワードを教えて作業を代行してもらうケースとか。

高橋: はー、教科書的にはだめだけど、現実にはありそうです。

徳丸: なので、元々管理レベルが低い場合は、パスワードの定期的変更がそれなりに有効、ということですよ。言い換えると、パスワードの定期的変更に頼る状態というのは、けっして好ましいことではありません。

高橋: 分かりました。ここまでのお話を一旦整理すると、昔の/etc/passwdにパスワード自体が入っていた時代はパスワードを定期的に変更する理由があったが、今はそうではないこと、同じパスワードを複数人で使う場合にパスワードの定期的変更がそれなりに意味があるが、本来は一人1IDにするか、異動・退職のタイミングでパスワードを変更するべき、ということでした。社内ネットワーク等のパスワードは、環境にもよるが、パスワードの定期的変更がそれなりに有効、ということですね。

徳丸: その通りです。

高橋: 徳丸さんのご専門のWebシステムの話題があまり出てきませんでしたが、Webの場合はどうなんですか?

徳丸: Webの場合でも、パスワード漏洩の影響が長期間にわたって出て、かつ漏洩に気づけないというケースは、パスワードを定期的に変更した方がよい、ということになりますね。

高橋: あれ、パスワードの定期的変更を認めちゃうんですか?

徳丸: 残念ながら…でも、パスワードの定期的変更よりも良い方法がある場合はそちらを使うべきです。

高橋: 例えばどういうものでしょうか?

徳丸: 例えば2段階認証ですね。2段階認証が使える場合は、パスワードを定期的に変更する必要性はほとんどないでしょう。

高橋: 2段階認証に使うトークンを一種のパスワードだとすると、一分毎にパスワードが変わっているようなものですからね。

徳丸: そうです。パスワード漏洩の影響が長期に及ぶアプリケーションというのは、メールとかストレージサービスですね。その種のサービスは2段階認証が普及しつつあります。一方、被害が個人情報漏洩だけというサイトは、パスワードを変更しても被害は軽減できないので、定期的変更にあまり意味がありません。次に、ログイン通知やログイン履歴の機能があれば、不正ログインに利用者が気づくことができるので、パスワードの定期的変更の必要性は薄くなります。

高橋: 定期的にチェックするのも面倒だし、忘れそうですね。

徳丸: そうですね。この点、Yahoo!やLINEがやっているログイン通知は便利ですよ。自分ではなにもしていないのに、「ログインしました」と通知されるので、気づきやすいです。

高橋: でも、ログイン通知を実装しているサイトは少ない感じですね。

徳丸: そうなんです。だから、サイト運営者は、利用者にパスワードの定期的変更を促す前に、2段階認証やログイン通知の機能を実装していただきたいです。

高橋: そうですね。それでは、そろそろまとめていただきますか?

徳丸: はい。結局のところ、パスワードの定期的変更の位置づけとしては下記のパターンがあると考えます。

もっとよい方法がある（例: 二段階認証）
元々の管理レベルが低い場合の簡便法（例: パスワードを勝手に知っている人がいる）
社内ネットワークなど不正に気づくことが難しく被害が長期に及ぶ場合の対策

　　　 1と2については、もっとよい管理方法に移行するべきです。3については、パスワードの定期的変更の動機としてはもっともありそうですが、もし本当に高いセキュリティを目指すのであれば、スマートカードログオンに移行するなど、パスワードの定期的変更に頼らないセキュリティ施策を採用するべきです。私が一つお勧めしたいのは、パスワードを三ヶ月おきに変更するような機械的な定期的変更ではなく、パスワード管理のあり方を定期的に見直すことです。たとえば、フィッシングが問題になってきて二段階認証の普及が進んできたら、自分でも二段階認証を使うかどうかを検討する、パスワードリスト攻撃が問題になってきたら、自分でもパスワードの使い回しをしていないかチェックして、是正する、などです。機械的にパスワードを変更することは、意味が無い場合が多いですよ。

高橋: ありがとうございました。パスワード管理を定期的に見直すというのはいいですね。これで、パスワード定期的変更の効能についての徳丸さんへのインタビューは終わりです。みなさま、ごきげんよう。

※注: このエントリはインタビュー仕立ての記事であり、文責はすべて徳丸にあります。高橋は架空の人物です。

↧