2018/11/30

2018年上半期 診断結果にみる情報セキュリティの現状②
ネットワーク診断、スマホアプリ診断

  • このエントリーをはてなブックマークに追加

DNPが、各種セキュリティサービスで協業するプロフェッショナル企業、株式会社ブロードバンドセキュリティ(以下 BBSec)によるセキュリティレポート(SQAT® SECURITY REPORT 2018年10月号)が、10月9日に公開発表されました。今回のコラムでは、同レポートに掲載されている、2018年上半期(1~6月)の診断結果を踏まえ、ネットワークセキュリティ、スマホアプリセキュリティの現状について、BBSecのセキュリティサービス本部 齊藤様にお話を伺いました。

【目次】
  • ネットワーク診断結果
    • SSL/TLSについて
    • OpenSSHについて
  • スマホアプリ診断結果
    • バックアップ可能な領域に重要情報が保存されている問題
    • 不要なログが出力されている問題

株式会社ブロードバンドセキュリティ
セキュリティサービス本部
副本部長

齊藤 義人 様

CISSP、情報処理安全確保支援士、
システム監査技術者

  • 所属・肩書などは、2018年11月時点のものです

ネットワーク診断結果

SSL/TLSについて

―SSLとTLS 1.0以下の脆弱性が問題になってからだいぶ経ちますが、いまだに放置されているケースがあるのですね。

齊藤 はい。暗号化通信でTLS 1.0以下を許可しているシステムが、30.2%検出されました。TLS 1.0以下のままでは、暗号化された通信が、DROWN、POODLE、BEASTなど複数の既知の脆弱性によって解読され、情報漏洩などの被害につながる危険性があります。さまざまな対策はありますが、これらの脆弱性はプロトコル自体に存在するものですので、最善策は、TLS 1.0以下のサポート停止になります。

「重要情報の漏洩に関する問題」が検出されたシステム

―TLS 1.3が2018年8月にリリースされましたが、認知されるまでには少し時間がかかりそうです。

齊藤 確かに、TLS 1.3が広く認知されるまでには一定の時間が必要だと思いますが、TLS 1.3への対応にいち早く取り組むことで、サービス提供者としての信頼性の向上につながります。Google ChromeやFirefoxなどの主要ブラウザでは、すでにTLS 1.3への対応が進められています。クレジットカード業界のセキュリティ基準であるPCI DSSでは、マイナーリビジョンver.3.2.1で、脆弱な暗号化方式である初期SSL/TLSの無効化が、ベストプラクティスの位置づけから要件に変更されていますし、TLS 1.3をルール化しようとする動きはすでに始まっています。

OpenSSHについて

齊藤 Webアプリケーション診断同様、ネットワーク診断でも、システムコンポーネントのバージョン・パッチ管理が徹底されていない問題が顕著に出ています。診断したシステム中、36%にバージョン・パッチ管理の問題が検出されましたが、そのうちの約3割をOpenSSHが占めています。

バージョン・パッチ管理の問題(ネットワーク診断) OpenSSHが占める割合

―旧バージョンのOpenSSHを使い続けると、どんな危険があるのですか。

齊藤 OpenSSHは、ベンダーからサポートの終了が明示的に公開されません。新しいバージョンがリリースされたタイミングで、それ以前のバージョンは、サポートが終了したとみなして差し支えないでしょう。
旧バージョンのOpenSSHを使用し続けることは、脆弱性やバグが蓄積されたシステムを放置していることになります。脆弱性を悪用されると、サービス運用妨害や重要情報の奪取、セキュリティ制限の回避など、さまざまな影響や被害を受ける可能性があります。

―そのほか、リモートデスクトップに関する問題が約2割のシステムで検出されていますね。

齊藤 はい。脆弱性が存在するリモートデスクトップや保護レベルの低いリモートデスクトップが2割弱検出されました。リモートデスクトップ機能は、遠隔からPCを操作できる便利な機能ですが、その反面、任意の場所から接続が可能な場合には、ブルートフォースアタック(総当り攻撃)という手法によって、アカウント情報を奪取される危険性があります。アカウントを奪取された場合、高い権限での処理が実行されてしまう可能性があるため、リモートデスクトップに関わる問題では、早急な確認と対応が必要です。

リモートデスクトップの問題(検出割合) 外部ネットワークからリモートデスクトップが有効になっている割合

齊藤 コンポーネントなどのシステムの脆弱性を狙うマルウェアやサイバー攻撃は、国内外で後を絶ちません。古いバージョンのコンポーネントを使用し続けることは、脆弱性を積み重ねることになり、システム自体の経年劣化を早めることになります。日々、危険な状態のまま運用を継続した結果、事業継続自体が脅かされるなどの被害を受けることがないよう、システムの現状を把握し、時代の流れをキャッチアップして、積極的なセキュリティ対策を施すことが必要となっています。

―時代遅れになってしまったものは、使用せずに排除するという決断が必要ですね。では続けて、スマホアプリの診断結果についてお伺いします。

スマホアプリ診断結果

齊藤 スマートフォンは、アドレス帳や写真、スケジュール、訪れた場所の位置情報などを格納したプライベート情報の宝庫であり、さらに、本人確認のための「認証の3要素」も保持しています。もはや、本人の一部といっても過言ではありません。
スマートフォンのアプリは、ネット世界につながっているがゆえに、第三者からプライベート情報や認証情報にアクセスされる危険性をつねにはらんでいます。安全性を確認する重要性は年々高まっているといえるでしょう。

認証の3要素

―2018年上半期のスマホアプリ診断結果で注目すべき点はありましたか。

齊藤 「OWASP Mobile Top 10 2016」で2番目にランクインしている、「安全でないデータ保存」に関連する脆弱性の検出、これが全体の約2割を占めている点です。「安全でないデータ保存」に関連する脆弱性というのは、アプリが処理する情報資産に対してのリスクで、主に2つの項目が挙げられます。1つ目は、バックアップ可能な領域に重要情報が保存されている問題、2つ目は、不要なログが出力されている問題です。

安全でないデータ保存に関連する脆弱性項目

OWASP Mobile Top 10

バックアップ可能な領域に重要情報が保存されている問題

―「バックアップ可能な領域に重要情報が保存されている問題」とは、どういうことですか。

齊藤 スマートフォンのローカル環境内において信頼境界を意識しない領域に重要情報が保存されていると、悪意のあるアプリに侵食されて、情報が漏洩する恐れがあります。これは、単に悪意のあるアプリをインストールしなければいい、というものではありません。近年、フルバックアップやアプリの保存データは、ローカル環境からクラウド環境に転送されるようになっています。もし転送先のクラウドやサーバに脆弱性が存在する場合、そこから情報が漏洩する危険性があるのです。

―ユーザの知らない間に、意図せず情報が流出しているかもしれないということですね。

不要なログが出力されている問題

―では2つ目の問題、「不要なログ」とは何でしょうか。

齊藤 とくに目立つのは、スマホが外部と通信した際のアクセスログで、API認証に伴うトークン制御や暗号化に関わるキー情報などを含むものです。また、デバッグモードのまま利用された場合に、認証情報などの機微な情報が露出するケースもあります。これは、セキュリティの観点から推奨されません。
今は、個人情報やプライバシー情報の保護について、世界的に法規制が整備されつつあります。たとえば、スマホ機能の位置情報を活用するナビゲーションやお店検索などのサービスアプリの場合、アプリ提供側で位置情報を収集する機能を開発してログに格納することが可能ですが、位置情報を取得する際にユーザの同意を得るようになっていないと、規則違反とみなされ、懲罰の対象になる可能性があります。

―ユーザの知らないところで、プライバシー情報を活用するのは許されないのですね。Web、ネットワーク、スマホのいずれにおいても、技術や法規制の動向をいち早くつかみ、セキュリティを確保していく必要があるといえますね。
齊藤様、どうもありがとうございました。
SQAT® SECURITY REPORTには、各種セキュリティ診断結果による現状分析だけでなく、旬のトピックが多数掲載されています。本レポートは、[SQAT® SECURITY REPORT]よりダウンロードいただけますので、ぜひ、ご覧ください。

「脆弱性診断ソリューション」のお問い合わせはこちら(別ウィンドウで開く)

人気の記事