会員数が少ないログイン後の会員エリアならば、Webアプリケーション脆弱性対策は過敏にならずとも？

会員数が少ないログイン後の会員エリアならば、Webアプリケーション脆弱性対策は過敏にならずとも良いのではと考えたのですが、妥当な考えでしょうか？


会員サイトを制作しようとしておりますが、内製にするか外部プラットフォームを使うか？で思案しております。

プログラミングできる人間はたくさんいるので内製力はあるのですが(私はプログラミングはできません)、ただ、Webプログラミングでないプログラマーばかりなので、Webの方は不慣れです。
よって、Webアプリケーションの脆弱性対策の知識がまるで無い状況です。

XSS(クロスサイト・スクリプティング)
CSRF(クロスサイトリクエストフォージェリ)
SQLインジェクション
OSコマンドインジェクション
HTTP ヘッダ・インジェクション
パス名パラメータの未チェック／ディレクトリ・トラバーサル
バッファーオーバーフロー

など、色々ありますよね。
このあたりのことを考えると、内製はやめて外部プラットフォームを利用するしかないのか、と思っていました。問題が起こっては大変なので。
Webアプリの脆弱性対策は日々新たな脆弱性が出てくるたびに対策を追加していかなければならないので大変そうで・・・・・

そういう中で気づいたのですが、Webアプリケーションの脆弱性を突く色んな方法がありますが、よくよく考えますと、会員エリアは会員しか入らないのだから、そんなに過敏に考えなくとも大丈夫なのではないか、と思い直したのです。

何せ会員数が少ないのです。
当初は10～30名程度、100名になるのもだいぶ時間がかかる感じですので。

会員しかもらえないログインID・パスワードでログインしたあとの会員エリアですから、ここの中の各入力フォームに悪いコードを入れる輩は会員か会員がID・パスワードを教えた第三者しかないわけで、本件のように会員数が極端に少ない場合なので、すぐ面が割れると感じる会員が悪いことをしづらいだろうと思ったのです。

質問ですが、

質問[1] 会員ログインページは非会員でも開けるので、このID・パスワードのinput textに対するWebアプリ脆弱性処置ができないことになる。
ここは会員だけ開くページでないため危険にさらされるわけだから、処置ができないと結局意味が無いでしょうか？


質問[2] ログイン後の会員エリアであっても、知識のあるクラッカー(悪いハッカー)からすればURLを知ることはお手の物であり、会員しか入れないエリアの入力フォームのWebアプリ脆弱性対策ができていないと、いくらログイン後のページであっても関係なくどんどん突かれてしまうのでしょうか？

以上です。
有識者の方の的確なお話を頂戴できればとてもありがたいです。
何卒宜しくお願いいたします。

No.2 ベストアンサー 回答者： t4t 回答日時： 2008/06/05 12:00

＞質問[1] 会員ログインページは非会員でも開けるので、このID・パスワードのinput textに対するWebアプリ脆弱性処置ができないことになる。

＞ここは会員だけ開くページでないため危険にさらされるわけだから、処置ができないと結局意味が無いでしょうか？

ログインページへの攻撃は「会員ページへの直接的な侵入」だけとは限りません。
ホストＯＳの種類やバージョンや設定状態、またブラウザの設定にもよりますが、
全く脆弱性対策がされていないサイトの場合、ログインページを攻撃して
「正しいログインページによく似た偽物で実際はユーザ入力を別サイトに転送するページ」
を表示させるようにして、ユーザーが入力したＩＤとパスワードを盗み出すということは
それほど困難ではありません。
ですから、最低限、ログインページは攻撃への対処が必要だ、と思います。

＞質問[2] ログイン後の会員エリアであっても、知識のあるクラッカー(悪いハッカー)からすればURLを知ることはお手の物であり、
＞会員しか入れないエリアの入力フォームのWebアプリ脆弱性対策ができていないと、
＞いくらログイン後のページであっても関係なくどんどん突かれてしまうのでしょうか？

「会員しか入れない」というのが、「URLを会員しか知らない（表示されない）ハズ」で、実際にURLを
入力すれば表示できてしまうというような仕組みでしたら、ログイン後のページであっても比較的容易に
攻撃対象にできます。
また、まったく脆弱性対策されていないサイトの場合、入力エリアに正規会員が誤ってなにか入力した際、
結果として脆弱性が表面化してしまう場合もありますので、対策されることを強くお勧めします。

全体として、
セキュリティに関しては「これだけ対策すれば絶対安心」ということがないだけに、
「相手に、セキュリティを破るためにどれだけの手間とコストをかけさせるか」を考えることになります。
またそれは、自サイトのコンテンツにはどれくらいの価値があるのか、ということに影響されます。

会員向けのコンテンツとして、他人に見られると損失を被るような情報が含まれているのであれば、
脆弱性に対する処置がとられていないというのは万一の場合は責任を追及される恐れがあるかもしれません。

自サイトのコンテンツにあまり価値がないとご自身で評価なさっても、
脆弱性対策されていないサイトは、他サイトへの攻撃の足がかりにされることもありますので、
Web全体のことを考えればぜひ対策をしていただきたいところですが…。

コストや手間をかけて対策しても、まったくクラック対象にならないサイトもあって、
そのときは結果的に経済面で無駄ではあります。
ただ、クラックする対象になるかならないかは誰にもわかりませんから、
法人としてインターネットで会員サービスを行うサイトであれば、社会的な責任として、
セキュリティ対策はしておく必要があると思います。

HTMLやアプリケーションレベルでの脆弱性対策が困難な場合は、別の手段で対策する手もあります。
IPSecやPPTPなどの、比較的手軽なインターネットVPNを導入するというのもその一つです。
(会員のＩＴリテラシーにもよりますが…)

この回答への補足

【お礼欄の続き】
------------------------------------------------------------
会員向けのコンテンツとして、他人に見られると損失を被るような情報が含まれているのであれば、
脆弱性に対する処置がとられていないというのは万一の場合は責任を追及される恐れがあるかもしれません。
------------------------------------------------------------
これこれ、これなんです、一番気になる点は。社員40～50名の小さな会社ですから標的になる可能性は低いとは思うのですが、万一が気になる事件が聞こえてきますよね。
------------------------------------------------------------

------------------------------------------------------------
自サイトのコンテンツにあまり価値がないとご自身で評価なさっても、
脆弱性対策されていないサイトは、他サイトへの攻撃の足がかりにされることもありますので、
Web全体のことを考えればぜひ対策をしていただきたいところですが…。
------------------------------------------------------------
なるほど、「他サイトへの攻撃の足がかりにされる」ということは知りませんでした。

------------------------------------------------------------
コストや手間をかけて対策しても、まったくクラック対象にならないサイトもあって、
そのときは結果的に経済面で無駄ではあります。
ただ、クラックする対象になるかならないかは誰にもわかりませんから、
法人としてインターネットで会員サービスを行うサイトであれば、社会的な責任として、
セキュリティ対策はしておく必要があると思います。
------------------------------------------------------------
ですです。まさにその思いです。

------------------------------------------------------------
HTMLやアプリケーションレベルでの脆弱性対策が困難な場合は、別の手段で対策する手もあります。
IPSecやPPTPなどの、比較的手軽なインターネットVPNを導入するというのもその一つです。
(会員のＩＴリテラシーにもよりますが…)
------------------------------------------------------------
パケティックのようなネットVPNも良いでしょうが、会員の環境が絡むので無理があるかと思います・・・


正直言って、脆弱性対策をよくしていない企業サイトの方が圧倒的に多い状況である程度の低い現状だと思います。特に中小企業のサイトはボロボロですから。
ざっとした対策ならば調べてできると思います。エスケープしたり何だりと。
だけれどもどうせ対策するのならば、完璧だとは言わなくとも今明るみに出ている対策は全てやってこそだと思うのです。
IPAに紹介されてあるものでこのレベルあって、なおかつ方法の紹介もプログラマーならば誰でもわかるレベルの教え方をしてあるのであれば良いのですが、このあたりもどうなのかなぁ。IPAに聞いてみますかね。

大変助かっております。ありがとうございます。

補足日時：2008/06/05 15:14

この回答へのお礼

------------------------------------------------------------
ログインページへの攻撃は「会員ページへの直接的な侵入」だけとは限りません。
ホストＯＳの種類やバージョンや設定状態、またブラウザの設定にもよりますが、
全く脆弱性対策がされていないサイトの場合、ログインページを攻撃して
「正しいログインページによく似た偽物で実際はユーザ入力を別サイトに転送するページ」
を表示させるようにして、ユーザーが入力したＩＤとパスワードを盗み出すということは
それほど困難ではありません。
ですから、最低限、ログインページは攻撃への対処が必要だ、と思います。
------------------------------------------------------------
なるほど、ログインページをFTPで入られて加工されてしまう、ということですか。
加工されたら、裏側のHTMLソースの中のformタグのaction先をクラッカーの管理するURLへ
書き換えられてしまいますから、会員がID・パスワードを入力すればその情報が
クラッカーのサーバへストックされるわけですね。

------------------------------------------------------------
全体として、
セキュリティに関しては「これだけ対策すれば絶対安心」ということがないだけに、
「相手に、セキュリティを破るためにどれだけの手間とコストをかけさせるか」を考えることになります。
------------------------------------------------------------
まさに。手間・コストが大きいとクラッカーとしてはそこまでして手に入れる価値があるか？ということを自答しますよね。競合からしたら価値があるかも知れないくらいだと思いますが。

------------------------------------------------------------
またそれは、自サイトのコンテンツにはどれくらいの価値があるのか、ということに影響されます。
------------------------------------------------------------
そうですよね。会員にとっては価値があるとは思うのですが。

【文字数制限につき続きは補足欄へ】

お礼日時：2008/06/05 15:12

No.1 回答者： fifaile 回答日時： 2008/06/05 11:27

要は管理者権限を奪われたら終わりなわけです。

したがって、会員ページを含め全ての公開リソースについてセキュリティが必要でしょう。
依然どこか省庁のHPが改ざんされるなどの事件がありましたが、
あれなんかは管理ページが公開されていないに関らず事件も起こりましたし。

この回答への補足

書き忘れていました。

ありがとうございましたm(_ _)m

とても参考になっております。

補足日時：2008/06/05 11:38

この回答へのお礼

なるほど。
ということは、管理者権限を奪われない前提ならば書いていることは間違っていないということですか。

しかしその前提も、管理者権限を奪われる危険性自体が前提の前に厳然として存在するので、私の書いた前提は崩れてしまう、ということでしょうか。

しかし管理者のログインID、パスワードのような最重要なデータをどうやって盗むんでしょうかね・・・そんなことがどうやってできるのか驚くばかりです。

データセンターで高いセキュリティ対策をしたデータベースサーバであっても入ってこれるということなんでしょうかね・・・・うぅ～む・・・・・

お礼日時：2008/06/05 11:37