デブサミ2014【14-E-L】暗号破りに新たな攻撃!進化する脅威に対抗するためのwebサイトセキュリティとsslの進化(林正人〔日本ベリサイン〕)
•
5 likes•5,125 views
近年の報道から、情報漏えい事件やサイバー犯罪が増加する傾向が明らかです。攻撃が巧妙になる一方で年5,000件以上も脆弱性が発見されるなど、安全なWebサイトを構築しその安全性を維持していくことはとても困難です。またコンピュータの性能の向上と暗号強度のいたちごっこは、まだ安全とはいえSSL通信の暗号強度も今後はより高いものが必要になってきます。 最新のWebサイト攻撃の傾向を解説するとともに、安全なWebサイトを構築する為に自社のセキュリティの現状を把握する方法、そして対策方法をご紹介します。あわせて暗号の今後の方向性についても解説します。
More Related Content
Viewers also liked
Viewers also liked (20)
Similar to デブサミ2014【14-E-L】暗号破りに新たな攻撃!進化する脅威に対抗するためのwebサイトセキュリティとsslの進化(林正人〔日本ベリサイン〕)
Similar to デブサミ2014【14-E-L】暗号破りに新たな攻撃!進化する脅威に対抗するためのwebサイトセキュリティとsslの進化(林正人〔日本ベリサイン〕) (16)
More from Developers Summit
More from Developers Summit (20)
Recently uploaded
Recently uploaded (15)
デブサミ2014【14-E-L】暗号破りに新たな攻撃!進化する脅威に対抗するためのwebサイトセキュリティとsslの進化(林正人〔日本ベリサイン〕)
- 2. 電子証明書 ~現代ネット社会の安全を守る鍵~ • 電子証明書は、「ウェブサイト」「ダウンロードファイル」「電子メール」などに 利用されており、日々ネットの安全を守っている 認証、発行 認証局 (CA:Certification Authority) Symantecなど SSLサーバ証明書 コードサイニング証明書 セキュアメールID (ウェブサイト通信の暗号化、 ウェブサイト運営者の実在性証明) (ダウンロードファイルの改ざん検知、 配布者の実在性証明) (電子メールの改ざん検知、 配信者の実在性証明) 2
- 4. SSLサーバ証明書 認証局とSSLの仕組み • 認証局やSSLサーバ証明書は、原則的には“誰でも”作成可能 • 一方、商用のSSLサーバ証明書は、認証局(CA)と呼ばれる証明書発行機関 が業界で定めるルールに基づいて認証・発行 ①エンドユーザのブラウザ等向 けにシマンテックがルート証明書 を広く無償配布・維持管理 認証局 (シマンテック) ②企業顧客がSSLサーバ証明 書を購入し、ウェブサーバ等に インストール ブラウザベンダ、組み込み機器ベンダ 認証、発行 ③ブラウザとウェブサーバ間 でSSL通信が行われる ウェブサイト管理者 インス トール SSL通信 https:// エンドユーザ 企業(ウェブサイト等) 4
- 5. SSLサーバ証明書 SSLを支える技術 構成要素 ウェブサーバ運営団体の 主なアルゴリズム名 「公開鍵」暗号方式 RSA, ECC, DSA ウェブサーバとウェブブラウザ間の 暗号化通信 「共通鍵」暗号方式 RC4, DES/3DES, AES データの改ざん検知 ハッシュアルゴリズム SHA-1, SHA-2 (SHA-256) 実在性の証明 5
- 8. SSLサーバ証明書 暗号の世代交代の必要性 NIST (米国標準技術研究所) 勧告を元に作成 等価安全性 (非推奨) 80bit 112bit 128bit 2010年末まで 2011年以降 2031年以降 低 ハッシュアル ゴリズム 「公開鍵」 暗号方式 安全性 MD2,MD4, MD5… 終了 RSA512.... 終了 SHA-1 世代交代 予定 RSA1024 2013年 末終了 高 SHA-2 (SHA-224) 予定 RSA2048 利用 可能 SHA-2 (SHA-256) 予定 RSA3072 ECC256 利用 可能 「暗号アルゴリズムの2010年問題」 の一環でRSA1024は終了 実は、ハッシュアルゴリズムは対応が遅れている!! 注 : 共通鍵暗号方式は、SSLサーバ証明書には含まれない(ブラウザとサーバにより決定される)ため、当ページから割愛 8
- 11. SSLサーバ証明書 ハッシュ アルゴリズムの移行の背景 ハッシュアルゴリズム • インターネットにおける一般的なセキュリティ要件として 「SHA-2」への対応の必要性が高まっている – 米国政府(NIST勧告) : SHA-1は最長2013年末までに使用停止 – PCI DSS : NIST勧告と同等 (SHA-1は最長2013年末までに使用停止 ) – 日本政府(NISC指針) : SHA-1は最長2019年までに使用停止 – 民間(CA/B Forum Baseline Requirement) : 2016年末使用停止(Microsoft社) • マイクロソフト社のアナウンス概要 * – Windows OSにおけるSSLサーバ証明書の利用について、より安全性の高 いSHA-2への移行を促すと同時に、SHA-1の利用を停止すると発表 SHA-1発行 SSLサーバ証明書 SHA-1利用 最長2015年12月31日まで 最長2016年12月31日まで * http://technet.microsoft.com/ja-jp/security/advisory/2880823 http://social.technet.microsoft.com/wiki/contents/articles/1760.windows-root-certificate-program-technical-requirements-version-2-0.aspx 11
- 13. SSLサーバ証明書 ハッシュアルゴリズム シマンテックの移行方針 シマンテックではスムーズなSHA-2移行を促進するため、①SHA-2対応証明書 の提供拡大、②SHA-1の順次制限を実施 ① SHA-2対応のSSLサーバ証明書の提供を全販売経路に拡大済 公開鍵/ハッシュ SSL販売システム マネージド PKI for SSL (SSL大規模利用顧客) ストアフロント (SSL購入サイト) *グローバル・サーバID、グローバル・サーバID EVに限ります。 今回追加される暗号アルゴリズムのご利用において、追加料金は不要 RSA (SHA-1) RSA (SHA-2) ECC (SHA-2) ○ ○ ○ ○ ○* ○* New! New! ② 今後、マイクロソフト社のアナウンスメントに合わせ、SHA-1証明書の発行を 最長2015年末までに制限。また、SHA-1証明書の利用を最長2016年末まで に制限 13
- 15. SSLサーバ証明書 各種プラットフォームの対応状況 RSA (SHA-2) PCブラウザ ハッシュアルゴリズム 補足事項 ○ Windows XP SP3以降、Mac OS X スマートフォン ○ Symbian OS, Windows MobileはSHA-2非対応 携帯電話 △ アクセスカバー率 4割程度 (Windows / Mac) ブラウザ ○: アクセスカバー率90%以上、 △: アクセスカバー率90%未満30%以上 RSA (SHA-2) 補足事項 ○ Apache2.0 / OpenSSL0.9.8 以降 IIS ○ Windows 2008以降 ○ BIG-IP 2000s 11.4.1、BIG-IP 3900 10.2.4にて 検証済 FortiGate * ○ FortiGate-60C (FortiOS 5.0 GA Patch6) にて検 証済 A10ネットワークス ○ A10 AX2500 2.7.1-P3 にて検証済 Coyote Point * ロードバランサ Apache BIG-IP * (F5社) ウェブサーバ ○ Coyote Point Systems Equalizer E470LX (v10.2.1a) にて検証済 (フォーティネット社) ○: CSR生成、証明書インストール、https接続可能) * 株式会社ネットワールドとの共同検証結果 15
- 16. SSLサーバ証明書 ECC (楕円曲線暗号) について 「公開鍵」暗号方式 • ECCは、現在の標準的な暗号方式に比べ、短い暗号鍵長でも、より強固 なセキュリティを実現することができる暗号技術 • ホスティング事業等を展開する株式会社ディレクターズは、ECC(SHA-2) 対応版SSLサーバ証明書を導入することで、WebサーバのCPUにかかる 負荷が46%軽減され、応答時間が7%改善されたことを確認 各暗号アルゴリズムに関する等価安全性比較 株式会社ディレクターズによる計測値 NIST : Recommendation for Key Management (SP 800-57)* を基にシマンテック社にて作成 * http://csrc.nist.gov/publications/nistpubs/800-57/sp800-57_part1_rev3_general.pdf (P.64) 16
- 18. コードサイニング証明書 コードサイニング証明書とは? • コードサイニング証明書は、exeファイル などにデジタル署名することにより、「発 行元の保証」、「ダウンロードファイルが改 ざんされていないこと」を実現するデジタ ル証明書 • マイクロソフト社のアナウンス概要 * 検証OK パソコン、組み 込み機器等 認証、発行 プログラム開発ベンダ アプリ開発ベンダ – SSLサーバ証明書よりもSHA-1利用停止が1年早い。(SHA-1証明書の発行、 及び利用を最長2015年末までに制限) – ただし、タイムスタンプ付きで署名されたコードについては、引き続き「信 頼される」プログラムとして認識される SHA-1発行 コードサイニング証明書 SHA-1利用 最長2015年12月31日まで 最長2015年12月31日まで * http://technet.microsoft.com/ja-jp/security/advisory/2880823 http://social.technet.microsoft.com/wiki/contents/articles/1760.windows-root-certificate-program-technical-requirements-version-2-0.aspx 18
- 19. コードサイニング証明書 コードサイニング証明書に関して 求められる具体的なアクション SHA-2の導入 SHA-1の利用停止 • プログラム開発ベンダ • SHA-2証明書の検証 • SHA-2証明書の順次導入(最長 アプリ開発ベンダ 2015年12月31日まで) 組み込み機器ベンダ • • SHA-2アルゴリズムへの対応 SHA-2ルート証明書をブラウ ザや組み込み機器へ実装 • • 可能な限り、タイムスタンプ付 きでコードにデジタル署名を 実施 SHA-1証明書が、2016年を超 える場合、再発行などの手段 によってSHA-2証明書を順次 導入 SHA-1証明書に対して順次警 告表示などの対処 SHA-1を利用するプログラム開発ベンダ等は、あと2年以内にSHA-2への移 行を済ませなければならない 19
- 21. セキュアメールID セキュアメールIDとは? • セキュアメールIDは、電子メールにデジタ ル署名することにより、「発行元の保証」、 「電子メールが改ざんされていないこと」 を実現するフィッシング詐欺対策用デジタ ル証明書 認証、発行 メーラー メール配信管理者 • マイクロソフト社のアナウンス概要 * – マイクロソフト社のアナウンスメントに合わせ、SHA-1証明書の発行を最 長2015年末までに制限。また、SHA-1証明書の利用を最長2016年末まで に制限 SHA-1発行 セキュアメールID SHA-1利用 最長2015年12月31日まで 最長2016年12月31日まで * http://technet.microsoft.com/ja-jp/security/advisory/2880823 http://social.technet.microsoft.com/wiki/contents/articles/1760.windows-root-certificate-program-technical-requirements-version-2-0.aspx 21
- 23. ウェブサイト攻撃の最新動向 23
- 25. 決して大手企業だけの脅威ではありません。 小規模企業を狙った攻撃の総数は 2011 年に比べて3 倍に増加し、全 攻撃中の割合も 18% から 31% と ほぼ倍になっています。 出典 シマンテック 「インターネットセキュ リティ脅威レポート2012」 25
- 26. 情報漏えいの影響 出典 日本ベリサイン ホワイトペーパ 「ウェブサイトセキュリティ脅威レポート 2013」1 損害賠償額 : 7500万円 JNSA 「情報セキュリティインシデントに関する調査報告書」 調査費用、セキュリティ再構築費用 : 5000万円~1億円 IPA 「企業における情報セキュリティ事象被害額調査」 ブランド毀損、風評被害、イメージ低下 : 売上の5%~40% 過去の事例より 26
- 27. 不正アクセス禁止法違反検挙件数 昨年との比較 サイバー犯罪の検挙件数の推移 件 5,000 817 4,000 243 3,000 95 219 不正アクセス禁止法違反 コンピュータ・電磁的記録対象犯罪及び 不正指令電磁的記録に関する罪 2,000 2,930 3,057 H24(上) H25(上) ネットワーク利用犯罪 1,000 0 (2013年9月26日 警察庁発表 広報資料) 2012年と2013年各々上半期の不正アクセス禁止法違反検挙件数を比較す ると、件数にして574件、割合にして236%増加 27
- 28. 近年のウェブサイト攻撃に関する傾向 ウェブサイトの脆弱性 98%のウェブサイトが何らかの脆弱性 を抱えている 特に、危険度[高]のサイトは、全体の 2/3以上 (68%)も存在している 11年4月 大手ゲーム会社 ネット配信サービスで、1億件強の顧客情報漏えい 11年12月 大手ゲーム会社 不正アクセスで、180万件の顧客情報漏えい 12年3月 大手ソフトウェアダウンロードサイト26万件の顧客情報漏えい 12年4月 お中元・お歳暮通販サイトに不正アクセス、1,117名の顧客情報が漏えい 13年3月 環境省 サイト改ざん エンドユーザがマルウェア感染の恐れ 13年5月 百貨店オンラインサイトが相次いで情報漏えい 13年5月 レンタルルータ・携帯業者がマルウェア感染の恐れ 28 28
- 30. 攻撃手法は様々です • Apache Struts2の脆弱性 • SQLインジェクション攻撃 • パスワードリスト攻撃 • CMSの脆弱性 • ドライブバイダウンロード攻撃 • Darkleech Apache Module • 管理者パソコンへのマルウェア混入
- 31. X社の例 (Apache Struts2の脆弱性) • 2013年3月に不正アクセスを受け、8月上旬にサイト再開 • 以下の対策を実施 (1)不正アクセスの可能性を検知し、自動的に遮断する機構の導入 (2)改ざん検知機構の導入 (3)アクセス制御の厳格化 (4)アプリケーション脆弱性の対策と断続監視体制の強化 (5)システムの完全再構築 (6)クレジットカード情報の完全不保持への移行 (7)会員ログインフォームのセキュリティ向上 (8)PCI DSS完全準拠 (9)社内体制の厳格化
- 32. Y社の例 (SQLインジェクション攻撃) • 2013年4月にSQLインジェクション攻撃を受け、「カード名義人 名」、「カード番号」、「カード有効期限」、「セキュリティコード」、 「お申込者住所」が漏洩。 • 以下の対策を実施 (1)侵入経路の遮断及びお客様情報の削除 (2)クレジットカードのモニタリング (3)クレジットカード情報の非保持 (4)当該サーバーのシステムの変更 (5)第三者機関による脆弱性調査 (6)所轄警察署への報告および所轄官庁への第一報 + 代表取締役社長の月額報酬30%を3ヶ月減額
- 33. パスワードリスト攻撃とは? ②IDとパスワード を不正に入手 ID : Taro_1030 PWD : hogehoge ID : Taro_1030 PWD : hogehoge ネットユーザー ①IDとパスワードを複 数サイトで使い回し A社サイト B社サイト ID : Taro_1030 PWD : hogehoge C社サイト ID : Taro_1030 PWD : hogehoge D社サイト ID : Taro_1030 PWD : hogehoge 攻撃者 ③別のサイトに 不正ログイン 不正取得したIDとパスワードのリストを流用し、別のWebサイトへ不正にロ グインする攻撃手法 攻撃成功率が高く、サイト運営者側が気づきにくい サイト運営者は、ユーザーがパスワード流用しているかどうかを確認できない 出典:IPA https://www.ipa.go.jp/security/txt/2013/08outline.html 33
- 34. あなたが普段利用しているサイト(若しくはスマートフォンアプリ) で、ID/パスワードでログインするサイト数は幾つありますか? [調査2]ネットユーザー調査 50個以上, 2.3% 30~49個, 3.0% 全く把握でき ていない, 11.0% 1~4個, 26.3% 20~29個, 4.3% 10~19個, 23.7% 5~9個, 29.3% % n=300, 単一回答 80%であり、 ログインするサイト数は、1~19個が約 最も多いのは5~9個 (約30%) シマンテック 2013年9月調査 34
- 35. あなたが記憶できるID/パスワードの記憶可能数を教 えてください [調査2]ネットユーザー調査 10組以上、記憶可能, 7.0% 6~9組なら記憶可能, 3.7 % 1組でも記憶しておく自 信がない, 6.0% 1組なら記憶可能, 11.7% 4~5組なら記憶可能, 19.3% 2~3組なら記 憶可能, 52.3% % 記憶できるパスワード数は シマンテック 2013年9月調査 n=300, 単一回答 2~3個 (52%) 35
- 37. ウェブサイト攻撃への対策 37
- 38. 理想と現実の狭間: 脆弱性のギャップ 企業の 5 分の 2 は、ウェブサイトの脆弱性を「一 度もテストしたことがない」か「テストは 1 年以上も 前」です。しかしながら、「安全でない」と認めたの は、5 分の 1 に過ぎません。 出典 日本ベリサイン ホワイトペーパー「オンラインとそのリスク ウェブサイトのセキュリティにおける脆弱性」 38
- 40. 約48%が脆弱性対策に3ヶ月以上を要している • ウェブアプリケーションの改修には、予算取得が難しい、開発者確保が難し いなどの事情により、危険性の高い脆弱性でも放置されている現状があり ます。 • IPA の調査によれば、脆弱性の修正に 91 日以上の日数を要した届けで は、全体の 48% にのぼります。この傾向は年々増加しております。 IPA ソフトウェア等の脆弱性関連情報に関する届出状況 [2012 年第 2 四半期(4 月~ 6 月) 40
- 42. Webサイト診断・防御ソリューション SSLサーバ証明書による、「通信暗号化」「サイトの実在性証明」 SSLサーバ証明書に無償バンドルされる 「マルウェアスキャン」、「脆弱性アセスメント」 ウェブサイトへの攻撃には「シマンテック クラウド型 WAF」 詳細な診断「シマンテック セキュリティ診断サービス」 SSLサーバ証明書 無料付加機能 42
- 44. 脆弱性アセスメント - 概要 • 概要 – お客様ウェブサイトに潜在す るセキュリティの問題点(脆弱 性)の有無を診断いたします – 診断結果を詳細レポート(PDF) で確認いただけます • バンドル(無償提供)対 象 SSLサーバ証明書製 品 – EV SSL証明書 – グローバル・サーバID • 診断方法 – お客様のウェブサイトに対して、 ハッカーの攻撃対象になる 脆弱性が存在していないか、 シマンテックが外部から診断・ レポートいたします。 44
- 49. シマンテック クラウド型 WAFのご紹介 WAF機能をクラウド型で提供 – お客様のウェブアプリケーションに変更を加えることなく、WAFの導入が可能です – 短期間で導入が可能です – 運用やシグネチャ更新は、全てクラウド側で対応します (Struts2の脆弱性対応) 本サービスは、セキュアスカイ・テクノロジー社のScutumを利用しております。 49
- 50. シマンテック クラウド型 WAFの機能 • 防御できる主な攻撃 • 主要機能一覧 防御機能 登録されている不正な通信パターンを検出した場合、該当通信を遮断 モニタリング機能 登録されている不正な通信パターンを検出した場合、該当通信を記録 (通信自体は遮断されません) ログ機能 WAFサービスにて検出された不正と思われる通信を記録し、閲覧 シグネチャ更新機能 不正な通信パターンを随時最新の状態に更新 特定URL除外機能 防御機能が不要なウェブページを防御対象から除外 IPアドレス許可・拒否機能 特定のIPアドレスからの通信を拒否 SSL通信機能 暗号化された通信においても解読し防御 50
- 51. 従来型WAFとクラウド型WAFの比較 比較ポイント 従来型WAF (アプライアンス型、ソフトウェア型) 高価 導入費用 – 機器購入費用、保守費用、設計・構築費用など 高額な初期費用が発生する。年ごとに機器の保 守費用、設定変更時にメンテナンス費用が必 要。 非常に手間がかかる 導入・運用の 手間 – サイトにあわせて細かいパラメータ設定が必要 で、導入まで半年ほどかかる場合も。 – ホワイトリストとブラックリストの両方を使用する ことができ、高いセキュリティ要求にも対応可 能。 必要 セキュリティ 技術者 安価 – 複数台の冗長構成環境で、すぐに使用可能な 状態をご用意。 初期費用:102,900円 年額:356,706円~ (税込) とても手軽 – お客様側作業はDNSの切り替えだけとなる 為、即座に導入が可能。 – 運用開始後もアプリケーションを変更するたび に、WAF設定を変更する必要がある。 2種類 防衛モデル シマンテック クラウド型WAF – 導入時・運用時とも、お客様サイトのシステム構 成とWAFを理解したセキュリティの専門技術者が 必要。 1種類 – ブラックリストを使ったシグネチャーモデルの みを採用し、サイトの構成変更にも柔軟に対 応可能。 不要 – 運用は全てクラウド側で実施するため、お客 様側ではWAF用のセキュリティ技術者は不 要。 – 従来同様のサーバ運営でOK。 従来型WAFは、理想的な脆弱性対策の一つとしての機能は果たすが、 効果に比べ、コスト、運用負荷などが割高になっている 51
- 52. シマンテック クラウド型WAFの優位性 検知精度 インバウンドとアウトバンドの双方向のトラフィックを見て攻撃ブロック・モニターの判断するため、高い検知精 度を保ちながら、誤検知を押さえる事ができます。主なIPSでは、インバウンドのパターンマッチングでの対応 になるため、検知精度を上げると誤検知が増える恐れが有ります。 また、戻りのトラフィックをチェックすることで、 CGIやDBが吐くエ ラーを外部に出しません。 ①インターネット上をクロール ②検索でエラーコード を入力 シグネチャの専門性 WAFは攻撃だけでなくエラー コードの流出も防ぎます CGI/DBエラー ③攻撃 新たな攻撃に対応する際に、シグネチャとプログラムの両方の改善で対応できるWAFです。また、クラウドセ ンターで検知した新たな攻撃をクラウド上の全顧客に対し適用することが出来ます。 運用をアウトソース 新たな攻撃へのシグネチャ追加とチューニングを完全にアウトソースするためウェブセキュリティとウェブテクノ ロジの知識がなくても利用ができます。 52
- 53. WAFの運用 • 運用ポリシーの設定 最も重要なポイントは、 導入することよりも、 “運用し続けること” 出展;独立行政法人 情報処理推進機構 「Web Application Firewall 読本」 http://www.ipa.go.jp/security/vuln/waf.html 53
- 54. 「不正ログイン」の抑制機能 • パスワードリスト攻撃の影響を最小限に抑えるため、同じIPレ ンジからの同処理の通信回数をウオッチするとともに、その通 信がログインの処理かどうかを判別する機能を搭載しました。 シマンテック クラウド型WAF Block ログイン ユーザー名 パスワード OK 攻撃者 同一IPアドレスからの通信回数チェック ログインの処理かどうかを判別 昨今の「不正ログイン」による情報漏洩対策として有効です! 54
- 55. WAFサービス1ヶ月お試しサービス シマンテック クラウド型 WAFの1ヶ月トライアル提供開始 導入パターン 詳細内容 条件 hosts型 お客様のPCのhosts設定を変更することで、自社サイトにWAFサービス経由でアクセスが可 能になります。また、管理画面へのアクセス権を付与します。 hosts設定変更したPCだけが、WAFサービスを経由するため、簡易なテストになりますが、 すぐにご利用できます。 1ヶ月間のみ FQDN数は1まで ※hostsファイルの設定は、PCの管理者権限が必要となります。 ※インターネットを利用する際に、プロキシーサーバを経由されている場合、hostsファイルの設定が反 映されませんので、プロキシを利用しない環境でテストをしてください。 お客様の自社ドメイン管理のDNS設定を変更(CNAME追加)することで、自社サイトにWAF サービス経由でアクセスが可能になります。また、管理画面へのアクセス権を付与します。 一般のエンドユーザからのアクセスが、WAFサービスを経由するため、詳細なテストが可能 です。不正アクセスを防御しないモニターモードがご利用できますので、正常通信を妨げるこ とはありません。 なお、WAFサービス側にSSLサーバ証明書(2ライセンス)が必要です。 DNS型 お客様 1ヶ月間のみ 帯域は5Mpbsを上限 FQDN数は1まで お客様Webサーバ Windowsのhostsファイル 200.0.0.1にリダイレクト 100.0.0.1 www.abc.com hosts型 WAF www.abc.com のIPアドレス は? DNS型 200.0.0.1 100.0.0.1 DNS www.abc.com 200.0.0.1にリダイレクト 100.0.0.1です※ WAF ※実際は、DNSのCNAME設定が必要です。 お申込方法 Web申込 https://www.verisign.co.jp/waf/ もしくは、弊社担当までご連絡ください。 55
- 58. ご参考資料 Webアプリケーション脆弱性診断項目 脆弱性の多くはこれらの組み合わせで発生します。また、名称のついていないものも存在します。 独自診断ツールと共に専門技術者による手動診断によりこれらの脆弱性を検出します。 脆弱性区分 認証 承認 クライアント側での攻撃 コマンドの実行 情報公開 ロジックを狙った攻撃 (Logical Attack) 脆弱性名 総当り 不適切な認証 パスワード復元の検証の強度 セッションの推測 不適切な承認 セッションの固定 クロスサイトスクリプティング 偽コンテンツ CSRF(Cross Site Request Forgeries) バッファオーバーフロー 書式文字列攻撃 LDAPインジェクション OSコマンドインジェクション SQLインジェクション SSIインジェクション XPathインジェクション ディレクトリインデクシング ソース記載による情報漏えい パストラバーサル リソース位置の推測 機能の悪用 リダイレクタ 不適切なプロセスの検証 手動診断でな いと検出でき ない脆弱性 58