OWASP Top 10 Webアプリケーション セキュリティ脆弱性

OWASP Top 10とは?

OWASPは、Webアプリケーション、API、モバイルデバイスなど、さまざまなシステムに存在する最も一般的な脆弱性を説明する多くのリソースを開発しました。 その中でも最も有名なのはOWASP Top Tenで、本番環境のWebアプリケーションに見られる最も一般的で影響の大きい10の脆弱性を説明しています。 このリストは、セキュリティテストデータと業界内の専門家の調査の組み合わせに基づいて、数年ごとに更新されます。

OWASP Top 10リストの最新バージョンは、2021年にリリースされました。 このリソースでは、最も一般的な脆弱性、各種類の例、それらを防ぐための最善策、および脆弱性が悪用される方法の説明を提供します。 さらに、各脆弱性には、脆弱性の特定のインスタンスを説明する関連する脆弱性の共通脆弱性列挙(CWE)仕様への参照が含まれています。 たとえば、ハードコードされたパスワード (CWE-259) の使用は、OWASP Top Ten List 内の識別および認証の失敗の脆弱性に該当します。

OWASP の主な脆弱性

最新バージョンの OWASP Top Ten には、以前のバージョンからいくつかの変更が加えられています。 2021 年のリストには、次の脆弱性が含まれています。

1. アクセス制御の不備
2. 暗号化の失敗
3. 注射
4. 安全でない設計
5. セキュリティの設定ミス
6. 脆弱で古いコンポーネント
7. 識別と認証の失敗
8. ソフトウェアとデータの整合性の障害
9. セキュリティ ログと監視の失敗
10. サーバーサイドリクエストフォージェリ

これらのうち、4つの脆弱性(4、8、および10)はまったく新しい脆弱性であり、4つはランキング以外は変更されておらず、残りは以前のバージョンのリストからカテゴリを統合または名前変更しています。

#1.アクセス制御の不備

アクセス制御システムは、正当なユーザーのみがデータまたは機能にアクセスできるようにすることを目的としています。 アクセス制御の不備カテゴリの脆弱性には、攻撃者がアクセス制御をバイパスできる問題や、最小特権の原則を実装できない問題が含まれます。 たとえば、Web アプリケーションでは、指定された URL を変更することで、ユーザーが別のユーザーのアカウントにアクセスできるようにすることができます。

#2.暗号化の失敗

暗号化アルゴリズムは、データのプライバシーとセキュリティを保護するために非常に貴重です。ただし、これらのアルゴリズムは、実装エラーや構成エラーの影響を非常に受けやすい場合があります。 暗号化の失敗には、暗号化をまったく使用できない、暗号化アルゴリズムの構成ミス、安全でないキー管理などがあります。 たとえば、組織では、パスワードの保存に安全でないハッシュ アルゴリズムを使用したり、パスワードのソルト処理に失敗したり、保存されているすべてのユーザー パスワードに同じソルトを使用したりする可能性があります。

#3.注射

インジェクションの脆弱性は、ユーザー入力を処理する前に適切にサニタイズしないことで可能になります。 これは、データとコマンドが混在している SQL などの言語では特に問題になり、悪意のある形式のユーザー提供データがコマンドの一部として解釈される可能性があります。 例えば、SQL では、通常、単一引用符 (') または二重引用符 (") を使用して照会内のユーザー・データを表すため、これらの文字を含むユーザー入力によって、処理中のコマンドが変更される可能性があります。

#4.安全でない設計

脆弱性は、開発プロセス中にいくつかの異なる方法でソフトウェアに導入される可能性があります。 OWASP Top 10 リストにある脆弱性の多くは実装エラーを扱っていますが、この脆弱性はシステムのセキュリティを損なう設計上の欠陥を示しています。 たとえば、機密データを保存および処理するアプリケーションの設計に認証システムが含まれていない場合、設計どおりにソフトウェアを完全に実装しても安全ではなく、この機密データを適切に保護できません。

#5.セキュリティの設定ミス

アプリケーションのセキュリティは、その設計と実装に加えて、その構成方法によっても決まります。 ソフトウェアの製造元にはアプリケーションの既定の構成があり、ユーザーはさまざまな設定を有効または無効にすることもでき、システムのセキュリティを向上または損なう可能性があります。 セキュリティの構成ミスの例としては、不要なアプリケーションやポートを有効にする、既定のアカウントとパスワードをアクティブにして変更しないままにする、ユーザーに公開する情報が多すぎるようにエラー メッセージを構成するなどが挙げられます。

#6脆弱で時代遅れのコンポーネント

サプライチェーンの脆弱性は、特に脅威アクターが一般的に使用されるライブラリやサードパーティの依存関係に悪意のあるコードや脆弱なコードを挿入しようとするため、近年、大きな懸念事項として浮上しています。 組織がアプリケーション内で使用されている外部コード(ネストされた依存関係を含む)を可視化できず、依存関係のスキャンに失敗した場合、悪用に対して脆弱になる可能性があります。 また、これらの依存関係にセキュリティ更新プログラムを迅速に適用しないと、悪用可能な脆弱性が攻撃にさらされる可能性があります。 たとえば、アプリケーションは、既知の悪用可能な脆弱性を含む可能性のある独自の依存関係を持つサードパーティのライブラリをインポートする場合があります。

#7.識別と認証の失敗

多くのアプリケーションやシステムでは、ユーザーがアプリケーションに対して自分の ID を証明したり、TLS 暗号化接続を設定するときに ID を検証するデジタル証明書をユーザーに提供するサーバーなど、何らかの形式の識別と認証が必要です。 識別と認証の失敗は、アプリケーションが脆弱な認証プロセスに依存している場合、または認証情報を適切に検証できない場合に発生します。 たとえば、 多要素認証 (MFA) がないアプリケーションは、攻撃者が脆弱な資格情報、一般的な資格情報、既定の資格情報、または侵害された資格情報の一覧からユーザー名とパスワードの組み合わせを自動的に試行する資格情報スタッフィング攻撃に対して脆弱である可能性があります。

#8.ソフトウェアとデータの整合性の障害

OWASP Top 10リストのソフトウェアとデータの整合性の失敗の脆弱性は、SolarWindsのハッキングを可能にしたものと同様の、組織のDevOpsパイプラインとソフトウェア更新プロセスのセキュリティの弱点に対処します。 この脆弱性クラスには、信頼できないソースやリポジトリからのサードパーティコードへの依存、 CI/CDパイプラインへのアクセスの保護の失敗、自動的に適用された更新プログラムの整合性の適切な検証の失敗が含まれます。 たとえば、攻撃者が信頼されたモジュールまたは依存関係を変更されたバージョンまたは悪意のあるバージョンに置き換えることができる場合、その依存関係でビルドされたアプリケーションは悪意のあるコードを実行したり、悪用に対して脆弱になったりする可能性があります。

#9.セキュリティ ログと監視の失敗

Security Logging and Monitoring Failures は、調査の回答から派生した最初の脆弱性であり、前回のリストの 10 位から順位を上げました。 多くのセキュリティインシデントは、アプリケーションが重大なセキュリティイベントのログ記録に失敗したり、これらのログファイルが適切に監視および処理されなかったりすることで、有効になったり悪化したりします。 たとえば、アプリケーションがログ ファイルを生成しなかったり、重要な情報が不足しているセキュリティ ログを生成したり、これらのログ ファイルがコンピューター上でローカルにしか使用できず、インシデントが検出された後の調査にのみ役立つ場合があります。 これらの障害はすべて、潜在的なセキュリティインシデントを迅速に検出し、リアルタイムで対応する組織の能力を低下させます。

#10. サーバーサイドリクエストフォージェリ

サーバーサイドリクエストフォージェリ(SSRF)は、一般的なカテゴリではなく、非常に具体的な脆弱性または攻撃を説明するため、OWASP Top 10リストにリストされている脆弱性の中では珍しいものです。 SSRFの脆弱性は比較的まれです。ただし、攻撃者によって特定され、悪用された場合は、大きな影響があります。 Capital Oneのハッキングは、SSRFの脆弱性を悪用した最近の大きな影響の大きいセキュリティインシデントの一例です。

SSRFの脆弱性は、Webアプリケーションが、ユーザーから提供されたURLを、そのURLにあるリモートリソースを取得するときに適切に検証しない場合に発生する可能性があります。 この場合、この脆弱性を悪用した攻撃者は、脆弱なWebアプリケーションを使用して、攻撃者が細工したリクエストを指定されたURLに送信する可能性があります。 これにより、攻撃者はファイアウォールなどのアクセス制御をバイパスでき、攻撃者からターゲットURLへの直接接続をブロックしますが、脆弱なWebアプリケーションへのアクセスを提供するように構成されています。