5.1 Web ブラウジングのセキュリティ

データ参照：CISP公式 

目次

• Web アプリケーションの基本
• ブラウザが直面するセキュリティの脅威
• Web 閲覧のセキュリティに対する十分な認識を養う
• ブラウザを安全に使用する方法

1. Web アプリケーションの基本

1. Webアプリケーションの基本概念

Web (World Wide Web) ワールドワイドウェブとも呼ばれる

• スタンドアロンから外れて
• Web アプリケーションはインターネット上で非常に重要な位置を占めています
• Web アプリケーションの開発: Web1.0-->Web2.0-->Web3.0-->......

 

• Web 1.0 : Web 1.0 時代は、主に静的な Web ページを中心とした Web の初期段階であり、ユーザーは受動的に情報を閲覧して取得することしかできず、コンテンツの作成や変更に積極的に参加することはできません。

• Web 2.0 : Web 2.0 は、ユーザーの参加と対話を重視したインターネットのさらなる発展を示しています。ユーザーは、ソーシャル メディア、ブログ、オンライン フォーラム、その他のプラットフォームを通じてコン​​テンツを作成および共有し、よりオープンで協力的なネットワーク環境を形成できます。

• Web 3.0 : Web 3.0 は、「セマンティック Web」としても知られる Web の将来の発展のビジョンです。インターネット上の大量のデータを統合し、人工知能や機械学習などのテクノロジーを使用して、よりインテリジェントでパーソナライズされたサービスとエクスペリエンスをユーザーに提供することを目的としています。Web 3.0 の目標は、よりインテリジェントなインターネットを実現し、コンピュータがより多くの情報を理解して処理できるようにすることです。

Web 3.0 はまだ開発段階にあり、完全には実現されていないことに注意してください。テクノロジーが進歩し続けるにつれて、さらに新しい Web アプリケーションやテクノロジーが登場する可能性があります。

2. Webアプリケーションシステムのアーキテクチャ

広く使用されているブラウザ/サーバー アーキテクチャ (B/S)

3. Webアプリケーションシステムセキュリティのブレークスルーポイント

• Web セキュリティの問題はますます顕著になっています
• ブラウザのセキュリティ問題は、最も一般的なセキュリティ侵害です。

2. ブラウザが直面するセキュリティの脅威

1. XSSクロスサイトスクリプティング攻撃

基本的な考え方

• クロスサイト スクリプティングは、Web サイトがユーザー入力を処理する方法の脆弱性を悪用する一般的な Web セキュリティの脅威です。攻撃者は、影響を受ける Web ページに悪意のあるスクリプトを挿入し、その Web ページを訪問する他のユーザーにそのスクリプトを渡すことで、これを行うことができます。
• スクリプトには、JavaScript、Java、Vbscript、Activex、Fash、さらには通常の HTML ステートメントも含まれます 
• クロスサイト スクリプティング攻撃の目的は、Web サイトのセキュリティ メカニズムをバイパスし、悪意のあるスクリプトを Web ページに挿入し、他のユーザーがその Web ページを閲覧したときにそのスクリプトを実行することです。悪意のあるスクリプトは、機密性の高いユーザー情報の窃取、ユーザー セッションのハイジャック、Web ページ コンテンツの変更など、さまざまなアクションを実行する可能性があります。

攻撃原理

• 反射攻撃: 反射攻撃では、攻撃者は悪意のある URL を構築し、悪意のあるスクリプトを含むパラメータをターゲット ユーザーに送信します。ユーザーが悪意のあるコードを含む URL にアクセスすると、Web サイトは URL からパラメータを抽出して応答ページに挿入し、悪意のあるスクリプトが実行されます。このタイプの攻撃では、通常、ユーザーが特定の悪意のあるリンクをクリックして攻撃をトリガーする必要があります。
• ストレージ タイプ: ストレージ タイプの攻撃では、攻撃者は悪意のあるスクリプトまたは悪意のあるデータをターゲット Web サイトのデータベースまたはその他のストレージ メディアに保存します。他のユーザーが悪意のあるスクリプトを含む Web ページにアクセスすると、悪意のあるスクリプトがサーバーから取得されて実行されます。ストレージベースの攻撃は、1 人の被害者だけでなく、複数のユーザーを危険にさらす可能性があります。
• DOM タイプ: DOM タイプの攻撃では、攻撃者は Web ページのクライアント側スクリプト (通常は JavaScript) のコード処理の脆弱性を悪用します。攻撃者は、ドキュメント オブジェクト モデル (DOM) の構造とプロパティを操作して、悪意のあるスクリプトを実行させます。リフレクション攻撃やストレージ攻撃とは異なり、DOM 攻撃はサーバーの応答には依存しませんが、クライアント側スクリプトの解析と実行の脆弱性を悪用します。

DBとは「DOM-based XSS」の略で、DOM型クロスサイトスクリプティング攻撃を指します。 

 

攻撃プロセス

反射型 XSS

1. 攻撃者は、悪意のあるスクリプトを含むリンクを構築します。
2. 攻撃者は、標的のユーザーに悪意のあるリンクを送信します。
3. ユーザーが悪意のあるリンクをクリックします。
4. ユーザーのブラウザは、リクエスト内のパラメータとして悪意のあるスクリプトを含むリクエストをサーバーに送信します。
5. サーバーはリクエストから悪意のあるスクリプトパラメータを取得し、それらを応答結果に反映します。
6. 応答はユーザーのブラウザに返されます。
7. ユーザーのブラウザは応答を解析し、その応答に含まれる悪意のあるスクリプトを実行します。

保存された XSS

1. 攻撃者は、悪意のあるスクリプト コードを標的の Web サイトのデータベースにアップロードします。
2. ユーザーが悪意のあるスクリプトを含むページにアクセスします。
3. データベースから取得した悪意のあるスクリプトが応答結果に含まれます。
4. ユーザーのブラウザは応答を解析し、その応答に含まれる悪意のあるスクリプトを実行します。

DOM型XSS

1. 攻撃者は、DOM 操作を通じて悪意のあるスクリプト コードを動的に挿入します。
2. ユーザーは、ボタンのクリックやフォームの送信など、悪意のあるスクリプトを含むイベントをトリガーします。
3. 変更された DOM 構造はブラウザによって再解析され、実行されます。
4. ブラウザが悪意のあるスクリプトを実行し、攻撃を引き起こします。

危害

• コマンドの実行: 悪意のあるスクリプトは、ユーザーのブラウザ環境で任意の JavaScript コードを実行する可能性があり、攻撃者が機密情報の取得、ページ コンテンツの変更、ユーザーを他の悪意のある Web サイトにリダイレクトするなどの不正な操作を実行できる可能性があります。

• ユーザー セッションのハイジャック: ユーザー セッションをハイジャックすることにより、攻撃者はユーザー ID を偽造し、ユーザー アカウントにアクセスし、スピーチの作成、個人情報の変更、金融取引の実行など、ユーザーの名前を使ってさまざまな活動を実行できます。

• 悪意のあるコンテンツの挿入: 攻撃者は、XSS 攻撃を通じて、影響を受ける Web サイトに広告、悪意のあるリンク、偽のフォームなどの悪意のあるコンテンツを挿入する可能性があります。これにより、ユーザーが騙されたり、悪意のあるリンクをクリックするように誘導されたり、機密情報が開示されたりする可能性があります。

• ユーザー アクセスのリダイレクト: 攻撃者は XSS の脆弱性を利用してユーザーを他の悪意のある Web サイトにリダイレクトする可能性があり、これにはフィッシング攻撃、マルウェアの拡散、またはユーザーの機密個人情報の開示の誘導が含まれる可能性があります。

• ユーザー セッション情報の窃取: XSS 攻撃を通じて、攻撃者はセッション ID、Cookie データなどのユーザー セッション情報を盗み、ユーザーのアクセス許可と認証資格情報を取得できます。

• 個人情報: 攻撃者は悪意のあるスクリプトを挿入して、個人を特定できる情報、クレジット カード番号、パスワードなどのユーザーの機密情報を盗む可能性があります。この情報は、個人情報の盗難、詐欺行為などの違法な目的に使用される可能性があります。

• 被害者のコンピュータへのワームやトロイの木馬のダウンロード: 一部の高度な XSS 攻撃では、ワーム、トロイの木馬、その他の悪意のあるプログラムなどの悪意のあるソフトウェアがユーザーのコンピュータにダウンロードされて実行され、攻撃者が被害者のコンピュータを完全に制御できるようになります。

2. クロスサイト リクエスト フォージェリ (CSRF)

基本的な考え方

• クロスサイト リクエスト フォージェリは、ユーザーとしてログインしている Web アプリケーションに対して意図しない操作を実行する攻撃手法です。
• 2017 年にリリースされた OWASP Top10 の新バージョンでは、CSRF は 8 位にランクされています。

攻撃原理 

• CSRF (クロスサイト リクエスト フォージェリ) は、サーバーを直接ターゲットにするのではなく、ユーザーになりすまして通常の操作を実行する攻撃です。
• この種の攻撃は通常、サーバーがリクエストを厳密にフィルタリングおよび検証しない場合に発生します。

CSRF 攻撃の一般的なフローは次のとおりです。

1. 被害者のログイン: 被害者はターゲット Web サイトにログインし、セッション認証情報 (Cookie など) がブラウザに保存されます。

2. 悪意のあるページまたはリンクの構築: 攻撃者は、悪意のある Web ページを作成するか、悪意のあるリンクを構築し、被害者を誘導してアクセスさせます。

3. 偽造リクエスト: 悪意のあるページには、ターゲット Web サイトへのリクエストが含まれています。このリクエストは通常​​、型破りな操作 (パスワードの変更、資金移動の開始など) であり、攻撃者は JavaScript またはその他の方法を通じてこのリクエストを自動的にトリガーします。

4. リクエストの送信: 被害者が悪意のあるページにアクセスすると、含まれているリクエストが被害者のブラウザで実行されます。被害者はターゲット Web サイトにログインし、有効なセッション資格情報を持っているため、ブラウザはこれらの資格情報を自動的に運び、ターゲット Web サイトにリクエストを送信します。ターゲット Web サイトは、リクエストが被害者自身によって送信されたかどうかを知ることができません。

5. 攻撃を完了する: リクエストを受信した後、ターゲット Web サイトはそれが被害者自身によって開始された正当なリクエストであると判断し、対応する操作を実行し、攻撃が成功します。

CSRF 攻撃を成功させるには、攻撃者が適切な脆弱性とターゲット Web サイトを見つける必要があることに注意してください。開発者は、ユーザーと Web サイトのセキュリティを保護するための防御措置を実装することで、CSRF 攻撃の成功率を下げることができます。

危害

ユーザー情報を変更する

• 個人情報の変更
• 配送先住所を変更する

悪意のある行為を実行する

• パスワードを変更する
• 偽の身分詐欺

3. ウェブページのぶら下がり馬

基本的な考え方

• Web ページ ハンギング ホースとは、トロイの木馬プログラムを搭載した Web ページを構築する攻撃者で、ブラウザから Web ページにアクセスすると、トロイの木馬がユーザーのシステムにダウンロードされ、システムの脆弱性、ブラウザの脆弱性、またはセキュリティの欠如を悪用して実行されます。ユーザーの認識を高め、ユーザーのシステムへの攻撃を実現します。

攻撃原理

Web ページ上のトロイの木馬 – 一般的な方法

• オペレーティング システムとブラウザの脆弱性の悪用: 攻撃者は、オペレーティング システムまたはブラウザの脆弱性を発見すると、これらの脆弱性を悪用して、悪意のあるコードを Web ページに挿入します。ユーザーが悪意のあるコードを含む Web ページにアクセスすると、悪意のあるコードがユーザーのコンピュータにダウンロードされて実行されます。

• サードパーティ コンポーネントの脆弱性の悪用: 攻撃者は、オペレーティング システムやブラウザ自体の脆弱性に加えて、Web ページで参照されているサードパーティ コンポーネント (プラグイン、拡張機能など) の脆弱性も悪用して、攻撃を実行します。これらの脆弱性は、Flash、Java、Adobe Reader などの一般的に使用されるコンポーネントに存在する可能性があります。

• ソーシャル エンジニアリング手法: 攻撃者は、フィッシング メール、欺瞞的な広告、またはユーザーに悪意のあるリンクをクリックさせるなどのソーシャル エンジニアリング手法を使用して、悪意のあるコードが埋め込まれた Web ページにユーザーを誘導する可能性があります。

ウェブ型トロイの木馬 - 危害

• 個人情報を盗む
• ディスクを書き換えてコンピュータシステムを破壊する

4. フィッシング

基本的な考え方

• フィッシング (フィッシング) とは、詐欺メール、テキスト メッセージ、ソーシャル メディア メッセージなどを使用して、ユーザーにリンクをクリックさせたり、機密の個人情報を提供させたりすることです。

フィッシング - 主な手口

• 虚偽の情報でユーザーを罠に陥れる電子メールを送信する
• 偽のオンライン バンキングやオンライン証券の Web サイトをセットアップし、ユーザー アカウントのパスワードを騙し盗みます
• 偽の電子商取引を利用した詐欺
• 携帯電話のテキスト メッセージ、QQ、WeChat を使用してさまざまな「フィッシング」を実行する
• トロイの木馬やハッキング技術を利用してユーザー情報を盗んだ上で盗難が行われる
• ユーザーの脆弱なパスワードなどの脆弱性を利用して、ユーザー アカウントとパスワードを解読し推測する

フィッシング - 攻撃ベクトルの割合

        2020 年の第 1 四半期には、疫病の影響でフィッシング攻撃がさらに深刻になり、より多くの人が自宅でインターネットを使用し、仕事、勉強、交流に電子メールやオンライン プラットフォームに依存するようになりました。攻撃者はこの機会を利用して、フィッシング攻撃の規模と頻度を増大させてきました。

• Ema (電子メール) 攻撃が 18% を占めました。電子メールは、フィッシング攻撃を広める最も一般的な方法の 1 つです。攻撃者は、正規の組織や個人を装ってフィッシングメールを送信し、被害者に悪意のあるリンクをクリックさせたり、悪意のある添付ファイルをダウンロードさせたり、機密の個人情報を提供させたりします。

• Web (Web ページ) 攻撃が 59% を占めます。攻撃者は、Web サイトを偽造したり、悪意のあるコードを挿入したりすることで、Web プラットフォームを使用してフィッシング攻撃を実行します。ユーザーが偽の Web サイトにアクセスすると、個人情報の入力やその他の不正行為の実行を求められる場合があります。

• モバイル サイバー攻撃が 23% を占める: スマートフォンやモバイル アプリの普及に伴い、攻撃者がフィッシング攻撃にモバイル プラットフォームを使用するケースも増えています。これには、ユーザーをだまして悪意のあるリンクをクリックさせたり、偽のモバイル アプリ、テキスト メッセージ、ソーシャル メディア メッセージを通じて機密の個人情報を提供したりすることが含まれます。

フィッシング - ケーススタディ

• 2018年に米国会計検査院から88万8,000米ドルが送金された
• これらのサイトはよく知られているようです www.1cbc.com www.1enove.com …
• 虚偽の商品販売情報を掲載する
• トロイの木馬がアカウントのパスワードを盗む
• 銀行のパスワードが脆弱なパスワードによってクラックされる 

3. Web 閲覧のセキュリティに対する十分な認識を養う

1. Web 閲覧のセキュリティについてよく認識する必要があるのはなぜですか?

• 情報セキュリティ攻撃の 75% はネットワーク層ではなくWeb アプリケーション層で発生しています
• Web アプリケーションが直面するセキュリティ リスクの中で、ブラウザのセキュリティ問題は最も一般的なセキュリティ ブレークスルー ポイントです。

2. Web ブラウジングに対するセキュリティ意識を高める方法

• Web の閲覧中にプライバシーの問題に注意する: Web ブラウザを使用するときは、Web サイトのプライバシー ポリシーとデータ収集の慣行に注意してください。信頼性の高いサイトを選択し、信頼できないサイトに個人情報を提供しないようにしてください。
• パスワード自動保存機能の使用には注意してください: ブラウザのパスワード自動保存機能の使用は、パスワード漏洩につながる可能性があるため推奨されません。代わりに、パスワード マネージャーを使用してパスワードを保存および管理し、安全に保管してください。
• Web ブラウジングにおける最小特権の原則: Web をブラウズするときは、ブラウザとプラグインに与えられる権限を最小限にする必要があります。潜在的なセキュリティ リスクを軽減するために、必要な権限のみを許可します。
• ログイン パスワードを安全に保つ: アカウントを安全に保つために強力なパスワードを使用し、定期的に変更します。推測しやすいパスワードの使用を避け、安全でないネットワーク環境ではアカウントにログインしないでください。
• 不明なリンクへの訪問の確認: 不明なリンクをクリックまたは訪問する前に、まず検証して確認してください。フィッシング、マルウェア、または詐欺攻撃を防ぐために、信頼できないリンクをクリックしないでください。
• Web サイトの出願情報に注意する: Web サイトにアクセスすると、Web サイトの出願情報を確認できます。これは、Web サイトの正当性と信頼性を判断するのに役立ちます。

4. ブラウザを安全に使うには

1. 閲覧データを消去する

ブラウザのキャッシュデータ

• 閲覧履歴
• ページ情報
• ダウンロード履歴
• クッキー
• ユーザー名/パスワードおよびその他のログインデータ
• フォームデータの自動入力
• ウェブサイトの設定
• 管理されたアプリケーションデータ

 

定期的に閲覧履歴を消去する習慣をつけましょう

2. 追跡を防止する

クッキーとは何ですか?

• Cookie は、ブラウザがユーザー情報やユーザー設定などの情報を保存するために使用するテキスト形式の小さなファイルです。
• 通常、アクセスした Web サイトの Cookie はブラウザの設定で確認できます。
• Cookieは通常暗号化されています

 

クッキーの役割

• 私であることを証明するには: 身元確認
• HTTP プロトコルの追加状態: 追加状態を通じて、サーバーは複数のリクエスト間で特定のクライアントの状態情報を維持できます。
• 根本的な原因は、ht プロトコルのステートレスおよびコネクションレスの問題を解決することです

一般に、Cookie は、Web ブラウジングおよびインタラクションにおける ID の証明、状態管理、パーソナライゼーション、データ分析およびプロモーションを実現し、ステートレスおよびコネクションレス HTTP プロトコルの問題を解決する役割を果たします。ただし、プライバシーとセキュリティを考慮し、関連する規制とベスト プラクティスを遵守する必要があります。 

Cookie のセキュリティリスク

• Cookie スプーフィング: 攻撃者は Cookie を偽造することで他のユーザーになりすます。これは、他のユーザーの Cookie 情報を盗むか、正規の Cookie を手動で作成することで実現できます。攻撃者が有効な Cookie を取得すると、だまされたユーザーのアカウントにアクセスし、不正なアクションを実行する可能性があります。

• Cookie の改ざん: 攻撃者は Cookie の内容を変更して、不正アクセスを取得したり、ユーザーの設定や環境設定を変更したりする可能性があります。攻撃者は、送信された Cookie データを傍受して変更することで、ユーザー ID、ロール、権限などを変更するなど、その値を改ざんして、より高い権限を取得したり、悪意のある操作を実行したりすることができます。

追跡を防ぐためのブラウザのセキュリティ設定

• シークレット モードでのサードパーティ Cookie の改ざんを防止する
• 終了時に Cookie とサイトデータを消去します
• ブラウザの「Do Not Track」リクエストを設定する
• 「サイト設定」でオプションを設定して、Web サイトの権限を制御します

3. パスワードの自動入力を避ける

• ブラウザの自動入力機能により、ユーザーが入力したログインパスワードを保存できます。
• コンピュータが安全で制御できない場合、自動入力機能を使用するとログイン情報が漏洩する危険性があります
• より重要な Web サイトのアカウントとパスワードは自動的に入力されるべきではなく、ましてやクラウドに保存されるべきではありません。
• 自動入力されたアカウントとパスワードを管理できる

  

4. プロキシサーバーの使用には注意が必要です

プロキシサーバーアクセスモード

プロキシ サーバー アクセス モードのセキュリティへの影響

• プロキシモードでは、ユーザーのアクセス情報をプロキシサーバー経由で処理する必要があります。
• プロキシ サーバーのセキュリティが保証できない場合は、可能な限り使用しないようにしてください。