HOMEIPAについて新着情報プレス発表 「安全なウェブサイトの作り方 改訂第7版」を公開

本文を印刷する

IPAについて

プレス発表 「安全なウェブサイトの作り方 改訂第7版」を公開

~パスワードリスト攻撃への悪用防止対策等を新たに追加~

2015年3月12日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江一正)は、ウェブサイトの開発者や運営者向けの「安全なウェブサイトの作り方」にパスワードリスト攻撃への悪用防止対策等を新たに追加した改訂第7版を2015年3月12日(木)からIPAのウェブサイトで公開しました。

 URL:https://www.ipa.go.jp/security/vuln/websecurity.html


 IPAでは、必要な技術的配慮が不足していたために起こるウェブサイトの情報漏えいや改ざん等、意図しない被害を防ぐため「安全なウェブサイトの作り方」を2006年から発行しており、これまでに6版を数えています。その内容には、IPAへの届出件数が多く攻撃による影響度が大きいソフトウェア製品やウェブアプリケーションに関する脆弱性関連情報を取り上げ、適切なセキュリティが考慮されたウェブサイト作成のためのポイントをまとめています。
 7版となる今回の改訂では、DNS(*1)を狙った攻撃やパスワードリスト攻撃、クリックジャッキング攻撃(*2)など、前回改訂の2012年以降問題となった攻撃、および新たな手口への有効な対策を追加しています。また、今回は保存している利用者等のパスワードの漏えいに備える対策を提示しています。
 パスワードリスト攻撃では、例えばA社のウェブサービスから漏えいしたパスワードがB社やC社などの他のサービスで悪用されているという指摘があります。そのためパスワードをそのままで保存していると、漏えいした場合に即攻撃に悪用される可能性があります。また、ハッシュ値(*3)にして保存していたとしても、予めパスワードに使用される可能性のある文字列のハッシュ値をリスト化し、高速にパスワードを復元する手口の存在が確認されていることから万全とはいえない状態でした。そのため7版ではパスワードを“ソルト”と呼ばれる文字列を付加して計算したハッシュ値(「ソルト付きハッシュ値」)にし、見かけ上のパスワードを長くすることで、パスワード復元までの時間を非現実的な長さに延ばすことを推奨しています。この対策により、万が一パスワードが漏えいしても、復元が困難なためパスワードリスト攻撃等への悪用防止効果が期待できます。

 その他、7版ではバッファオーバーフローやクロスサイト・スクリプティングの脆弱性の対策等を加筆しています。

ウェブサーバにおけるパスワードの保管方法例

ウェブサーバにおけるパスワードの保管方法例の画像

主な改訂内容

区分 項目 改訂内容
新規追加 1章 クリックジャッキング 脆弱性の概要、対策
新規追加 バッファオーバーフロー 脆弱性の概要、対策
新規追加 クロスサイト・スクリプティング ブラウザのセキュリティ機構を有効にする保険的対策
内容更新 入力値の内容チェックによる保険的対策
内容更新 2章 DNSに関する対策 DNSサーバーの設定や運用時の注意点
内容更新 ネットワーク盗聴への対策 通信経路の暗号化の解説
新規追加 パスワードに関する対策 パスワードの保管方法の解説

脚注

(*1):Domain Name Systemの略で、コンピュータがネットワークのどこに接続されているかを示すIPアドレスという数字の集まりを、www.ipa.go.jp のような人に覚えやすいドメイン表記と対応させるための情報を管理する仕組み

(*2):ユーザーを視覚的にだまして、別のウェブページのコンテンツを誤ってユーザーに操作させる攻撃

(*3):ハッシュ関数により求められる固定長のデータ。ハッシュ値から元の文字列を求めることが難しいという特性を持つ

プレスリリースのダウンロード

資料のダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 谷口/扇沢

Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 横山/白石

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。