EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

IPA、「安全なウェブサイトの作り方 改訂第7版」でパスワードリスト攻撃対策等を追加

  2015/03/12 16:20

 情報処理推進機構(IPA)は、ウェブサイトの開発者や運営者向けの「安全なウェブサイトの作り方」にパスワードリスト攻撃への悪用防止対策等を新たに追加した改訂第7版を3月12日からIPAのウェブサイトで公開した。

 IPAでは、必要な技術的配慮が不足していたために起こるウェブサイトの情報漏えいや改ざん等、意図しない被害を防ぐため、2006年から「安全なウェブサイトの作り方」を発行しており、今回第7版が公開された。

 「安全なウェブサイトの作り方」では、IPAへの届出件数が多く攻撃による影響度が大きいソフトウェア製品やウェブアプリケーションに関する脆弱性関連情報を取り上げ、適切なセキュリティが考慮されたウェブサイト作成のためのポイントをまとめている。

 今回の改訂では、DNSを狙った攻撃やパスワードリスト攻撃、クリックジャッキング攻撃など、前回改訂の2012年以降問題となった攻撃、および新たな手口への有効な対策を追加した。また、今回は保存している利用者等のパスワードの漏えいに備える対策を提示している。

 パスワードリスト攻撃では、たとえば、A社のウェブサービスから漏えいしたパスワードがB社やC社などの他のサービスで悪用されているという指摘があり、パスワードをそのままで保存していると、漏えいした場合に即攻撃に悪用される可能性がある。

 また、ハッシュ値にして保存していたとしても、予めパスワードに使用される可能性のある文字列のハッシュ値をリスト化し、高速にパスワードを復元する手口の存在が確認されていることから万全とはいえない状態だという。

 そのため、第7版ではパスワードを「ソルト」と呼ばれる文字列を付加して計算したハッシュ値(ソルト付きハッシュ値)にし、見かけ上のパスワードを長くすることで、パスワード復元までの時間を非現実的な長さに延ばすことを推奨している。

 この対策により、万が一パスワードが漏えいしても、復元が困難なためパスワードリスト攻撃等への悪用防止効果が期待できるとしている。

 その他、第7版ではバッファオーバーフローやクロスサイト・スクリプティングの脆弱性の対策等を加筆しているという。

関連リンク

著者プロフィール

  • EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

    「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。


All contents copyright © 2007-2020 Shoeisha Co., Ltd. All rights reserved. ver.1.5