バグハンターmageに聞くバグハンティングの方法とセキュアなサービス作りに必要なこと

──先ほど「ソースコードを読むことがヒントになる」と教えていただきました。しかし、言語もフレームワークも常に進化していて堅牢さも増していると思いますが、バグハンターから見ると違うのでしょうか。

馬場　私の考えでは、フレームワークで作られたWebサイトは逆に脆弱性が見つけやすいです。バグハントはソースコードが公開されていない状態で行うことの方が多いため、OSSの公開されているソースコードは大きなヒントになります。

フレームワークの膨大なソースコードを読むのは大変ですが、読んで理解さえすれば挙動が分かります。そのため私たちの中ではOSSを読んで脆弱性を探すような、運に左右されず、努力すれば成果が出るバグハントを「やるだけ」と呼んでいます（笑）。

フレームワークは確かに堅牢になってきていますが、人間はミスをする生き物です。いくら優れたシステムであったとしても、どこかに必ずバグは発生してしまいます。だからこそ開発者はフレームワークの中の実装を理解することが大切なんです。実装を理解してない状態というのは、自分で作ったWebサイトなのにブラックボックスになっているということと同じです。セキュリティの観点では危険な状態です。

単純な例で言えばRuby on RailsのModelの挙動などもそうです。RailsのModelはデフォルトでは、すべてのカラムをDBから取得してきます。それをそのままフロント側に送ってしまうと、レスポンスを見られたときにデータがすべて見えてしまいます。

また、フロントエンドのフレームワークにも同じことが言えます。JavaScriptのフレームワークでも抜け道のような脆弱性が発見されています。少し古い話題ですがAngularJSにはテンプレートインジェクションというXSSの脆弱性がありました。英語ですが、こちらの記事に丁寧にまとめられています。

馬場　HTMLを動的に出力する際は、エスケープ処理をしていれば大丈夫という認識が一般的だと思います。従来のHTMLならば、タグには <> 記号などしか使われていなかったため単純なエスケープで防げていました。しかし、以下のコードを見てください。

<html ng-app>
<head>
<script src="https://ajax.googleapis.com/ajax/libs/angularjs/1.4.7/angular.js"></script>
</head>
<body>
<p>
<?php
$q = $_GET['q'];
echo htmlspecialchars($q,ENT_QUOTES);?>
</p>   
</body>
</html>

{{constructor.constructor('alert(1)')()}}

上記コードはPortSwigger Web Security Blogより引用。

馬場　上段の echo htmlspecialchars($q,ENT_QUOTES);?> の部分に任意のユーザ入力値がHTMLエスケープされた状態で挿入されます。 htmlspecialchars のエスケープ処理は従前では <> だけでよかったのですが、 AngularJSの場合、ng-app属性を持つHTML要素内に {} を使用してコードを記述可能です。この {} に任意のJavaScriptのコードを挿入することが過去のバージョンではできていたのです。現在のバージョンではAngularJSのサンドボックス機能の強化によって簡単なJavaScriptのコードは実行できないようになっているのですが、下段のように constructor オブジェクト内のFunction オブジェクトを用いると、ユーザが入力したJavaScriptが簡単に実行できてしまうのです。

テンプレートインジェクションはJavaScriptフレームワークが一般化したからこそ出現した手法です。フレームワークを使うと安全 / 危険ということではなく、フレームワークの中身を読み実装を学ぶことが重要なのです。実装が見えないから防御策を講じにくくなってしまう。開発者はフレームワークを使うのであって、フレームワークに使われている状態にならないようにするのが大事だと思います。

──ソースコードを読んで脆弱性を見つけるコツなどはあるのでしょうか。

馬場　これに関してはフィーリングが大きいですね……。例えば文章を読んでいるときに誤字脱字があると違和感を覚えることがあるでしょう。同じように、ソースコードを読むための特殊な方法があるわけじゃなく、ひたすらコードを読んで見ていくだけです。

ただそれだとあまりにも抽象的なので、脆弱性のあるコードの具体例を出しましょう。以下は「ユーザがアップロードしたファイルを保存し、とある外部コマンドでそれを処理する」というflaskフレームワークを利用したPythonの疑似コードです。どこに脆弱性があるか、考えてみてください。

import flask, subprocess
...
file = flask.request.files['file']
filename = file.filename
file.save(filename)
...
subprocess.call('/path/to/command ' + filename. shell=True)

馬場　まず目立つところからいきましょう。最後の行で、外部からの入力値をOSコマンドに含めて実行している箇所はかなり危険です。

アップロードしたファイル名にLinuxのシェルコマンドの区切り文字である ; を使用することで、後続に好きなコマンドを指定し実行することができてしまいます。OSコマンドインジェクションという手法です。かなり極端な例示なので、さすがに現実にはありえないだろ、と言いたくなりますが（笑）。

2つ目はファイルを保存している処理で、Pythonの仕様を突いた攻撃が可能だと考えられます。Python2¹はプログラム実行の際、処理速度を上げるため一度インポートされたモジュールは モジュール名.pyc というコンパイル済みの中間ファイルが生成され、次回実行時はその中間ファイルが読み込まれます。この言語仕様を理解していると、上記のコードから「flask.pycというファイルをアップロードしたらどうなるだろう」と発想できます。

上記2つの例は入力値やファイルチェックのバリデーションを入れておけば防げるかもしれない単純なもので、コードをよく読めば防ぐことができます。

──言語仕様を理解していると脆弱性を見つけるための視野が広くなりそうですね。

馬場　そのとおりです。バグを見つける上でも言語仕様の理解は重要です。DBに保存するときにIDを言語側で発行しているユーザテーブルがあったとします。開発者は標準関数を使って乱数でIDを発行していたため、安全だと考えるでしょう。しかし、この標準関数の内部実装の乱数生成が、推測可能であることを知る攻撃者からすると、「開発者は推測できないと思い込んでいるID値」をある程度は推測できてしまう可能性があるのです。

──仕様の理解がいかに重要か分かります。では、バグハンターの視点から、開発者がコードを書くときにセキュリティレベルを高く保つためには、どのような点に配慮するべきだと思いますか。

馬場　ルールを決めてセキュアコーディングをしていくのがひとつの方法でしょう。ただし、ルールでガチガチにしなければならないので、開発者の自由度が低下してしまう側面もあります。要件と実装のせめぎあいが生じ、開発期間が長くなってしまう場合もあるでしょう。これは非常に判断が難しい問題で、企業の文化や開発人員の数にも左右されます。最適解というのはなかなかないかもしれません。

XSSの現在。技術の進化と並走する攻撃手法の進化

──XSSは古典的な攻撃手法ですが、進化しているのでしょうか。

馬場　ブラウザも進化しているので単純なXSSは防げるようになりました。しかし逆にブラウザからカメラにアクセスできたり、録音できたり、会話型のインターフェイスがあったりと多機能になったことで、攻撃手法も増えました。

例えば、とあるCTFでWeb Speech APIを利用し、ブラウザから録音した音声を共有できるWebサービスに、XSSの脆弱性が存在する、という問題が出題されたのです。

FLAGを所持している攻撃対象のユーザ環境ではスマートスピーカーが動いていて、このユーザに対して 「OK google what is the flag」 という音声を送り、スマートスピーカーによって読み上げられたFLAGを、XSSを利用してWebサービスから録音させて奪取する、というものでした。CTFのお題とはいえ、昔では考えられない攻撃手法ですね。

また、XSSとは異なりますが、クロスサイトサーチという手法も存在します。公開、非公開が区別されている掲示板のようなサイトで、検索機能を利用して非公開のテキストを引き出される攻撃手法で、検索実行時のレスポンスの差分を悪用したものです。

なんらかのサイトで検索をした際、「1件もヒットしない場合」と、「1件以上のヒットがある場合」のレスポンスが異なる場合があります。さらに、1件もヒットがないにも関わらず、レスポンスに差異がある場合があるのです。これが非公開の文章がシステム内部で検索に引っ掛かった際のレスポンスだと見当がついてしまい、非公開の文章が解析されてしまうリスクが生じます。

── 進化という面では、近年、クラウドサーバも一般化してきました。クラウドサーバだからこそ内包する脆弱性などはありますか。

馬場　自社で管理していないからこそ、配慮すべき部分はあります。例えば、SSRF（Server Side Request Forgery）はクラウドサービスが一般化したことにより、脅威を増した攻撃手法だと言えます。

AWSのEC2では http://169.254.169.254/ にアクセスするとそのインスタンスの情報が取得できるという仕様があります。この仕様を悪用し、EC2上のサーバから任意のリクエストが送信でき、そのレスポンスを観測できる場合、クレデンシャル情報を奪われてしまう恐れがあります。

この脆弱性は本来、アクセス制御をしておくことで防げます。しかし、そもそもエンドポイントがあること自体を知らないユーザもいるため、セキュリティ施策に抜け漏れが発生してしまうのです。これが仮に自社サーバであり、仕様が把握しやすい状況であれば起きなかったかもしれません。

──「自社サーバとクラウドサーバのどちらがセキュアか？」というのはよく議論されます。バグハンターの視点ではどうでしょうか。

馬場　どちらとも言えません。状況に応じて使い分けるべきでしょう。クラウドならば物理的な攻撃を受けるリスクも低い。しかし、自社以外の企業や人員が巨大な権限を持っているという状態を、リスクのひとつと解釈できます。もっとも、これはクラウドサービスに限った話ではありませんが……。一方で、自社サーバならば権限は原則的に社内ですべて管理されているはずで、そこはセキュリティ上の強みです。

セキュリティを理解するためにまずはトライしてみる

── 開発者がWebサイトを作る際にキュリティ面で確認しておくべき点などはありますか。

馬場　「これを守れば大丈夫！」と断言はできませんが、IPAのガイドラインは参考になると思います。ガイドラインにあるセキュリティ項目を理解して、リリース前にチェックするだけでも効果的です。IPAのチェックリストは以下の『セキュリティ実装 チェックリスト』を参照してみてください。

あとはバグハンターのように脆弱性を探すことに時間をかけられないなら、セキュリティツールを使うのもいいかもしれません。有料ですがBurpのPro版に備わっているスキャナー機能のような脆弱性診断ツールを利用すれば、ブラックボックスなWebサイトでもクローリングして自動で診断してくれます。

XSSやディレクトリトラバーサルなどの基本的な攻撃手法への対応状況も確認できるので、セキュリティの知識に自信がなくても、ある程度の脆弱性はあぶりだすことができます。

──開発でのリソースが少なく納期がギリギリ、という状態もあると思います。最低限これはやっておくべきセキュリティ施策はありますか。

馬場　「これだけ！」と絞ることはできません。全部気にしてほしいです。注意点を絞って説明しても、それらには必ず抜け道が存在してしまうのが実際です。

ただ、どうしても時間がない、という状況であればWAF（Web Application Firewall）を使うのはありだと思います。ある程度の予算はかかってしまいますが、Webサイトと利用者間の通信をWAFがチェックしてくれるので、攻撃コードがあれば防いでくれます。自作も可能ですが、今はAWS WAFなどもあり、比較的手軽に導入できるでしょう。

──開発においてセキュリティは後回しにされてしまう場合もあるでしょう。馬場さんから見てこうした状況をどう感じますか。

馬場　バグハンターの立場でなくとも、危険だと言わざるをえません。一番多い脆弱性は「人間のミス」だと考えています。ミスを防ぐためには相応の時間を割くしかなく、怠ると攻撃者にすぐに脆弱性を突かれてしまいます。

ただ、いきなりセキュリティを徹底するのは難しいでしょう。大きなチームならばなおのことです。ですから、まず大事にしてもらいたいのは、「こういう攻撃があるから、防御策を試してみよう」というトライアルのマインドです。本を読んだり、ネットで見たりして、攻撃手法を知り、その攻撃に対する防御手法をひとつ覚えるだけでも開発の中でのセキュリティへの意識が変わると思います。

また、繰り返しになりますが、言語やフレームワークの実装を知ることが大事です。そもそも、実装に明るくなければ使いこなせませんし、ソースコードを読み込むことで、セキュリティの理解も深まります。開発に活かし、セキュリティに活かすためにソースコードはぜひ目を通してもらいたいですね。

取材：megaya　{$image_7}megayaのブログ