CISA

CISAは本日、オーストラリアサイバーセキュリティセンター(ACSC)および米国家安全保障局(NSA)との共同勧告の中で、Webアプリケーションに影響を与える安全でない直接オブジェクト参照(IDOR)の脆弱性に関連する重大な侵害リスクについて警告した。

IDOR の脆弱性は、Web アプリ (または影響を受ける Web API を使用するアプリ) の欠陥であり、攻撃者が内部オブジェクトまたはリソースを直接参照することによって機密データにアクセスして操作できるようになります。

簡単に言うと、脆弱な Web アプリケーションは、ファイル、データベース、ユーザー アカウントなどの特定のリソースへのユーザー アクセスを正しく検証しません。

IDOR の脆弱性は、不適切な入力検証と承認チェックにより、攻撃者が使用を許可されていないリソースにアクセスできるようになり、不正アクセスやデータ侵害につながる可能性があるため、重大なセキュリティ リスクとみなされます。

NSAによると、IDOR の脆弱性は、次のようなあらゆる Web アプリに影響を与える可能性があります。

  • 組織にローカルに展開およびインストールされるオンプレミス ソフトウェア。
  • クラウドベースのアプリケーションに使用される Software as a Service (SaaS)。
  • クラウドベースのコンピューティング リソースに使用されるサービスとしてのインフラストラクチャ (IaaS)。
  • 組織のインフラストラクチャに固有のプライベート クラウド モデル。

ACSC、CISA、NSAは、Webアプリケーションを使用してシステムをIDOR脆弱性から保護するベンダー、設計者、開発者、組織に警告した

「これらの脆弱性は、データ侵害事件において悪意のある攻撃者によって頻繁に悪用され、その結果、数百万のユーザーや消費者の個人情報、財務情報、健康情報が侵害される結果となった」と3つの機関は述べた。

CISA IDOR の警告

本日のアドバイザリーは、IDOR 脆弱性の発生を減らすことを目的とした、ベンダー、開発者、エンドユーザー組織向けのさまざまなベスト プラクティス、推奨事項、緩和策を提供します。

このガイダンスは、Web アプリケーションのセキュリティ体制を強化するのにも役立ち、デフォルトで安全になるように設計されています。

Web アプリケーション開発者は、セキュア・バイ・デザインおよびデフォルトの原則を実装し、セキュアなコーディング慣行 (間接参照マップ、入力パラメータの正規化と検証、CAPTCHA など) に従い、自動化されたコード分析およびテスト ツールを使用してコード レビューとテストを実施し、トレーニングすることをお勧めします。安全なソフトウェア開発のための人材。

エンドユーザー組織は、セキュア・バイ・デザインおよびデフォルト原則への取り組みを示す Web アプリを選択し、Web アプリにソフトウェア パッチをできるだけ早く適用し、改ざんの試みをログに記録して警告するようにアプリを構成し、定期的に侵入テストと脆弱性を実施する必要があります。スキャンして、Web アプリが安全であることを確認します。

3 つの政府機関は、IDOR のセキュリティ上の欠陥が悪用されて大規模なデータ侵害が発生したいくつかの事件を強調しました。

2021 年 10 月、IDOR 脆弱性 (CVE-2022-0732) の影響を受けるサーバーに収集データを転送していた「ストーカーウェア」アプリに関わる大規模なデータ漏洩が発生し、数十万台のモバイルからテキスト メッセージ、通話記録、写真、位置情報が流出しました。デバイス。

2019 年に発生した別のデータ侵害は米国の金融サービス部門の組織に影響を与え、銀行取引明細書、銀行口座番号、住宅ローン支払い書類などの機密情報を含む 8 億件を超える個人財務ファイルが流出しました。

2012 年には別の事件が発生し、攻撃者が IDOR の脆弱性を悪用した後、米国の通信部門組織の一般にアクセス可能な Web サイトから100,000 人を超えるモバイル デバイス所有者の個人データを盗みました