世間の認識と脅威レベルのギャップ――XSSは本当に危ないか? − @IT(情報元のブックマーク数)
川口さんGJ!!!宣伝ありがとうございます!!!!(でも、この回には僕参加できなかったけど・・・(海外逃亡
皆さんこんにちは、川口です。コラムの第6回「IPSは“魔法の箱”か」でまっちゃ139で講演をしたお話を書きましたが、今度は関東でやっている「まっちゃ445」にお招きいただき、お話ししてきました。
世間の認識と脅威レベルのギャップ――XSSは本当に危ないか?:川口洋のセキュリティ・プライベート・アイズ(13) - @IT
受ける側と、検知側、見つける側の色々な立場をマッチングするのが、勉強会主催者ですので、楽しくやってみました
楽しんでもらえた何よりです!
っちゃ445は募集開始から定員が埋まるまでがとても速く、今まで参加したことがなかったのですが、今回は運良く(?)講師側ということでキャンセル待ちにならずに参加することができました。ロックオンの福田さんがオープンソースのECサイト構築システム「EC-CUBE」に脆弱(ぜいじゃく)性が発見された際のインシデントハンドリングのお話をされていました。EC-CUBEにSQLインジェクションとクロスサイトスクリプティング(以下、XSS)が発見されたあとの対応のお話です。JSOCで日々インシデントにかかわっているいる自分としてはとても興味深い内容でした。
世間の認識と脅威レベルのギャップ――XSSは本当に危ないか?:川口洋のセキュリティ・プライベート・アイズ(13) - @IT
実際の攻撃側の攻撃コストと、守る側の費用対効果を考えると、クロスサイトスクリプティングは費用対効果は低くなるかもしれませんね。
実際の攻撃事例はどうでしょうか。われわれのJSOCで観測しているものをみても、XSS攻撃を行っているのは日本からのみで、海外からのXSSはほとんどみられません。それは攻撃する側にとって、XSSはお金もうけの手段として大変面倒くさいものだからです。XSSで能動的に攻撃を行うことでなにかが得られるものではないため、わなを仕込む必要があります。わなを仕込んで誘導するくらいであれば、クライアントアプリケーションの脆弱性を狙ってボットを仕込む方がはるかに効率的だからです。
世間の認識と脅威レベルのギャップ――XSSは本当に危ないか?:川口洋のセキュリティ・プライベート・アイズ(13) - @IT
これが一番かな、と思います。攻撃側もこれを見て「こりゃ他もあるな」と思うんだとおもいます。腹を探られないためにも対策を!
痛くもない腹を探られる
世間の認識と脅威レベルのギャップ――XSSは本当に危ないか?:川口洋のセキュリティ・プライベート・アイズ(13) - @IT
XSSの脆弱性があるだけで「おたくのサービスは大丈夫か?」「ほかのサービスも危ないのでは?」と疑われるきっかけを生みます。
