ブログ

    発行
     
      • Symantec SSL/TLSサーバ証明書の入れ替えに関する情報について

        Mar 29 2018, 8:59 PM

        作成者 : connect 0

        さる2017年8月2日(米国時間)、シマンテックは、エンタープライズ領域で高い拡張性を持つ世界有数の認証・暗号ソリューションプロバイダであるDigiCert社が、シマンテックのウェブサイトセキュリティ事業および関連するPKIソリューションを買収することについて発表いたしました。昨今、ウェブを経由して侵入する高度なサイバーセキュリティの脅威が高まり、こうした攻撃からビジネスを保護することが非常に重要であるタイミングで、この発表は執り行われました。

        この買収によりお客様は技術的に強化された基盤、最高レベルのサポート、そして業界をリードする革新と合わせてお客様に必要な認証と暗号のリーディングソリューションに特化する企業ならではのメリットを享受することができるようになります。お客様のビジネスの継続性を維持することは弊社の最優先事項であり、そのためのカスターマーサービスを提供することを強くお約束します。

        ブラウザーコミュニティによる提案への対応の一環として、弊社のウェブサイトセキュリティ事業部門では、お客様に、Google ChromeおよびMozillaの提案に伴う警告表示などの問題を避けていただき、お客様のウェブサイトの継続性を維持することに全力で取り組みます。この一環として、弊社では警告表示の影響を受けるお客様に対して、積極的にご連絡を差し上げております。


        Google社の提案の背景

        さる2017年7月27日、Google社は、シマンテックが発行したSSL/TLSサーバ証明書について、その時間的な制約を含む実行計画(英語リンク)を掲載しました。お客様のウェブサイト運営に影響を及ぼす可能性のある日にちへの言及がございます。

        • 2017年12月1日より、Google Chromeに信頼されるために全てのSymantec SSL/TLSサーバ証明書は新たなPKI基盤より発行されなければなりません
        • 2018年3月15日(Chrome 66 Beta、日程は前後する可能性があります)にGoogle Chromeは、2016年6月1日より前に発行されたSSL/TLSサーバ証明書が導入されたウェブサイトに対して警告を表示します。 ウェブサイトのセキュリティや暗号通信機能は従来通り機能しますが、Chromeを利用するサイト訪問者に対しては警告が表示されます。
        • 更にGoogle Chrome は、2017年12月1日以降、全てのシマンテックグループの証明書を新たなインフラより発行することを求め、これ以前にシマンテックグループの現インフラより発行されたSSL/TLSサーバ証明書に対して、2018年9月13日(Chrome 70 Beta、日程は前後する可能性があります) 以降に警告を表示する、と宣言しています。ウェブサイトのセキュリティや暗号通信機能は従来通り機能しますが、Chromeを利用するサイト訪問者に対しては警告が表示されます

        また、さる2017年8月1日に、MozillaはGoogle社によって提案された時間軸に追従する意思(英語リンク)を示しました。Google社は2017年9月11日に最新のブログ(英語リンク)でその計画を再確認しています。

        速やかに実施可能な対応

        弊社では、前述の複数の期限を考慮しながら、お客様のビジネスに影響がないよう、そしてブラウザの要求を満たすよう、全てのお客様の証明書を調査しています。そして2017年12月1日までに、弊社の認証局パートナーとなるDigiCert社が、弊社に代わってGoogleならびにMozillaによる要求を満たすための業務を開始します。

        2016年6月1日より前に発行されたシマンテックグループのSSL/TLSサーバ証明書をお持ちのお客様につきましては、2018年3月15日より前に再発行および再インストールを実施いただく必要がございます。弊社は影響を受けるお客様へのご連絡を開始するのと同時に移行がスムーズに完了するように直接お手伝いさせていただきます。

        マネージドPKI for SSLをご利用中のお客様が、どのように再発行をすべき証明書を見つけるかについては以下のKBをご確認ください。

        シマンテックから直接購入されていないお客様は、シマンテックの販売パートナー様と再発行の調整を行なっていただければ幸いです。

        マネージドPKI for SSLやコンプリート・ウェブサイトセキュリティ(CWS)をご利用中のエンタープライズのお客様は、2017年12月1日時点で全ての新規申請や再発行申請を含めたいかなる証明書申請も即時発行が可能な状態を維持するために、近日中にDigiCert社による先行再認証業務を開始いたします。この先行再認証業務についてお客様の追加費用負担は必要ございません。

        2017年12月以降に順次再発行いただくべき証明書

        一部のお客様は、2017年12月1日(Digicert社とのパートナーシップにより統合された認証業務を開始する時期)以降の再発行をすべき証明書をお持ちです。Google社の提案における複雑な時間軸を鑑みると、これ以前に、上記にリストアップしたもの以外の証明書の再発行を行うことは必ずしも推奨されません。弊社は、2017年12月1までに、DigiCert社とのパートナーシップにより統合された認証業務の提供を開始することを宣言しております。このことにより、お客様がChromeの警告表示を避けるために証明書の再発行をいただくための十分な時間を確保いただけるものと考えます。この時点以降の全ての認証業務はDigiCert社によって実施されます。そしてこの再発行作業を実施いただくことによって、お客様はCA/B Forumのガイドラインに規定された有効期間内を十分に利用いただける証明書を入手いただけます。

        弊社は、お客様が証明書を再発行、再取得をいただく際に最も推奨されるタイミングについて、より詳細な情報を順次ご連絡差し上げます。

        サポートについては下記からお問い合わせください。

        https://www.symantec.com/ja/jp/page.jsp?id=contact-authentication-services

        シマンテック ウェブサイトセキュリティ事業部

        • DigiCert SSL TLS Certificates
        • Products
        • Products and Solutions
      • OSコマンドインジェクション脆弱性(CWE-78)の解説

        Oct 20 2017, 9:16 PM

        作成者 : Masato Hayashi 0

        このブログではウェブサイトやその上で動作しているウェブアプリケーションの脆弱性について紹介すると共に注意喚起をする目的でまとめられています。

        今回は、最近著名CMSの脆弱性として情報漏えいを起こした原因としてニュースをにぎわしており、Webアプリケーションの脆弱性の中でも最も危険度の高いOSコマンドインジェクションについて解説をしています。

        ※なお、内容に関しましてはHASHコンサルティング株式会社の徳丸 浩様に監修いただいています。

        +++++++++++++++++++++++++++++++++++++++++++++++

        OSコマンドインジェクション脆弱性(CWE-78)

        ■概要

        Webアプリケーションの中には、機能の実現のために外部コマンドを呼び出すものがあります。また、多くのアプリケーションでは、メール送信の機能をsendmailコマンドの呼び出しで実現し、外部からのファイルダウンロードをwgetやcurl等のコマンド呼び出しにより実現する場合もあります。

        外部コマンドにパラメータを渡して呼び出している場合、パラメータを巧妙に細工することにより、開発者が意図しない別のプログラムを呼び出せる場合があります。これにより悪意のあるコマンド呼び出しを行う攻撃がOSインジェクション攻撃です。また、OSコマンドインジェクション攻撃を許す状況をOSコマンドインジェクション脆弱性と言います。

         OSコマンドインジェクションはソフトウェアの脆弱性として継続して報告されており、サイト改ざんなどの攻撃に悪用されています。

        ■攻撃のイメージと影響

         Webアプリケーションで利用者登録の際にメールアドレスを登録してもらい、そのメールアドレスに対して通知メールを送信している場合を想定します。以下のPerlスクリプトで$mailは、利用者が入力したメールアドレスです。

        system(“/usr/sbin/sendmail $mail < /var/data/message.txt”);

        ここで、$mail = “test@example.jp; cat /etc/passwd” と外部から指定された場合、生成されるコマンドは以下の通りです。

        /usr/sbin/sendmail test@example.jp; cat /etc/passwd < /var/data/message.txt 

         コマンド中のセミコロン「;」は、2つ以上のコマンドを続けて実行する際の区切り文字なので、上記コマンド呼び出しにより/etc/passwdの内容を表示する結果となります。この他、様々なコマンド呼び出しが可能です。

        ■脆弱性による影響

         この脆弱性による影響の例として下記がありますが、これらに限りません。OSコマンドインジェクション攻撃を受けると、サーバが乗っ取られた状態になり、最悪の場合はサーバ内部からの脆弱性攻撃により、root権限を奪取される可能性があります。

        • サーバ内のファイルの閲覧、書き換え、削除
        • 不正なシステム操作(ユーザアカウントの追加、変更、その他)
        • 不正なプログラムのダウンロード、実行
        • 他のサーバーへの攻撃(踏み台)

        ■脆弱性の有無の確認方法

         OSコマンドインジェクション脆弱性の有無の確認は、ソースコードを確認する方法が確実です。system、exec等外部コマンドを呼びだすことのできる関数名やメソッド名を検索して、該当箇所を目視で確認します。

         あるいは、ネットワーク経由の手動診断で脆弱性の有無を検証することもできます。この場合、独立行政法人情報処理推進機構(IPA)が公開している「安全なウェブサイトの作り方」別冊の「ウェブ健康診断仕様」に診断の方法が説明されており、参考になります。

        ■対策

         OSコマンドインジェクション脆弱性はアプリケーションのバグなので、アプリケーション改修による対策が基本です。外部コマンドを使わないで同じ機能を実現できる場合は、外部コマンドを呼ばない実装の方が安全で効率も良くなる場合が多いです。どうしても外部コマンドを使用する必要がある場合は、シェルを経由しないコマンド呼び出しの方法を採用します。詳しくは「安全なウェブサイトの作り方」等の参考資料を御覧ください。

        なお、「シマンテック クラウド型WAF」では、OSコマンドインジェクション脆弱性からウェブサイトが攻撃を受けるのを防ぐことができます。

        ■参考文献

        安全なウェブサイトの作り方

        https://www.ipa.go.jp/security/vuln/websecurity.html

        • Products
        • DigiCert Complete Website Security
        • DigiCert SSL TLS Certificates
        • Products and Solutions
      • コードサイニング証明書を「正しく使う」ために

        Apr 14 2016, 5:14 AM

        作成者 : Quentin Liu 0

        シマンテックの最近の調査レポートにより、中国に拠点を置く高度な脅威グループ、通称 Suckfly がコードサイニング証明書の秘密鍵を奪い、2年前からマルウェアを拡散していたことが明らかになりました。この発見で、サイバー攻撃者が正規のファイルやアプリケーションのように偽装してマルウェア拡散を実行する増加傾向がセキュリティ面で注意すべきポイントとしてひとつ増えたことになります。

        サイバー攻撃者が、コードサイニング証明書の秘密鍵を狙うのはなぜでしょうか。問題は、その目的として相反する二つの面に起因しており、従来からのコードサイニング利用の管理方法にあります。

        コードサイニング証明書の主な目的は、a)内容の完全性を検証し、それが改変されていない事を証明することと、b)ファイルまたはアプリケーション作成者の帰属を明らかにして使用環境による警告を防止することです。コードサイニング証明書があると、ファイルやアプリケーションの内容が改変されていないこと、そして内容と作成者の存在の関連付けが第三者機関によって検証されているため信頼度が上がります。ソフトウェアメーカーや業界グループの多くが、この理由からコードサイニング証明書の使用を義務付けています。

        実際の使われ方を見ると、ユーザーが署名のないアプリケーションをダウンロードしようとした場合に、一部のブラウザは警告を表示することによってユーザーを保護します。また、リスクを低減するために、署名のないファイルやアプリケーションをダウンロードあるいは実行するのを防いで、不明または不正な発行者から送られたコードの実行を最小限に抑えるセキュリティアプリケーションもあります。このように、セキュリティ意識が高く、社内でソフトウェアまたはアプリケーションを多数開発している企業であれば、発行に関する観点からも、リスク低減の観点からもコードサイニング証明書を導入しているのが普通です。

        従来のコードサイニングでは、署名に使われる秘密鍵を安全に保管する全責任は、発行を依頼した組織にあります。その組織の中では一般的に、秘密鍵のセキュリティと管理は開発グループに一任されます。ファイルやアプリケーションを発行するのが、たいていはアプリケーションまたはソフトウェアの開発者だからです。そのグループが基本的なセキュリティ対策(ベストプラクティス)について訓練を受けていない場合、あるいは鍵の紛失や盗難、悪用について説明責任を果たせなかった場合、マルウェアが自分たちの秘密鍵で署名されてしまうというリスクに、企業全体が直面することになります。

        企業が鍵の盗難や悪用を防ぐうえで、以下のような業界の基本的なセキュリティ対策(ベストプラクティス)があります。

        • 秘密鍵の保護
          • HSM または専用のセキュリティ環境で保管する
        • 秘密鍵と署名履歴の追跡
          • 誰が、何に、いつ署名したかをわかりやすくする
        • 発行者の任命と失効の管理
          • 秘密鍵には権限のあるユーザーだけがアクセスできるようにする
        • 監査の準備
          • コードサイニング署名について責任の明確化と証跡の保全を推進する

        基本的なセキュリティ対策(ベストプラクティス)だけでなく、秘密鍵をオンサイトで分散保管させず、確実な鍵管理のガバナンスとセキュリティを備えた一元的な場所に保管することで、セキュリティを強化すべき企業もあるでしょう。全世界のコードサイニング証明書の 65% を提供している*プロバイダとして、シマンテックは、従来のコードサイニング手法に存在するガバナンスの欠如などの問題のギャップに対処できる次世代のサービスを提供し、秘密鍵の盗難というリスクに対応しています。それが Symantec Secure App Service です。クラウドベースの総合的なコードサイニング管理ソリューションであり、鍵の管理とコードサイニング履歴の追跡、さらにユーザーの管理までが一元化されます。

        サイバー犯罪者は今後も、企業のセキュリティを破って重要なデータを盗み出す手法を次々と生み出すでしょう。業界のベストプラクティスを厳重に守り、Symantec Secure App Service などのソリューションを活用すれば、そうした企みを防ぎ、コードサイニング本来の信頼を保証できます。

        *出典: rsEdge による国際的な調査(2014 年)

        【参考訳】

        • Products
        • DigiCert SSL TLS Certificates
        • Products and Solutions
        • Symantec Website Security