Webアプリの脆弱性トップ10を選ぶOWASP Top 10が公開された。Webセキュリティの第一人者である徳丸浩氏に、2013年版と比較して変わった点や注目すべき内容について語ってもらった。第2回では、OWASP Top 10 2017年版の主要な変更点について語ってもらった。

(聞き手はITpro Active編集部)


OWASP top 10の2013年版から2017年版への変更点
(OWASP Top 10 - 2017から引用)
[画像のクリックで拡大表示]

「A-4 XML外部エンティティ参照(XXE)」とは何か

今回は変化した内容についてお聞きします。

徳丸 ではまず、A-4から説明します。XXE(XML External Entity )というのは、XMLというデータの受け渡し形式に関するものです。

構造化されているデータですね。

徳丸 はい。そのXMLの中に「External Entities」、外部実体(外部エンティティ)という機能があります。ほかのファイル、あるいはほかのURLで示すような外部のサーバーの情報を参照する機能です。たとえば、商品登録をするときにデータをXMLというコード化された形で渡すとしましょう。そのときに外部実体を書いておくと、あなたの入力したのはこれですねと確認画面が出るときに、サーバーの中のファイルの情報を表示できたりするんです。

データセンターの中の外部からは見えないサーバーに対してプライベートIPアドレスで書いておくと、それを受け付けているサーバーはデータセンターの中にあるので、ほかのサーバーの情報がとれる場合があるんですね。そこで、通常であれば漏洩しないファイルが漏洩してしまうわけです。

SSRF(Server-Side Request Forgery)と言ったりしますが、そういうことができる可能性があるのでまずいということが、ぽちぽちと言われ始めていました。昔から知られていて、こういうソフトにも脆弱性がある、と報告は上がっていた。今回なぜか、A-4という重要度の高い位置に来てしまってびっくりしています。

これはTop 10と言っているんだから、やはり重要な順に並んでいるワケですね。

徳丸 そうです。それは間違いないです。リスクの高い順です。入ってもいいけど、いきなりA-4か?という感じです。これがXXEですね。

つまり、このTop 10というのは、見た人が違和感を持つのはまずそのTop 10の中に入るかどうかというのもあるけど、その順番が上下することがありますね。上下の移動もやはり気になりますか。

徳丸 上下も気になりますし、CSRFはきっと11位か12位あたりにいるんだと思いますが、そことの違和感も気になります。

Top 10圏外になにがいるんだろうと。では、本質的にはこれはTop 10ではなくTop 100くらいにしておかないといけなくなる可能性はある。

徳丸 あるんですが、そこをあえてTop 10にしたところが味噌なんだろうと思います。

この先は日経 xTECH Active会員の登録が必要です

日経xTECH Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。