1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. 開発者向けの安全対策のポイント「安全なウェブサイトの作り方」改訂第7版が公開

開発者向けの安全対策のポイント「安全なウェブサイトの作り方」改訂第7版が公開

開発者向けの安全対策のポイント「安全なウェブサイトの作り方」改訂第7版が公開独立行政法人 情報処理推進機構(IPA)は、3月12日、Webサイトの開発者や管理者向けにセキュリティ対策のポイントを解説した「安全なウェブサイトの作り方」の改訂第7版を公開した。IPAのWebサイトからPDF形式でダウンロードできる。

これは、2006年から発行、公開されているもので、今回の改訂で第7版となる。ソフトウェアやWebアプリケーション等に関する脆弱性関連情報のうち、IPAへの届出件数が多く攻撃による影響度が大きいものを取り上げ、適切なセキュリティ対策がなされたサイト制作のためのポイントが解説されている。

第7版での改訂は、前回改訂(2012年)以降問題となった、DNSを狙った攻撃やパスワードリスト攻撃、クリックジャッキング攻撃や、新たな手口への有効な対策が追加されている。また、保存している利用者等のパスワードの漏えいに備える対策も提示している。

特に、パスワードリスト攻撃では、例えばAというWebサイトから漏えいしたパスワードが、サイトB、サイトCというように、他のサイトやサービスで悪用されている。そのため、サイト側でパスワードを平文のままで保存していると、漏えいした場合に即攻撃に悪用される可能性がある。また、ハッシュ値にして保存していたとしても、予めパスワードに使用される可能性のある文字列のハッシュ値をリスト化し、パスワードを復元する手口の存在が確認されており、万全ではなかった。

このため、第7版では、パスワードにソルトと呼ばれる文字列を付して計算したハッシュ値にし、見かけ上のパスワードを長くすることで、パスワード復元までの時間を非現実的な長さに延ばす対策を推奨している。これにより、万一、パスワードが漏えいしても、パスワードリスト攻撃等への悪用防止効果が期待できるということだ。

「安全なウェブサイトの作り方」ダウンロードページ(IPA)
プレス発表 「安全なウェブサイトの作り方 改訂第7版」を公開(IPA)
安全なウェブサイトの作り方改訂第7版の変更点と変わらない点(徳丸浩の日記)

関連キーワード:

DNS

IPA

クリックジャッキング攻撃

パスワードリスト攻撃

漏えい

脆弱性

  • K子のさらにセキュアな日常 Vol.3 ログイン情報は他人に貸与したり見られたりしないよう適切に管理しよう
  • カテゴリートップへ
  • IPAがネットワーク対応機器の利用時のセキュリティ上の注意点を公開