米豪当局、ウェブアプリの脆弱性に注意喚起 - 設計開発段階で対策を

米国やオーストラリアのセキュリティ機関は、アクセス制御に不備があるウェブアプリケーションにおいて、大規模な情報漏洩などの被害も発生していることから注意喚起を行った。設計開発段階から対策を講じるよう求めている。

米国のサイバーセキュリティインフラストラクチャセキュリティ庁（CISA）や米国家安全保障局（NSA）、オーストラリアサイバーセキュリティセンター（ACSC）が共同でアドバイザリをリリースしたもの。

ウェブアプリケーションにおいてアクセス制御の不備に起因する脆弱性のひとつ「安全でない直接オブジェクト参照の脆弱性（IDOR：Insecure Direct Object Reference）」について注意を呼びかけた。

「IDOR」は、ウェブサイトやAPIに対するリクエストにおいて、認証や認可を適切に管理せず、ユーザー名をはじめ容易に予測可能な識別子を用いてデータやリソースに直接アクセスしている場合に生じる脆弱性。

ウェブアプリケーションの仕様によって影響は異なるが、識別子を改ざんすることで異なるユーザーへなりすましたり、権限がないデータやリソースへアクセスされるおそれがある。実際に同脆弱性に起因した大規模なデータ漏洩事故も発生している。

（Security NEXT - 2023/08/01 ） ツイート

PR

関連記事

「OpenSSL」に重要度「高」含む12件の脆弱性 - アップデートで修正
戸籍届書をFAXで誤送信、宛先選択ミスで - 天草市
カーインテリア通販サイトで侵害を確認 - 詳細を調査
インシデント件数が1.3倍に - 「フィッシング」の増加目立つ
「My SoftBank」上で個人情報など誤表示 - メールで取り違えも
県立美術館のSNSアカウントに複数の不正投稿 - 鳥取県
ハラスメント対策情報サイトが改ざん、個人情報流出は否定 - 厚労省
セキュリティアップデート「Firefox 147.0.2」が公開
複数Fortinet製品に脆弱性、すでに悪用も - 更新や侵害有無の確認を
「Chrome」にアップデート - 実装不備の脆弱性1件を修正