Communicator Web Access に対する脅威

セッション固定化

セッション固定化攻撃では、攻撃者は、ユーザーと Web サーバーとの間でセッションが確立される前にユーザーのセッション トークンを設定します。このようにすると、攻撃者は既にセッション ID を所有しているため、セッションの確立後にセッション ID を特定する必要がありません。Communicator Web Access は、このような脅威を最小限に抑えるように設計されています。

セッション ハイジャック

セッション ハイジャックでは、攻撃者は、ネットワーク上の暗号化されていないトラフィックをスニッフィングすることにより、ユーザーのセッションにアクセスします。Communicator Web Access では、クライアントと Communicator Web Access サーバー間の既定の通信プロトコルとして SSL を使用することにより、この脅威を最小限に抑えます。

セッション ライディング/ダブル ライディング

セッション ライディングでは、攻撃者は、ユーザーと Web ベース アプリケーションとの間の確立済みセッションを使用して、ユーザーになりすましてコマンドを実行しようとします。このために、攻撃者は、ユーザーに電子メール メッセージを送信するなどして、悪意のあるコードを実行する目的で作成された Web サイトを訪問するようにユーザーを誘導します。攻撃者によって実行されるコマンドは、ファイアウォールを開いたり、データを削除したりするほか、内部ネットワーク内で他のコマンドを実行する場合もあります。

Communicator Web Access は、攻撃者がこの手法を使用して悪意のある Web サイトを介してユーザーの Communicator Web Access セッションを制御するのを防ぐように設計されています。

クロス サイト スクリプト (CSS、XSS、コード挿入)

クロス サイト スクリプト攻撃 (CSS、XSS、コード挿入攻撃と呼ばれることもあります) では、攻撃者は、Web アプリケーションを使用して、ターゲット ユーザーに対して悪意のあるコードを (通常はスクリプトの形式で) 送信します。ターゲット ユーザーのブラウザでは、そのスクリプトが信頼できないものであることを検出できず、スクリプトが実行されます。悪意のあるスクリプトが実行されると、このスクリプトは、Cookie、セッション トークン、またはエンド ユーザーのブラウザに保持されている他の機微な情報にアクセスできるようになります。このようなスクリプトによって、HTML ページの内容が書き換えられることもあります。

クロス サイト スクリプト攻撃には、蓄積型と折り返し型があります。蓄積型攻撃では、侵害された Web サーバーのデータベース、メッセージ フォーラム、訪問者ログ、コメント フィールドなどに、悪意のあるスクリプトが永続的に蓄積されます。ユーザーがこの Web サーバーにアクセスすると、ユーザーのブラウザでスクリプトが実行されます。折り返し型クロス サイト スクリプト攻撃では、ユーザーは、リンクをクリックするように、または特別に作成されたフォーム (このフォームには悪意のあるコードが含まれています) を送信するように誘導されます。ユーザーがリンクをクリックしてフォーム データを送信すると、悪意のあるコードを含む URL がユーザーのデータと共に Web サーバーに送信されます。Web サイトにユーザーの情報が再表示されたとき、ユーザーには、この情報が信頼されたソースからのものであるように見えます。しかし、この情報には悪意のあるコードが含まれていて、このコードがユーザーのコンピュータで実行されます。

この脆弱性は、ユーザー入力の検証を適切に行わない Web サイトにのみ存在します。Communicator Web Access では、この脅威を防ぐために、さまざまなユーザー入力検証を使用しています。

トークンに関連する脅威

HTTP はコネクションレス プロトコルであり、各 Web ページを完成するためには複数のサーバー要求と応答が必要です。セッション中、ページ要求間のセッション持続性を維持するために、さまざまな手法が使用されます。Web サーバーで使用される手法の 1 つは、要求を行っているクライアント ブラウザに対してトークンを発行することです。Communicator Web Access では、この手法が使用されます。

Communicator Web Access サーバーが内部ユーザーまたは外部ユーザーの認証に成功すると、トークンが発行されてセッション Cookie に格納され、クライアントに返されます。この Cookie は、単一セッションでサーバーへのアクセスに使用されます。したがって、クライアントが正しく機能するためには、Communicator Web Access サーバーからの Cookie を受け入れなければなりません。攻撃者が、このトークンを盗んで再利用することに成功する場合があります。Communicator Web Access では、セッション Cookie のみを発行し、SSL (有効な場合) を使用してトークンを送受信し、セッション終了時にトークンを削除し、クライアントが無活動状態で一定期間が経過するとトークンを無効にすることにより、トークンに関連する脅威を軽減します。

トークンの ping

トークンの ping (トークンのキープアライブとも呼ばれます) では、認証済みのユーザーが Web サーバーに対して要求を繰り返し送信することにより、セッションおよびセッション トークンが期限切れにならないようにします。トークンの ping 攻撃は、サーバーに組み込まれているタイムアウト ロジックをバイパスするため、脅威と見なされます。ただし、最初にユーザーが認証される必要があるため、脅威レベルは "低" です。

フィッシング (Password Harvesting Fishing)

フィッシングはスプーフィングを使用する脅威であり、man-in-the-middle 攻撃の一種です。承認されていない攻撃者が、情報を手に入れることを承認されたエンティティになりすまして、ユーザーから情報を取得しようとします。このために、通常、攻撃者は、偽の Web サイト、Web フォーム、または電子メール メッセージにパスワードまたはアカウント番号を入力するようユーザーを誘導します。個人情報を取得するために攻撃者が使用する手法について、エンド ユーザーを教育する必要があります。