diff --git a/2025/docs/ja/0x00_2025-Introduction.md b/2025/docs/ja/0x00_2025-Introduction.md new file mode 100644 index 000000000..6bf6cbad2 --- /dev/null +++ b/2025/docs/ja/0x00_2025-Introduction.md @@ -0,0 +1,111 @@ +![OWASP Logo](../assets/TOP_10_logo_Final_Logo_Colour.png) + +# 最も重大なウェブアプリケーションリスク トップ10 (The Ten Most Critical Web Application Security Risks) + +# イントロダクション (Introduction) + +第8版となる「OWASP Top 10」へようこそ! + +データ提供や調査にご協力いただいた皆様に、心より感謝申し上げます。皆様の知見なしには、今回の更新は成し得ませんでした。 **ありがとうございます!** + +## OWASP Top 10:2025 の紹介 + +* [A01:2025 - アクセス制御の不備 (Broken Access Control)](A01_2025-Broken_Access_Control.md) +* [A02:2025 - セキュリティ設定の不備 (Security Misconfiguration)](A02_2025-Security_Misconfiguration.md) +* [A03:2025 - ソフトウェアサプライチェーンの不備 (Software Supply Chain Failures)](A03_2025-Software_Supply_Chain_Failures.md) +* [A04:2025 - 暗号化の不備 (Cryptographic Failures)](A04_2025-Cryptographic_Failures.md) +* [A05:2025 - インジェクション (Injection)](A05_2025-Injection.md) +* [A06:2025 - 安全性を欠いた設計 (Insecure Design)](A06_2025-Insecure_Design.md) +* [A07:2025 - 認証の不備 (Authentication Failures)](A07_2025-Authentication_Failures.md) +* [A08:2025 - ソフトウェアまたはデータの完全性の不備 (Software or Data Integrity Failures)](A08_2025-Software_or_Data_Integrity_Failures.md) +* [A09:2025 - セキュリティログとアラートの不備 (Security Logging and Alerting Failures)](A09_2025-Security_Logging_and_Alerting_Failures.md) +* [A10:2025 - 例外的な状況への不適切な対応 (Mishandling of Exceptional Conditions)](A10_2025-Mishandling_of_Exceptional_Conditions.md) + + +## 2025年版における主な変更点 + +2025年版では、2つのカテゴリが新設され、1つが統合されました。私たちは、表面的な「症状 (symptoms)」ではなく、可能な限り「根本原因 (root cause)」に焦点を当てるよう努めています。ソフトウェア開発とセキュリティの複雑さを考慮すると、カテゴリ間の重複を完全になくすことは事実上不可能です。 + +![Mapping](../assets/2025-mappings.png) + +* **[A01:2025 - アクセス制御の不備](A01_2025-Broken_Access_Control.md)** は、最も深刻なリスクとして引き続き第1位となりました。テストされたアプリケーションの平均3.73%に、本カテゴリの40のCWE(共通弱点一覧 (Common Weakness Enumerations))が1つ以上含まれています。上図の破線が示す通り、サーバーサイドリクエストフォージェリ (SSRF: Server-Side Request Forgery) は本カテゴリに統合されました。 +* **[A02:2025 - セキュリティ設定の不備](A02_2025-Security_Misconfiguration.md)** は、2021年の第5位から第2位へと上昇しました。今回のデータでは設定の不備がより顕著に見られ、アプリケーションの3.00%に本カテゴリの16のCWEが含まれています。ソフトウェアエンジニアリングにおいて、アプリケーションの挙動が設定に依存する割合が増え続けている現状を反映しています。 +* **[A03:2025 - ソフトウェアサプライチェーンの不備](A03_2025-Software_Supply_Chain_Failures.md)** は、2021年版の「[脆弱で古くなったコンポーネント (A06:2021-Vulnerable and Outdated Components)](https://owasp.org/Top10/A06_2021-Vulnerable_and_Outdated_Components/)」を拡張したものです。依存関係、ビルドシステム、配布インフラの全体にわたる侵害を対象としています。本カテゴリはコミュニティ調査で圧倒的な票を集めました。本カテゴリは5つのCWEを含み、収集データ上の出現頻度は限定的ですが、これはテストの困難さが原因と考えられ、この分野でのテスト手法の発展を期待しています。データ上で最も出現頻度が低い一方で、CVEにおける平均的な悪用可能性 (Exploit) と影響 (Impact) のスコアは最も高くなっています。 +* **[A04:2025 - 暗号化の不備](A04_2025-Cryptographic_Failures.md)** は、第2位から第4位へ後退しました。平均3.80%のアプリケーションに、本カテゴリの32のCWEが含まれています。本不備は、機密情報の露出 (sensitive data exposure) やシステムの侵害 (system compromise) を招く恐れがあります。 +* **[A05:2025 - インジェクション](A05_2025-Injection.md)** は、第3位から第5位へ順位を下げましたが、暗号化の不備や安全性を欠いた設計との相対的な位置関係は維持しています。最も多くテストされているカテゴリの一つであり、38のCWEに関連するCVE数が最大です。インジェクションには、クロスサイトスクリプティング (XSS)(高頻度・低影響)からSQLインジェクション(低頻度・高影響)まで、幅広い脆弱性が含まれます。 +* **[A06:2025 - 安全性を欠いた設計](A06_2025-Insecure_Design.md)** は、セキュリティ設定の不備とソフトウェアサプライチェーンの不備に追い越され、第4位から第6位へ順位を下げました。2021年の導入以来、脅威モデリング (threat modeling) の普及など、安全な設計への意識向上と業界の進展が見られます。 +* **[A07:2025 - 認証の不備](A07_2025-Authentication_Failures.md)** は、第7位を維持しました。旧名称「[識別と認証の不備 (Identification and Authentication Failures)](https://owasp.org/Top10/A07_2021-Identification_and_Authentication_Failures/)」から、本カテゴリの36のCWEをより正確に反映するため名称を変更しました。依然として重要な領域ですが、標準的な認証フレームワークの活用により、不備の発生が抑制され始めています。 +* **[A08:2025 - ソフトウェアまたはデータの完全性の不備](A08_2025-Software_or_Data_Integrity_Failures.md)** は、引き続き第8位です。ソフトウェアサプライチェーンの不備よりも低いレベルで、信頼境界の維持や、ソフトウェア・コード・データの完全性検証の失敗に焦点を当てています。 +* **[A09:2025 - セキュリティログとアラートの不備](A09_2025-Security_Logging_and_Alerting_Failures.md)** は、第9位を維持しました。旧名称「[セキュリティログと監視の不備 (Security Logging and Monitoring Failures)](https://owasp.org/Top10/A09_2021-Security_Logging_and_Monitoring_Failures/)」から、適切なアクションを促す「アラート機能」を強調するため名称を変更しました。アラートを伴わないログ出力には、インシデント特定においてほとんど価値がありません。本カテゴリはデータ上で常に過小評価される傾向にあり、今回もコミュニティ調査によってリストに選出されました。 +* **[A10:2025 - 例外的な状況への不適切な対応](A10_2025-Mishandling_of_Exceptional_Conditions.md)** は、2025年版の新カテゴリです。エラー処理の不備やロジックエラー、フェイルオープンなど、異常状態に起因する24のCWEを含みます。 + + +## 手法 (Methodology) + +今回の OWASP Top 10 も、データに基づいた判断 (data-informed) を行っていますが、盲目的なデータ至上主義 (data-driven) ではありません。統計データから12のカテゴリをランク付けし、そのうち2つをコミュニティ調査の結果に基づいて選出・強調しました。これには根本的な理由があります。統計データを分析することは、本質的に「過去」を見ることだからです。アプリケーションセキュリティの研究者は、新しい脆弱性の特定や新しいテスト手法の開発に時間を費やしています。これらのテストをツールやプロセスに統合するには数週間から数年かかります。大規模に脆弱性を確実にテストできるようになる頃には、何年も経過している可能性があります。また、確実にテストすることができず、データに現れることがない重要なリスクも存在します。このような観点のバランスを取るため、現場の最前線にいるアプリケーションセキュリティや開発の実務者に、テストデータでは過小評価されている可能性のある重要なリスクについて意見を求めるコミュニティ調査を実施しています。 + + +## カテゴリの構造 + +前バージョンの OWASP Top 10 からいくつかのカテゴリが変更されました。以下はカテゴリ変更の概要です。 + +今回は、2021年版のようなCWEの制限を設けずにデータを募集しました。特定の年(2021年以降)にテストされたアプリケーション数と、テストでCWEが1つ以上見つかったアプリケーション数を求めました。この形式により、アプリケーション全体におけるCWEの普及率を追跡できます。私たちの目的では頻度は無視しています。頻度は他の状況では必要かもしれませんが、アプリケーション全体における実際の普及率を隠してしまうからです。あるアプリケーションにCWEが4件あろうと4,000件あろうと、Top 10 の計算には含まれません。特に、手動テスターはアプリケーション内で何度繰り返されても脆弱性を1回だけ記載する傾向がありますが、自動テストフレームワークは脆弱性のすべてのインスタンスを個別にカウントするためです。分析対象のCWE数は、2017年の約30件から2021年の約400件、そして今回の589件へと増加しました。将来的には追加のデータ分析を補足として行う予定です。このCWE数の大幅な増加に伴い、カテゴリ構造の変更が必要となりました。 + +CWEのグループ化と分類には数ヶ月を費やしましたが、さらに続けることもできました。どこかで区切りをつける必要がありました。CWEには「根本原因 (root cause)」タイプと「症状 (symptom)」タイプの両方があります。根本原因タイプは「暗号化の不備」や「設定の不備」などであり、症状タイプは「機密情報の露出」や「サービス拒否」などです。私たちは、特定と修正のガイダンスを提供するうえでより論理的であるため、可能な限り根本原因に焦点を当てることにしました。症状よりも根本原因に焦点を当てることは新しい概念ではありません。Top 10 はこれまでも症状と根本原因が混在していました。CWEも症状と根本原因が混在しています。私たちは単にそれをより意識的に明示しているだけです。今回のカテゴリあたりの平均CWE数は25件で、A03:2025(ソフトウェアサプライチェーンの不備)とA09:2025(セキュリティログとアラートの不備)の5件から、A01:2025(アクセス制御の不備)の40件までの範囲となっています。1カテゴリあたりのCWE数を40件に制限する決定を行いました。この更新されたカテゴリ構造は、企業が言語やフレームワークに適したCWEに集中できるため、トレーニング上の利点も提供します。 + +MITRE Top 25 Most Dangerous Software Weaknesses のように、Top 10 を10個のCWEのリストに変更しないのかという質問を受けることがあります。カテゴリに複数のCWEを使用する主な理由は2つあります。第一に、すべてのCWEがすべてのプログラミング言語やフレームワークに存在するわけではないからです。これにより、Top 10 の一部が適用できない場合、ツールやトレーニング・啓発プログラムに問題が生じます。第二に、一般的な脆弱性には複数のCWEが存在するからです。たとえば、一般的なインジェクション、コマンドインジェクション、クロスサイトスクリプティング、ハードコードされたパスワード、検証の欠如、バッファオーバーフロー、機密情報の平文保存など、多くの脆弱性に複数のCWEがあります。組織やテスターによって、異なるCWEが使用される場合があります。複数のCWEを含むカテゴリを使用することで、共通のカテゴリ名の下で発生する可能性のある様々な弱点の種類についてベースラインと認識を高めることができます。Top 10 2025 には、10のカテゴリ内に248のCWEが含まれています。本リリース時点で、[MITREからダウンロード可能な辞書](https://cwe.mitre.org)には合計968のCWEがあります。 + + +## カテゴリ選定におけるデータの活用 + +2021年版と同様に、CVEデータを活用して「悪用可能性 (Exploitability)」と「技術面への影響 ((Technical) Impact)」を算出しました。OWASP Dependency Check をダウンロードし、CVEに記載された関連CWEごとにCVSSのExploitスコアとImpactスコアを抽出・グループ化しました。これには相当の調査と労力を要しました。すべてのCVEにはCVSSv2スコアがありますが、CVSSv2には欠陥があり、CVSSv3で対処されるべきものです。ある時点以降、すべてのCVEにはCVSSv3スコアも割り当てられています。また、CVSSv2とCVSSv3の間でスコアリング範囲と計算式が更新されました。 + +CVSSv2では、ExploitとImpactの両方が最大10.0になる可能性がありましたが、計算式によりExploitは60%、Impactは40%に低減されていました。CVSSv3では、理論上の最大値はExploitが6.0、Impactが4.0に制限されました。重み付けを考慮すると、ImpactスコアはCVSSv3で平均約1.5ポイント高くなり、Exploitabilityは平均約0.5ポイント低くなりました。 + +OWASP Dependency Check から抽出した National Vulnerability Database (NVD) には、CWEにマッピングされた約17万5千件(2021年の12万5千件から増加)のCVEレコードがあります。また、CVEにマッピングされたユニークなCWEは643件(2021年の241件から増加)あります。抽出された約22万件のCVEのうち、16万件がCVSS v2スコア、15万6千件がCVSS v3スコア、6千件がCVSS v4スコアを持っています。多くのCVEが複数のスコアを持つため、合計は22万件を超えます。 + +Top 10 2025 では、以下の方法で平均ExploitスコアとImpactスコアを計算しました。CVSSスコアを持つすべてのCVEをCWEごとにグループ化し、CVSSv3を持つ母集団の割合と、残りのCVSSv2を持つ母集団でExploitスコアとImpactスコアの両方を重み付けして、全体の平均を算出しました。これらの平均をデータセット内のCWEにマッピングし、リスク方程式のもう半分としてExploitスコアと(技術面への)Impactスコアとして使用しました。 + +CVSS v4.0 を使用しないのはなぜかと思われるかもしれません。これは、スコアリングアルゴリズムが根本的に変更され、CVSS v2やCVSSv3のように「Exploit」や「Impact」スコアを簡単に提供できなくなったためです。Top 10 の将来のバージョンでCVSS v4.0スコアを使用する方法を検討する予定ですが、2025年版では適時に対応する方法を見つけることができませんでした。 + + +## コミュニティ調査の意義 + +統計データの結果は、業界が自動化された方法でテストできる範囲に大きく限定されています。経験豊富なAppSec専門家に話を聞けば、まだデータに現れていない発見やトレンドを教えてくれるでしょう。特定の脆弱性タイプのテスト手法を開発するには時間がかかり、さらにそれらのテストを自動化して大規模なアプリケーション群に対して実行するにはさらに時間がかかります。私たちが見つけるものはすべて過去を振り返っており、データに現れていない直近1年のトレンドを見逃している可能性があります。 + +したがって、データが不完全であるため、10カテゴリのうち8つのみをデータから選出しています。残りの2つのカテゴリはTop 10コミュニティ調査から選出しています。これにより、現場の最前線にいる実務者が、データに現れていない(そして永久にデータに現れない可能性のある)最も高いリスクと考えるものに投票できます。 + + +## データ提供者の皆様への謝辞 + +以下の組織(および複数の匿名提供者)から、280万件以上のアプリケーションに関する貴重なデータをご提供いただき、史上最大かつ最も包括的なアプリケーションセキュリティデータセットとなりました。皆さんのおかげです。ありがとうございました。 + +* Accenture (Prague) +* Anonymous (multiple) +* Bugcrowd +* Contrast Security +* CryptoNet Labs +* Intuitor SoftTech Services +* Orca Security +* Probely +* Semgrep +* Sonar +* usd AG +* Veracode +* Wallarm + +## 主執筆者 (Lead Authors) +* Andrew van der Stock - X: [@vanderaj](https://x.com/vanderaj) +* Brian Glas - X: [@infosecdad](https://x.com/infosecdad) +* Neil Smithline - X: [@appsecneil](https://x.com/appsecneil) +* Tanya Janca - X: [@shehackspurple](https://x.com/shehackspurple) +* Torsten Gigler - Mastodon: [@torsten_gigler@infosec.exchange](https://infosec.exchange/@torsten_gigler) + +## 課題の報告およびプルリクエスト + +修正や課題の報告はこちらからお願いします。 + +### プロジェクトリンク: +* [ホームページ](https://owasp.org/www-project-top-ten/) +* [GitHub リポジトリ](https://github.com/OWASP/Top10) + diff --git a/2025/docs/ja/0x01_2025-About_OWASP.md b/2025/docs/ja/0x01_2025-About_OWASP.md new file mode 100644 index 000000000..0e42cdf8f --- /dev/null +++ b/2025/docs/ja/0x01_2025-About_OWASP.md @@ -0,0 +1,36 @@ +# OWASPについて (About OWASP) + +Open Worldwide Application Security Project (OWASP) は、組織が信頼できるアプリケーションやAPIを開発・調達・維持できるように支援する、オープンなコミュニティです。 + +OWASPでは、以下のリソースを無料で公開しています。 + +- アプリケーションセキュリティのツールと標準 +- 最先端の研究成果 +- 標準的なセキュリティ制御 (Security Controls) とライブラリ +- セキュリティテスト、安全なコード開発、コードレビューに関する包括的なガイドブック +- プレゼンテーション資料および[動画](https://www.youtube.com/user/OWASPGLOBAL) +- 一般的なトピックを網羅した[チートシート (Cheat Sheets)](https://cheatsheetseries.owasp.org/) +- 世界各地やオンラインで開催される[チャプター (Chapters) 会合](https://owasp.org/chapters/) +- [イベント、トレーニング、カンファレンス](https://owasp.org/events/) +- [Google グループ](https://groups.google.com/g/owasp) + +詳細は公式サイトをご覧ください: [https://owasp.org](https://owasp.org) + +アプリケーションセキュリティの向上に関心がある方ならどなたでも、OWASPのツール、ドキュメント、動画、資料、会合へ自由にアクセスできます。 + +私たちは、アプリケーションセキュリティを「人、プロセス、テクノロジー」の三側面からなる課題として捉えることを提唱しています。これらすべての領域を改善することこそが、最も効果的なアプローチだからです。 + +OWASPは、既存の組織とは一線を画しています。商業的な圧力から自由であるため、偏りのない、実用的かつ費用対効果の高い情報を発信し続けることが可能です。 + +私たちは特定のテクノロジー企業とは提携していませんが、商用セキュリティ技術を正しく理解し活用することを支援しています。OWASPが制作する多種多様な資料は、協力的かつ透明性の高い、オープンな方法で作成されています。 + +OWASP Foundation は、プロジェクトの長期的な成功を支える非営利団体です。理事会、チャプターリーダー、プロジェクトリーダー、そしてメンバーに至るまで、関わる人々のほとんどがボランティアで構成されています。私たちは、助成金やインフラの提供を通じて、革新的なセキュリティ研究を支援しています。 + +ぜひ、私たちの活動に加わってください! + +## 著作権とライセンス (Copyright and License) + +![License](../assets/license.png) + +Copyright © 2003-2025 The OWASP® Foundation, Inc. 本ドキュメントは、クリエイティブ・コモンズ 表示 - 継承 4.0 (CC BY-SA 4.0) ライセンスのもとで公開されています。再利用または配布にあたっては、本作品のライセンス条項を他者に明示する必要があります。 + diff --git a/2025/docs/ja/0x02_2025-What_are_Application_Security_Risks.md b/2025/docs/ja/0x02_2025-What_are_Application_Security_Risks.md new file mode 100644 index 000000000..66d738630 --- /dev/null +++ b/2025/docs/ja/0x02_2025-What_are_Application_Security_Risks.md @@ -0,0 +1,101 @@ +# アプリケーションセキュリティのリスクとは? (What are Application Security Risks?) + +攻撃者は、アプリケーション内のさまざまな経路を悪用し、ビジネスや組織に損害を与える恐れがあります。これらの経路の一つひとつが潜在的なリスクであり、慎重な調査が必要です。 + +![Calculation diagram](../assets/2025-algorithm-diagram.png) + + + + + + + + + + + + + + + + + + +
+ 脅威主体
(Threat Agents) + 		+ 攻撃ベクトル
(Attack Vectors) + 		+ 悪用可能性
(Exploitability) + 		+ セキュリティ制御の
欠如による可能性
(Likelihood of Missing Security Controls) + 		+ 技術面への影響
(Technical Impacts) + 		+ ビジネス面への影響
(Business Impacts) +
+ 環境や状況把握に基づく動的な変化 + + アプリケーションの露出状況(環境別) + + 平均加重悪用スコア + + 平均出現率に基づく制御の欠如
(テスト網羅率で加重) + 		+ 平均加重影響スコア + + ビジネス固有の影響 +
+ +OWASPのリスク格付けでは、悪用可能性、弱点に対するセキュリティ制御の欠如による平均的な可能性、および技術面への影響という普遍的なパラメータを考慮しています。 + +ただし、組織、脅威主体の目的、侵害時の影響はそれぞれ異なります。たとえば、同じコンテンツ管理システム (CMS) を使用していても、公益法人が「公開情報」を扱う場合と、医療機関が「機微な健康情報」を扱う場合では、脅威主体やビジネス面への影響は大きく異なります。アプリケーションの露出状況、状況把握 (Situation Picture) に基づく適切な脅威主体(ビジネスや所在地に応じた標的型攻撃と無差別攻撃の両方を考慮)、および個別のビジネス面への影響を考慮し、自組織におけるリスクを理解することが不可欠です。 + + +## カテゴリの選定と順位付けへのデータ活用方法 + +OWASP Top 10 のカテゴリ選定手法は、時代とともに進化してきました。2017年版では出現率 (Incidence Rate) を中心に可能性を評価し、悪用可能性 (Exploitability)、検出可能性 (Detectability、これも可能性の一部)、技術面への影響について、数十年の経験に基づくチーム内での議論により順位を決定していました。2021年版からは、脆弱性データベース (NVD: National Vulnerability Database) の CVSSv2 および CVSSv3 スコアを活用して悪用可能性と技術面への影響を評価する手法へ移行し、2025年版でもこの手法を継承しています。 + +評価にあたっては、OWASP Dependency Check をダウンロードし、関連する CWE (共通弱点一覧) ごとにグループ化された CVE (共通脆弱性識別子) の CVSS 悪用スコアと影響スコアを抽出しました。これには相当の調査と労力を要しました。すべての CVE には CVSSv2 スコアがありますが、CVSSv2 には欠陥があり、CVSSv3 で対処されるべきものです。ある時点以降、すべての CVE には CVSSv3 スコアも割り当てられています。また、CVSSv2 と CVSSv3 の間でスコアリング範囲と計算式が更新されました。 + +CVSSv2 では、悪用スコアと技術面への影響スコアの両方が最大 10.0 になる可能性がありましたが、計算式により悪用スコアは 60%、影響スコアは 40% に低減されていました。CVSSv3 では、理論上の最大値は悪用スコアが 6.0、影響スコアが 4.0 に制限されました。重み付けを考慮すると、2021年版 Top 10 の分析時点で、影響スコアは CVSSv3 で平均約 1.5 ポイント高くなり、悪用可能性は平均約 0.5 ポイント低くなりました。 + +OWASP Dependency Check から抽出した National Vulnerability Database (NVD) には、CWE にマッピングされた約 17 万 5 千件(2021年の 12 万 5 千件から増加)の CVE レコードがあります。また、CVE にマッピングされたユニークな CWE は 643 件(2021年の 241 件から増加)あります。抽出された約 22 万件の CVE のうち、16 万件が CVSS v2 スコア、15 万 6 千件が CVSS v3 スコア、6 千件が CVSS v4 スコアを持っています。多くの CVE が複数のスコアを持つため、合計は 22 万件を超えます。 + +Top 10 2025 では、以下の方法で平均悪用スコアと影響スコアを計算しました。CVSS スコアを持つすべての CVE を CWE ごとにグループ化し、CVSSv3 を持つ母集団の割合と、残りの CVSSv2 を持つ母集団で悪用スコアと影響スコアの両方を重み付けして、全体の平均を算出しました。これらの平均をデータセット内の CWE にマッピングし、リスク方程式のもう半分として悪用スコアと技術面への影響スコアとして使用しました。 + +CVSS v4.0 を使用しないのはなぜかと思われるかもしれません。これは、スコアリングアルゴリズムが根本的に変更され、CVSSv2 や CVSSv3 のように「悪用」や「影響」スコアを簡単に提供できなくなったためです。Top 10 の将来のバージョンで CVSS v4.0 スコアを使用する方法を検討する予定ですが、2025年版では適時に対応する方法を見つけることができませんでした。 + +出現率の算出にあたっては、ある組織が一定期間にテストしたアプリケーション母集団から、各 CWE に対して脆弱なアプリケーションの割合を計算しました。念のため確認しますが、私たちは頻度(問題がアプリケーション内で何回発生したか)は使用しておらず、アプリケーション母集団のうち何パーセントに各 CWE が見つかったかに着目しています。 + +網羅率については、特定の CWE に対してすべての組織がテストしたアプリケーションの割合を確認しています。算出された網羅率が高いほど、サンプルサイズが母集団をより代表しているため、出現率が正確であるという確証が強くなります。 + +今回使用した計算式は 2021年版と類似していますが、一部の重み付けに変更があります。 +**(最大出現率% * 1000) + (最大網羅率% * 100) + (平均悪用スコア * 10) + (平均影響スコア * 20) + (出現総数 / 10000) = リスクスコア** + +この式で算出されたスコアは、「アクセス制御の不備」の 621.60 から、「メモリ管理エラー」の 271.08 まで多岐にわたります。 + +これは完璧なシステムではありませんが、リスクカテゴリの順位付けには有用です。 + +今後増大する課題の一つは、「アプリケーション」の定義です。業界がマイクロサービスや従来のアプリケーションより小さい実装で構成されるさまざまなアーキテクチャへ移行するにつれ、計算がより困難になっています。たとえば、組織がコードリポジトリをテストしている場合、何をアプリケーションとみなすのでしょうか? CVSSv4 の成長と同様に、次回の Top 10 では、常に変化する業界に対応するため、分析とスコアリングの調整が必要になるかもしれません。 + +## データ要素 (Data Factors) + +各カテゴリに記載されているデータ要素の意味は以下の通りです。 + +**CWEs Mapped (紐付けられたCWE数):** 各カテゴリに割り当てられた CWE の総数。 + +**Incidence Rate (出現率):** 調査対象のアプリケーション群のうち、その CWE が一つ以上見つかったアプリケーションの割合。 + +**Weighted Exploit (加重悪用スコア):** CWE に紐づく CVE の CVSS 悪用可能性サブスコアを正規化し、10段階で評価したもの。 + +**Weighted Impact (加重影響スコア):** CWE に紐づく CVE の CVSS 影響サブスコアを正規化し、10段階で評価したもの。 + +**(Testing) Coverage (テスト網羅率):** すべての組織において、その CWE を対象としたテストが行われたアプリケーションの割合。 + +**Total Occurrences (出現総数):** そのカテゴリに属する CWE が見つかったアプリケーションの延べ数。 + +**Total CVEs (CVE総数):** NVD データベース上で、そのカテゴリ内の CWE に紐付けられている CVE の総数。 + +**Formula (計算式):** (最大出現率% * 1000) + (最大網羅率% * 100) + (平均悪用スコア * 10) + (平均影響スコア * 20) + (出現総数 / 10000) = リスクスコア + diff --git a/2025/docs/ja/0x03_2025-Establishing_a_Modern_Application_Security_Program.md b/2025/docs/ja/0x03_2025-Establishing_a_Modern_Application_Security_Program.md new file mode 100644 index 000000000..d60b03f2a --- /dev/null +++ b/2025/docs/ja/0x03_2025-Establishing_a_Modern_Application_Security_Program.md @@ -0,0 +1,210 @@ +# 今日求められるアプリケーションセキュリティ・プログラムの構築 (Establishing a Modern Application Security Program) + +OWASP Top 10 は、対象となるトピックの最も重大なリスクを周知するための啓発文書です。これは網羅的なリストではなく、あくまで出発点に過ぎません。これまでの版では、これらのリスクを回避するためにアプリケーションセキュリティ・プログラムを開始することを推奨してきましたが、本セクションでは、実効性のあるプログラムをどのように開始し、構築していくかに焦点を当てます。 + +すでにプログラムを運用している場合は、[OWASP SAMM (Software Assurance Maturity Model)](https://owasp.org/www-project-samm/) や DSOMM (DevSecOps Maturity Model) を用いた成熟度評価を検討してください。これらのモデルは包括的かつ網羅的であり、プログラムを拡張・成熟させるためにどこに注力すべきかを判断するのに役立ちます。なお、SAMM や DSOMM のすべてを完璧にこなす必要はありません。これらはあくまでガイドであり、多くの選択肢を提示するものです。達成不可能な標準や、負担できないプログラムを提示するものではありません。多くのアイデアや選択肢を提供するために、広範な内容となっています。 + +ゼロからプログラムを開始する場合や、SAMM/DSOMM が現時点では負担が大きいと感じる場合は、以下の助言を参考にしてください。 + + +### 1. リスクに基づくポートフォリオ・アプローチの確立 + +* ビジネスの視点から、アプリケーション・ポートフォリオの保護ニーズを特定します。これには、保護対象となるデータ資産に関連するプライバシー法やその他の規制を考慮する必要があります。 +* 組織のリスク許容度を反映した、一貫性のある可能性 (Likelihood) と影響 (Impact) の要因を備えた[共通リスク評価モデル](https://owasp.org/www-community/OWASP_Risk_Rating_Methodology)を確立します。 +* すべてのアプリケーションと API を測定し、優先順位を付けます。その結果を[構成管理データベース (CMDB)](https://de.wikipedia.org/wiki/Configuration_Management_Database) に追加してください。 +* 必要なテストの網羅率 (Coverage) と厳格さのレベルを適切に定義するための、アシュアランス・ガイドラインを策定します。 + + +### 2. 強固な基盤によるイネーブルメント + +* すべての開発チームが遵守すべきセキュリティ・ベースラインとして、重点的なポリシーと標準を確立します。 +* これらのポリシーを補完し、設計・開発の指針となる、再利用可能な共通のセキュリティ制御 (Security Controls) を定義します。 +* 開発者の役割やトピックに合わせた、必須かつ標的を絞ったアプリケーションセキュリティのトレーニング・カリキュラムを確立します。 + + +### 3. 既存プロセスへのセキュリティ統合 + +* 安全な実装と検証のアクティビティを、既存の開発・運用プロセスへ定義・統合します。 +* アクティビティには、脅威モデリング (Threat Modeling)、安全な設計と設計レビュー、安全なコーディングとコードレビュー、ペネトレーションテスト、および脆弱性の修正 (Remediation) が含まれます。 +* 開発・プロジェクトチームが成功できるよう、専門家 (SME: Subject Matter Experts) やサポートサービスを提供します。 +* 現在のシステム開発ライフサイクル (SDLC) と、すべてのソフトウェアセキュリティ活動、ツール、ポリシー、プロセスを確認し、文書化します。 +* 新規ソフトウェアについては、SDLC の各フェーズに 1 つ以上のセキュリティ・アクティビティを追加します。これらのアクティビティをすべての新プロジェクトで確実に実施することで、許容可能なセキュリティポスチャでソフトウェアが提供されるようになります。 +* 最終製品が組織のリスク許容レベルを満たすよう、アクティビティを選択してください。 +* 既存のソフトウェア(レガシー資産)については、正式なメンテナンス計画を策定してください。詳細は「運用と変更管理」のセクションを参照してください。 + + +### 4. アプリケーションセキュリティ教育 + +* セキュリティチャンピオン・プログラムや、開発者向けの一般的なセキュリティ教育プログラム(普及啓発 (Advocacy) やセキュリティ意識向上プログラムとも呼ばれます)の開始を検討してください。開発者に知っておいてほしいすべてのことを教えるためです。これにより開発者の知識を最新の状態に保ち、安全に業務を行う方法を伝え、組織のセキュリティ文化をよりポジティブなものにできます。また、チーム間の信頼を高め、より良い仕事関係につながることも多いです。OWASP は [OWASP Security Champions Guide](https://securitychampions.owasp.org/) を通じてこの活動を支援しており、段階的に拡張されています。 +* [OWASP Education Project](https://owasp.org/www-project-education/) では、開発者向けのトレーニング資料を提供しています。ハンズオン学習には [OWASP Juice Shop](https://owasp.org/www-project-juice-shop/) や [OWASP WebGoat](https://owasp.org/www-project-webgoat/) が最適です。また、最新情報の収集には [OWASP カンファレンス](https://owasp.org/events/)や各地の [OWASP チャプター会合](https://owasp.org/chapters/)を活用してください。 + + +### 5. マネジメントへの可視化提供 + +* メトリクスに基づく管理を徹底してください。収集したメトリクスと分析データに基づき、改善や資金投入の意思決定を行います。メトリクスには、セキュリティ慣行の遵守状況、発生した脆弱性、緩和された脆弱性、テスト網羅率、タイプ別の不備密度などが含まれます。 +* 実装と検証のアクティビティから得られたデータを分析し、根本原因や脆弱性のパターンを特定することで、全社規模での戦略的かつ体系的な改善を推進します。失敗から学び、改善を促進するためのポジティブなインセンティブを提供してください。 + + +## 繰り返し利用可能なセキュリティ・プロセスの確立と標準的制御の活用 + +### 要件とリソース管理フェーズ: + +* ビジネス部門と協力し、すべてのデータ資産の機密性、真正性、完全性、可用性に関する保護要件、および期待されるビジネスロジックを含む要件を収集・調整します。 +* 機能的および非機能的なセキュリティ要件を含む技術要件をまとめます。要件設定のガイドとして、[OWASP ASVS (Application Security Verification Standard)](https://owasp.org/www-project-application-security-verification-standard/) の活用を推奨します。 +* セキュリティ・アクティビティを含む、設計、構築、テスト、運用のあらゆる側面をカバーする予算を計画・交渉します。 +* プロジェクトのスケジュールにセキュリティ・アクティビティを追加します。 +* プロジェクトのキックオフ時にセキュリティ担当者として自己紹介を行い、相談先を明確にします。 + + +### 提案依頼書 (RFP) と契約: + +* 内部または外部の開発者と、SDLC やベストプラクティスを含むセキュリティ要件を交渉します。 +* 計画・設計フェーズを含む、すべての技術要件の達成度を評価します。 +* 設計、セキュリティ、サービスレベル合意書 (SLA) を含むすべての技術要件を交渉します。 +* [OWASP Secure Software Contract Annex](https://owasp.org/www-community/OWASP_Secure_Software_Contract_Annex) などのテンプレートやチェックリストを採用してください。
**注記:** *この附則は米国契約法向けに作成されています。サンプル附則を使用する前に、資格のある法律専門家のアドバイスを受けてください。* + + +### 計画と設計フェーズ: + +* 開発者やセキュリティ専門家などの内部ステークホルダーと、計画および設計について交渉します。 +* 保護ニーズと想定される脅威レベルに適した、セキュリティ・アーキテクチャ、制御、対抗策、および設計レビューを定義します。 +* セキュリティを後付けするのではなく、最初から設計に組み込む方がはるかに費用対効果が高くなります。出発点として [OWASP Cheat Sheets](https://cheatsheetseries.owasp.org/index.html) や [OWASP Proactive Controls](https://top10proactive.owasp.org/) を活用してください。 +* [脅威モデリング](https://cheatsheetseries.owasp.org/cheatsheets/Threat_Modeling_Cheat_Sheet.html)を実施します。 +* ソフトウェアアーキテクトに安全な設計コンセプトとパターンを教育し、設計への反映を促します。 +* 開発者とともにデータフローを検証します。 +* 他のユーザーストーリーと並んで、セキュリティに関するユーザーストーリーを追加します。 + + +### 安全な開発ライフサイクル (Secure Development Lifecycle): + +* 組織のソフトウェア構築プロセスを改善するために、[OWASP SAMM (Software Assurance Maturity Model)](https://owasp.org/www-project-samm/) の活用を推奨します。 +* 開発者に対し、安全なコーディングや堅牢なアプリケーション構築のためのトレーニングを提供します。 +* コードレビューを実施します。[OWASP Cheat Sheet: Secure Code Review](https://cheatsheetseries.owasp.org/cheatsheets/Secure_Code_Review_Cheat_Sheet.html) を参照してください。 +* 静的分析 (SAST)、ソフトウェア組成分析 (SCA)、シークレットスキャン、[IaC (Infrastructure-as-Code)](https://cheatsheetseries.owasp.org/cheatsheets/Infrastructure_as_Code_Security_Cheat_Sheet.html) スキャナーなどのツールを提供し、使い方を教育します。 +* 可能であれば、開発者をより安全な選択へと導くためのガードレール(技術的な保護策)を作成します。 +* 強力で使いやすいセキュリティ制御を構築することは困難です。可能な限り安全なデフォルトを提供し、最も簡単な方法が最も安全な方法となる「舗装された道 (Paved Roads)」(明らかに好ましい方法)を整備してください。[OWASP Cheat Sheets](https://cheatsheetseries.owasp.org/index.html) は開発者にとって良い出発点であり、多くのモダンフレームワークには認可、検証、CSRF 防止などの標準的かつ効果的なセキュリティ制御が組み込まれています。 +* IDE 用のセキュリティプラグインを提供し、活用を推奨します。 +* シークレット管理ツールとライセンス、およびその使用方法に関するドキュメントを提供します。 +* プライベート AI を提供してください。理想的には、有用なセキュリティドキュメントを満載した RAG (Retrieval-Augmented Generation) サーバー、成果を高めるプロンプト集、および組織のセキュリティツールを呼び出す MCP (Model Context Protocol) サーバーを備えた環境が望ましいです。開発者は好むと好まざるとにかかわらず AI を利用するため、安全な使い方を教育してください。 + + +### 継続的なアプリケーションセキュリティテストの確立: + +* 技術的な機能や IT アーキテクチャとの統合をテストし、ビジネス部門と協力してテストを調整します。 +* 技術的・ビジネス的視点から「正常系 (use)」と「異常系 (abuse)」のテストケースを作成します。 +* 内部プロセス、保護ニーズ、および想定される脅威レベルに従って、セキュリティテストを管理します。 +* セキュリティテストツール(ファザー、DAST など)と安全なテスト環境、およびトレーニングを提供します。または、代わりにテストを実施するか、テスターを雇用してください。 +* 高いレベルのアシュアランスが必要な場合は、正式なペネトレーションテスト、ストレステスト、パフォーマンステストを検討してください。 +* 開発者と協力してバグレポートから修正すべき項目を決定し、マネージャーは修正のための時間を確保するようにします。 + + +### ロールアウト: + +* アプリケーションを運用開始し、必要に応じて旧アプリケーションから移行します。 +* 構成管理データベース (CMDB) やセキュリティ・アーキテクチャを含む、すべてのドキュメントを完成させます。 + + +### 運用と変更管理: + +* 運用には、アプリケーションのセキュリティ管理に関するガイドライン(例:パッチ管理)を含める必要があります。 +* ユーザーのセキュリティ意識を高め、使いやすさとセキュリティの相反する要求を管理します。 +* OS、ミドルウェア、ライブラリなどのコンポーネントの更新や移行を含む変更を計画・管理します。 +* すべてのアプリをインベントリに登録し、詳細を文書化します。CMDB、セキュリティ・アーキテクチャ、制御、対抗策、運用手順書 (Runbook) などを最新の状態に保ちます。 +* すべてのアプリでロギング、監視、アラートを実施します。不足している場合は追加してください。 +* 効果的かつ効率的なアップデートとパッチ適用のためのプロセスを構築します。 +* 定期的なスキャン(動的、静的、シークレット、IaC、SCA)をスケジュールします。 +* セキュリティバグの修正に関する SLA を策定します。 +* 従業員(および理想的には顧客)がバグを報告できる手段を提供します。 +* ソフトウェア攻撃の手法や可観測性 (Observability) ツールを理解した、訓練済みのインシデント対応チームを確立します。 +* 自動化された攻撃を阻止するためのブロッキングまたはシールドツールを運用します。 +* 年に一度(またはそれ以上)、設定の要塞化 (Hardening) を実施します。 +* 少なくとも年に一度はペネトレーションテストを実施してください(アプリに必要なアシュアランスのレベルによります)。 +* ソフトウェアサプライチェーンの要塞化と保護のためのプロセスとツールを確立します。 +* 最も重要なアプリケーションとその維持に使用するツールを含めた、ビジネス継続性計画 (BCP) と災害復旧 (DR) 計画を確立・更新します。 + + +### システムの廃止: + +* 必要なデータはアーカイブし、それ以外のデータは安全に消去します。 +* 未使用のアカウント、ロール、権限を削除し、アプリケーションを安全に廃止します。 +* CMDB 上でアプリケーションの状態を「廃止 (retired)」に変更します。 + + +## OWASP Top 10 を標準として利用する場合 + +OWASP Top 10 は主に啓発を目的とした文書ですが、2003年の開始以来、業界の事実上の標準 (de facto standard) として利用されてきました。本ドキュメントをコーディングやテストの標準として利用する場合、それは「最低限の出発点」に過ぎないことを認識してください。 + +標準として使用するのが難しい理由の一つに、本ドキュメントが必ずしも容易にテスト可能な問題ではなく、AppSec の「リスク」を記述している点が挙げられます。例えば [A06:2025-安全性を欠いた設計](A06_2025-Insecure_Design.md) は、ほとんどのテスト手法の範囲を超えています。また、ロギングと監視が実際に導入され、使用され、効果的に機能しているかの確認は、インタビューや効果的なインシデント対応のサンプリング調査を通じてのみ可能です。静的コード分析ツールはロギングの欠如を検出できますが、ビジネスロジックやアクセス制御が重大なセキュリティ侵害をロギングしているかどうかを判断することは不可能かもしれません。ペネトレーションテスターは、テスト環境でインシデント対応を発動させたことを確認できるかもしれませんが、テスト環境は本番環境と同じ方法で監視されていることはほとんどありません。 + +以下に、OWASP Top 10 の適切な利用場面をまとめます。 + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
ユースケースOWASP Top 10 2025OWASP ASVS
啓発 (Awareness)はい
トレーニング初級レベル包括的
設計とアーキテクチャ時々はい
コーディング標準最低限はい
安全なコードレビュー最低限はい
ピアレビュー・チェックリスト最低限はい
ユニットテスト時々はい
統合テスト時々はい
ペネトレーションテスト最低限はい
ツールによるサポート最低限はい
サプライチェーンの安全確保時々はい
+ + +アプリケーションセキュリティ標準を導入する場合は、検証・テストが容易な [OWASP ASVS (Application Security Verification Standard)](https://owasp.org/www-project-application-security-verification-standard/) の利用を強く推奨します。 + +ツールベンダーが準拠を主張できる唯一の選択肢は ASVS でしょう。[A06:2025-安全性を欠いた設計](A06_2025-Insecure_Design.md) を参照すればわかるように、OWASP Top 10 のいくつかのリスクの性質上、ツールだけで OWASP Top 10 を包括的に検出、テスト、または保護することはできません。OWASP は OWASP Top 10 の完全なカバレッジを主張することを推奨していません。それは単に真実ではないからです。 + + diff --git a/2025/docs/ja/A01_2025-Broken_Access_Control.md b/2025/docs/ja/A01_2025-Broken_Access_Control.md new file mode 100644 index 000000000..62945f607 --- /dev/null +++ b/2025/docs/ja/A01_2025-Broken_Access_Control.md @@ -0,0 +1,145 @@ +# A01:2025 アクセス制御の不備 (Broken Access Control) ![icon](../assets/TOP_10_Icons_Final_Broken_Access_Control.png){:style="height:80px;width:80px" align="right"} + +## 背景 (Background) + +「アクセス制御の不備」は、OWASP Top 10 の第1位を維持しています。テストされたすべてのアプリケーションで、何らかの形でアクセス制御の不備が見つかりました。主な CWE (共通弱点一覧) には、認可されていない者への機密情報の露出 (CWE-200)、送信データによる機密情報の露出 (CWE-201)、サーバーサイドリクエストフォージェリ (SSRF: CWE-918)、およびクロスサイトリクエストフォージェリ (CSRF: CWE-352) が含まれます。本カテゴリは、収集データにおいて出現回数が最も多く、関連する CVE (共通脆弱性識別子) 数は第2位を記録しています。 + +## スコアテーブル (Score Table) + + + + + + + + + + + + + + + + + + + + + + + + +
紐付けられた CWE 数最大出現率平均出現率最大網羅率平均網羅率平均加重悪用スコア平均加重影響スコア出現総数CVE 総数
4020.15%3.74%100.00%42.93%7.043.841,839,70132,654
+ +## 説明 (Description) + +アクセス制御は、ユーザーが意図された権限を超えて行動できないよう、ポリシーを強制することです。制御に失敗すると、通常は情報の不正開示、データの改ざんや破壊、あるいは権限外のビジネス機能の実行を招きます。一般的なアクセス制御の脆弱性は以下の通りです。 + +* **最小権限の原則 (Principle of Least Privilege) への違反:** 特定の機能やロールに対してのみアクセスを許可すべきところ、デフォルトですべてのユーザーにアクセスを許可している状態。 +* **アクセス制御チェックの回避:** URL(パラメータの改ざんや強制ブラウズ)、アプリケーションの内部状態、HTML ページの改ざん、あるいは攻撃ツールによる API リクエストの変更を通じたチェックの回避。 +* **IDOR (安全でない直接オブジェクト参照) :** 一意の識別子を書き換えることで、他人のアカウントを表示・編集できる状態。 +* **API の制御不備:** POST、PUT、DELETE に対するアクセス制御が欠如した API。 +* **権限の昇格 (Elevation of Privilege) :** ログインせずにユーザーとして行動することや、一般ユーザーが管理者権限を取得するなど、想定外の権限を得ること。 +* **メタデータの操作:** JSON Web Token (JWT) や Cookie、隠しフィールドなどの改ざん、あるいは JWT の無効化処理の悪用による権限昇格。 +* **CORS (オリジン間リソース共有) の設定ミス:** 認可されていない、あるいは信頼できないオリジンからの API アクセスを許可している状態。 +* **強制ブラウズ (Forced Browsing) :** 認証が必要なページや権限が必要なページに対して、URL を推測して直接アクセスを試みること。 + +## 防止方法 (How to Prevent) + +アクセス制御が効果を発揮するのは、攻撃者がチェック処理やメタデータを変更できない、信頼できるサーバー側のコードまたはサーバーレス API で実装されている場合のみです。 + +* **デフォルトで拒否 (Deny by Default) :** 公開リソースを除き、原則としてすべてのアクセスを拒否してください。 +* **仕組みの再利用:** アクセス制御の仕組みは一度だけ実装し、CORS の使用を最小限に抑えるなど、アプリケーション全体で再利用してください。 +* **レコード所有権の強制:** 単に作成・読み取り・更新・削除を許可するのではなく、各レコードの所有権に基づいたアクセス制御をモデル上で強制してください。 +* **ドメインモデルでの制限:** アプリケーション固有のビジネス制限要件を、ドメインモデルによって強制してください。 +* **ディレクトリ一覧の無効化:** Web サーバーのディレクトリ一覧表示機能を無効化してください。また、ファイルのメタデータ(.git など)やバックアップファイルが公開ディレクトリ内に存在しないことを確認してください。 +* **ログとアラート:** アクセス制御の失敗をログに記録し、繰り返しの失敗などが必要な場合は管理者にアラートを通知してください。 +* **レート制限 (Rate Limits) :** 自動化された攻撃ツールによる被害を最小限に抑えるため、API やコントローラーへのアクセスにレート制限を導入してください。 +* **セッションの無効化:** ログアウト後は、ステートフルなセッション識別子をサーバー側で無効化してください。ステートレスな JWT トークンは、攻撃の機会を減らすために有効期間を短く設定してください。長期有効な JWT の場合は、リフレッシュトークンの使用や OAuth 標準に準拠したアクセス取消を検討してください。 +* **確立されたパターンの活用:** シンプルで宣言的なアクセス制御を提供する、実績のあるツールキットやパターンを使用してください。 + +開発者および QA 担当者は、ユニットテストおよび統合テストにアクセス制御の機能テストを組み込む必要があります。 + +## 攻撃シナリオの例 (Example Attack Scenarios) + +**シナリオ #1:** アカウント情報へのアクセスに、検証されていないデータを使用した SQL 呼び出しが行われている。 + +```java +pstmt.setString(1, request.getParameter("acct")); +ResultSet results = pstmt.executeQuery( ); + +``` + +攻撃者はブラウザの `acct` パラメータを書き換えるだけで、任意の口座番号を送信できます。適切に検証されていない場合、攻撃者は他人のアカウントにアクセスできてしまいます。 + +``` +https://example.com/app/accountInfo?acct=notmyacct +``` + +**シナリオ #2:** 攻撃者が管理ページなどの特定の URL に対して強制ブラウズを試みる。管理ページへのアクセスには管理者権限が必要です。 + +``` +https://example.com/app/getappInfo +https://example.com/app/admin_getappInfo +``` + +未認証のユーザーがどちらのページにもアクセスできる場合や、一般ユーザーが管理ページにアクセスできる場合は、不備があると言えます。 + +**シナリオ #3:** アプリケーションがアクセス制御をフロントエンドのみで実装している。ブラウザ上の JavaScript により `https://example.com/app/admin_getappInfo` へのアクセスがブロックされていても、攻撃者はコマンドラインから直接リクエストを実行できます。 + +```bash +$ curl https://example.com/app/admin_getappInfo +``` + +## 関連資料 (References) + +* [OWASP Proactive Controls: C1: Implement Access Control](https://top10proactive.owasp.org/archive/2024/the-top-10/c1-accesscontrol/) +* [OWASP Application Security Verification Standard: V8 Authorization](https://github.com/OWASP/ASVS/blob/master/5.0/en/0x17-V8-Authorization.md) +* [OWASP Testing Guide: Authorization Testing](https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/05-Authorization_Testing/README) +* [OWASP Cheat Sheet: Authorization](https://cheatsheetseries.owasp.org/cheatsheets/Authorization_Cheat_Sheet.html) +* [PortSwigger: Exploiting CORS misconfiguration](https://portswigger.net/blog/exploiting-cors-misconfigurations-for-bitcoins-and-bounties) +* [OAuth: Revoking Access](https://www.oauth.com/oauth2-servers/listing-authorizations/revoking-access/) + +## 紐付けられた CWE 一覧 (List of Mapped CWEs) + +* [CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')](https://cwe.mitre.org/data/definitions/22.html) +* [CWE-23 Relative Path Traversal](https://cwe.mitre.org/data/definitions/23.html) +* [CWE-36 Absolute Path Traversal](https://cwe.mitre.org/data/definitions/36.html) +* [CWE-59 Improper Link Resolution Before File Access ('Link Following')](https://cwe.mitre.org/data/definitions/59.html) +* [CWE-61 UNIX Symbolic Link (Symlink) Following](https://cwe.mitre.org/data/definitions/61.html) +* [CWE-65 Windows Hard Link](https://cwe.mitre.org/data/definitions/65.html) +* [CWE-200 Exposure of Sensitive Information to an Unauthorized Actor](https://cwe.mitre.org/data/definitions/200.html) +* [CWE-201 Exposure of Sensitive Information Through Sent Data](https://cwe.mitre.org/data/definitions/201.html) +* [CWE-219 Storage of File with Sensitive Data Under Web Root](https://cwe.mitre.org/data/definitions/219.html) +* [CWE-276 Incorrect Default Permissions](https://cwe.mitre.org/data/definitions/276.html) +* [CWE-281 Improper Preservation of Permissions](https://cwe.mitre.org/data/definitions/281.html) +* [CWE-282 Improper Ownership Management](https://cwe.mitre.org/data/definitions/282.html) +* [CWE-283 Unverified Ownership](https://cwe.mitre.org/data/definitions/283.html) +* [CWE-284 Improper Access Control](https://cwe.mitre.org/data/definitions/284.html) +* [CWE-285 Improper Authorization](https://cwe.mitre.org/data/definitions/285.html) +* [CWE-352 Cross-Site Request Forgery (CSRF)](https://cwe.mitre.org/data/definitions/352.html) +* [CWE-359 Exposure of Private Personal Information to an Unauthorized Actor](https://cwe.mitre.org/data/definitions/359.html) +* [CWE-377 Insecure Temporary File](https://cwe.mitre.org/data/definitions/377.html) +* [CWE-379 Creation of Temporary File in Directory with Insecure Permissions](https://cwe.mitre.org/data/definitions/379.html) +* [CWE-402 Transmission of Private Resources into a New Sphere ('Resource Leak')](https://cwe.mitre.org/data/definitions/402.html) +* [CWE-424 Improper Protection of Alternate Path](https://cwe.mitre.org/data/definitions/424.html) +* [CWE-425 Direct Request ('Forced Browsing')](https://cwe.mitre.org/data/definitions/425.html) +* [CWE-441 Unintended Proxy or Intermediary ('Confused Deputy')](https://cwe.mitre.org/data/definitions/441.html) +* [CWE-497 Exposure of Sensitive System Information to an Unauthorized Control Sphere](https://cwe.mitre.org/data/definitions/497.html) +* [CWE-538 Insertion of Sensitive Information into Externally-Accessible File or Directory](https://cwe.mitre.org/data/definitions/538.html) +* [CWE-540 Inclusion of Sensitive Information in Source Code](https://cwe.mitre.org/data/definitions/540.html) +* [CWE-548 Exposure of Information Through Directory Listing](https://cwe.mitre.org/data/definitions/548.html) +* [CWE-552 Files or Directories Accessible to External Parties](https://cwe.mitre.org/data/definitions/552.html) +* [CWE-566 Authorization Bypass Through User-Controlled SQL Primary Key](https://cwe.mitre.org/data/definitions/566.html) +* [CWE-601 URL Redirection to Untrusted Site ('Open Redirect')](https://cwe.mitre.org/data/definitions/601.html) +* [CWE-615 Inclusion of Sensitive Information in Source Code Comments](https://cwe.mitre.org/data/definitions/615.html) +* [CWE-639 Authorization Bypass Through User-Controlled Key](https://cwe.mitre.org/data/definitions/639.html) +* [CWE-668 Exposure of Resource to Wrong Sphere](https://cwe.mitre.org/data/definitions/668.html) +* [CWE-732 Incorrect Permission Assignment for Critical Resource](https://cwe.mitre.org/data/definitions/732.html) +* [CWE-749 Exposed Dangerous Method or Function](https://cwe.mitre.org/data/definitions/749.html) +* [CWE-862 Missing Authorization](https://cwe.mitre.org/data/definitions/862.html) +* [CWE-863 Incorrect Authorization](https://cwe.mitre.org/data/definitions/863.html) +* [CWE-918 Server-Side Request Forgery (SSRF)](https://cwe.mitre.org/data/definitions/918.html) +* [CWE-922 Insecure Storage of Sensitive Information](https://cwe.mitre.org/data/definitions/922.html) +* [CWE-1275 Sensitive Cookie with Improper SameSite Attribute](https://cwe.mitre.org/data/definitions/1275.html) + diff --git a/2025/docs/ja/A02_2025-Security_Misconfiguration.md b/2025/docs/ja/A02_2025-Security_Misconfiguration.md new file mode 100644 index 000000000..9a223f46f --- /dev/null +++ b/2025/docs/ja/A02_2025-Security_Misconfiguration.md @@ -0,0 +1,112 @@ +# A02:2025 セキュリティ設定の不備 (Security Misconfiguration) ![icon](../assets/TOP_10_Icons_Final_Security_Misconfiguration.png){: style="height:80px;width:80px" align="right"} + + +## 背景 (Background) + +本カテゴリは、前回の第5位から第2位へと上昇しました。テストされたアプリケーションの100%で何らかの設定不備が見つかっており、平均出現率は3.00%、CWE(共通弱点一覧)の発生数は71万9千件を超えています。高度な設定が可能なソフトウェアへの移行が進むなか、この順位の上昇は必然と言えます。主要なCWEには、設定 (CWE-16) や、XML外部実体参照 (XXE: XML External Entity) の不適切な制限 (CWE-611) が含まれます。 + + +## スコアテーブル (Score Table) + + + + + + + + + + + + + + + + + + + + + + + + + +
紐付けられた CWE 数最大出現率平均出現率最大網羅率平均網羅率平均加重悪用スコア平均加重影響スコア出現総数CVE 総数
1627.70%3.00%100.00%52.35%7.963.97719,0841,375
+ + + +## 説明 (Description) + +セキュリティ設定の不備とは、システム、アプリケーション、またはクラウドサービスがセキュリティの観点から誤って構成され、脆弱性が生じている状態を指します。 + +以下の項目に当てはまる場合、アプリケーションは脆弱である可能性があります。 + +* アプリケーションスタックのいずれかの層において、適切なセキュリティ要塞化 (Hardening) が欠如している、あるいはクラウドサービスの権限設定が不適切である。 +* 不要な機能(ポート、サービス、ページ、アカウント、テスト用フレームワーク、権限など)が有効化またはインストールされている。 +* デフォルトのアカウントやパスワードが変更されずに有効なままである。 +* 過剰なエラーメッセージを捕捉する中央集中型の設定が欠如しており、スタックトレースなどの詳細な情報がユーザーに露出している。 +* システムのアップグレード時に、最新のセキュリティ機能が無効化されている、あるいは安全に設定されていない。 +* 後方互換性を過度に優先した結果、安全でない設定が維持されている。 +* アプリケーションサーバー、フレームワーク (Struts, Spring, ASP.NET 等)、ライブラリ、データベースなどのセキュリティ設定が安全な値になっていない。 +* サーバーがセキュリティヘッダーやディレクティブを送信していない、あるいはそれらが安全な値に設定されていない。 + +反復可能で一貫したアプリケーションセキュリティ設定の要塞化プロセスがなければ、システムのリスクは高まり続けます。 + + +## 防止方法 (How to Prevent) + +安全なインストールプロセスを実装する必要があります。これには以下の対策が含まれます。 + +* **反復可能な要塞化プロセス:** 適切にロックダウンされた環境を、迅速かつ容易にデプロイできるプロセスを確立してください。開発、QA、本番の各環境は同一の設定とし、認証情報のみを環境ごとに使い分けるべきです。このプロセスを自動化し、安全な環境構築の負荷を最小限に抑えてください。 +* **最小限のプラットフォーム:** 不要な機能、コンポーネント、ドキュメント、サンプルを含まない最小限のプラットフォームを構成してください。使用していない機能やフレームワークは削除するか、インストールしないでください。 +* **設定レビューとパッチ管理:** パッチ管理プロセスの一環として、セキュリティノートやアップデート、パッチに基づき設定をレビュー・更新してください([A03 ソフトウェアサプライチェーンの不備](A03_2025-Software_Supply_Chain_Failures.md) を参照)。クラウドストレージ(S3 バケット等)の権限設定も定期的にレビューしてください。 +* **セグメント化されたアーキテクチャ:** コンテナ化、セグメンテーション、あるいはクラウドのセキュリティグループ (ACL) を活用し、コンポーネント間やテナント間を安全に分離してください。 +* **セキュリティディレクティブの送信:** セキュリティヘッダーなどのディレクティブをクライアントへ送信してください。 +* **自動検証プロセス:** すべての環境において、設定の有効性を自動で検証するプロセスを導入してください。 +* **中央集中型のエラー管理:** 過剰なエラーメッセージをインターセプトする中央設定を、バックアップとして事前に導入してください。 +* **手動検証の実施:** 検証が自動化されていない場合は、少なくとも年に一度は手動で検証を実施してください。 +* **プラットフォーム機能の活用:** コードや設定ファイル、パイプラインに静的なキーやシークレットを埋め込むのではなく、プラットフォームが提供するアイデンティティ連携 (Identity Federation)、短命な認証情報 (Short-lived Credentials)、またはロールベースのアクセス制御を活用してください。 + + +## 攻撃シナリオの例 (Example Attack Scenarios) + +**シナリオ #1:** 本番サーバーからサンプルアプリケーションが削除されていなかった。攻撃者は、これらのサンプルに含まれる既知の脆弱性を悪用してサーバーを侵害した。さらに、管理コンソールのデフォルトパスワードが変更されていなかったため、攻撃者は管理者としてログインし、システムを完全に乗っ取った。 + +**シナリオ #2:** サーバーのディレクトリ一覧表示が無効化されていなかった。攻撃者はディレクトリ構造を把握し、コンパイル済みの Java クラスファイルをダウンロードした。これをデコンパイルしてソースコードをリバースエンジニアリングした結果、アプリケーションに重大なアクセス制御の欠陥があることを突き止めた。 + +**シナリオ #3:** アプリケーションサーバーの設定により、スタックトレースを含む詳細なエラーメッセージがユーザーに返されていた。これにより、機密情報や、使用されているコンポーネントのバージョン(脆弱性が既知のものを含む)といった内部情報が攻撃者に露呈した。 + +**シナリオ #4:** クラウドサービスプロバイダー (CSP) のデフォルト設定により、共有権限がインターネットに公開されていた。これにより、クラウドストレージ内に保存されていた機密データが第三者に奪取された。 + + +## 関連資料 (References) + +* [OWASP Testing Guide: Configuration Management](https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/02-Configuration_and_Deployment_Management_Testing/README) +* [OWASP Testing Guide: Testing for Error Codes](https://owasp.org/www-project-web-security-testing-guide/stable/4-Web_Application_Security_Testing/08-Testing_for_Error_Handling/01-Testing_For_Improper_Error_Handling) +* [Application Security Verification Standard V13 Configuration](https://github.com/OWASP/ASVS/blob/master/5.0/en/0x22-V13-Configuration.md) +* [NIST Guide to General Server Hardening](https://csrc.nist.gov/publications/detail/sp/800-123/final) +* [CIS Security Configuration Guides/Benchmarks](https://www.cisecurity.org/cis-benchmarks/) +* [Amazon S3 Bucket Discovery and Enumeration](https://blog.websecurify.com/2017/10/aws-s3-bucket-discovery.html) +* ScienceDirect: Security Misconfiguration + +## 紐付けられた CWE 一覧 (List of Mapped CWEs) + +* [CWE-5 J2EE Misconfiguration: Data Transmission Without Encryption](https://cwe.mitre.org/data/definitions/5.html) +* [CWE-11 ASP.NET Misconfiguration: Creating Debug Binary](https://cwe.mitre.org/data/definitions/11.html) +* [CWE-13 ASP.NET Misconfiguration: Password in Configuration File](https://cwe.mitre.org/data/definitions/13.html) +* [CWE-15 External Control of System or Configuration Setting](https://cwe.mitre.org/data/definitions/15.html) +* [CWE-16 Configuration](https://cwe.mitre.org/data/definitions/16.html) +* [CWE-260 Password in Configuration File](https://cwe.mitre.org/data/definitions/260.html) +* [CWE-315 Cleartext Storage of Sensitive Information in a Cookie](https://cwe.mitre.org/data/definitions/315.html) +* [CWE-489 Active Debug Code](https://cwe.mitre.org/data/definitions/489.html) +* [CWE-526 Exposure of Sensitive Information Through Environmental Variables](https://cwe.mitre.org/data/definitions/526.html) +* [CWE-547 Use of Hard-coded, Security-relevant Constants](https://cwe.mitre.org/data/definitions/547.html) +* [CWE-611 Improper Restriction of XML External Entity Reference](https://cwe.mitre.org/data/definitions/611.html) +* [CWE-614 Sensitive Cookie in HTTPS Session Without 'Secure' Attribute](https://cwe.mitre.org/data/definitions/614.html) +* [CWE-776 Improper Restriction of Recursive Entity References in DTDs ('XML Entity Expansion')](https://cwe.mitre.org/data/definitions/776.html) +* [CWE-942 Permissive Cross-domain Policy with Untrusted Domains](https://cwe.mitre.org/data/definitions/942.html) +* [CWE-1004 Sensitive Cookie Without 'HttpOnly' Flag](https://cwe.mitre.org/data/definitions/1004.html) +* [CWE-1174 ASP.NET Misconfiguration: Improper Model Validation](https://cwe.mitre.org/data/definitions/1174.html) + + diff --git a/2025/docs/ja/A03_2025-Software_Supply_Chain_Failures.md b/2025/docs/ja/A03_2025-Software_Supply_Chain_Failures.md new file mode 100644 index 000000000..932956551 --- /dev/null +++ b/2025/docs/ja/A03_2025-Software_Supply_Chain_Failures.md @@ -0,0 +1,134 @@ +# A03:2025 ソフトウェアサプライチェーンの不備 (Software Supply Chain Failures) ![icon](../assets/TOP_10_Icons_Final_Vulnerable_Outdated_Components.png){: style="height:80px;width:80px" align="right"} + +## 背景 (Background) + +このカテゴリには圧倒的な関心が集まっており、コミュニティ調査における回答者のちょうど半数が、第1位に選んだものです。2013年版に「既知の脆弱性を持つコンポーネントの利用」として初登場して以来、その対象範囲は拡大し、現在では既知の脆弱性だけでなく、サプライチェーン全域の失敗 (Software Supply Chain Failures) を含むようになっています。範囲が広がった一方で、特定の CWE (共通弱点一覧) と CVE (共通脆弱性識別子) の紐付けが難しく、依然として識別の難しさが課題となっています。しかし、収集データによれば、本カテゴリの平均出現率 (Incidence Rate) は 5.19% と全カテゴリの中で最高を記録しています。主要な CWE には、廃止された機能の利用 (CWE-477)、保守されていないサードパーティ製コンポーネントの利用 (CWE-1104)、更新不可能なコンポーネントへの依存 (CWE-1329)、および脆弱なサードパーティ製コンポーネントへの依存 (CWE-1395) が含まれます。 + +## スコアテーブル (Score Table) + + + + + + + + + + + + + + + + + + + + + + + + +
紐付けられた CWE 数最大出現率平均出現率最大網羅率平均網羅率平均加重悪用スコア平均加重影響スコア出現総数CVE 総数
69.56%5.72%65.42%27.47%8.175.23215,24811
+ +## 説明 (Description) + +ソフトウェアサプライチェーンの失敗とは、ソフトウェアの構築、配布、または更新のプロセスにおける破綻や侵害を指します。これらは多くの場合、システムが依存しているサードパーティ製のコード、ツール、またはその他の依存関係における脆弱性や悪意のある変更によって引き起こされます。 + +以下の項目に当てはまる場合、脆弱である可能性が高いと言えます。 + +* 使用しているすべてのコンポーネント(クライアント側およびサーバー側の両方)のバージョンを正確に把握していない。これには、直接使用するコンポーネントだけでなく、入れ子になった(透過的な (transitive))依存関係も含まれます。 +* ソフトウェアが脆弱であるか、サポートが終了しているか、あるいは古くなっている。対象は OS、Web/アプリケーションサーバー、データベース (DBMS)、API、ライブラリ、実行環境など多岐にわたります。 +* 脆弱性スキャンを定期的に実施しておらず、使用コンポーネントに関するセキュリティ情報の通知も受け取っていない。 +* サプライチェーン内の変更を追跡・管理するプロセスが欠如している。IDE (統合開発環境) の拡張機能や更新、コードリポジトリ、ビルド環境、ライブラリの保存方法など、あらゆる変更を文書化する必要があります。 +* アクセス制御と最小権限の原則 (Least Privilege) に重点を置いた、サプライチェーン全体の要塞化 (Hardening) が行われていない。 +* 職務分掌 (Separation of Duty) が確立されていない。他者のレビューなしに、一人の担当者がコードの記述から本番環境への反映までを完結できてしまう状態は危険です。 +* 信頼できないソースから入手したコンポーネントが、本番環境に使用されている、あるいは本番環境に影響を及ぼしうる状態にある。 +* プラットフォームやフレームワークのアップデートをリスクに基づいて迅速に行っていない。パッチ適用を月次や四半期ごとのルーチンに固定していると、脆弱性の発覚から修正までの間に、組織が不必要なリスクに晒されることになります。 +* 開発者が、パッチ適用後のライブラリの互換性テストを実施していない。 +* システムのあらゆる箇所の設定を安全に構成していない([A02:2025-セキュリティ設定の不備](https://owasp.org/Top10/2025/A02_2025-Security_Misconfiguration/) 参照)。 +* CI/CD パイプラインのセキュリティが、ビルド対象のシステムよりも脆弱である(特にパイプラインが複雑な場合)。 + +## 防止方法 (How to Prevent) + +以下の項目を含むパッチ管理プロセスを確立してください。 + +* **SBOM の一元管理:** ソフトウェア全体のソフトウェア部品表 (SBOM: Software Bill of Materials) を一元的に生成・管理してください。 +* **依存関係の追跡:** 直接的な依存関係だけでなく、透過的 (transitive) な依存関係もすべて追跡してください。 +* **攻撃面の削減:** 未使用の依存関係、不要な機能、コンポーネント、ファイル、ドキュメントを削除してください。 +* **継続的な目録化:** OWASP Dependency Track などのツールを用いて、コンポーネントとその依存関係のバージョンを常に目録化 (Inventory) してください。 +* **継続的な監視:** CVE や NVD、[Open Source Vulnerabilities (OSV)](https://osv.dev/) を監視し、使用コンポーネントの脆弱性情報を自動的に取得してください。 +* **信頼できるソースの利用:** コンポーネントは公式の信頼できるソースから、安全な通信経路を介してのみ入手してください。改ざんのリスクを減らすため、署名済みパッケージの利用を推奨します。 +* **戦略的なアップデート:** 依存関係のバージョンは慎重に選択し、必要が生じた際にのみアップグレードしてください。保守されていないライブラリを監視し、パッチ適用が不可能な場合は代替コンポーネントへの移行や、バーチャルパッチ (Virtual Patch) の導入を検討してください。 +* **開発ツールの更新:** CI/CD、IDE、その他の開発者向けツールを定期的に更新してください。 +* **段階的なデプロイ:** 全システムへの同時アップデートを避け、段階的リリース (Staged Rollout) やカナリアデプロイ (Canary Deployment) を活用して、ベンダー侵害時の被害を最小化してください。 + +また、以下の変更を追跡するための変更管理プロセスまたは追跡システムを確立してください。 + +* CI/CD の設定(すべてのビルドツールとパイプライン) +* コードリポジトリ +* サンドボックス環境 +* 開発者の IDE +* SBOM ツールおよび生成された成果物 +* ログシステムとログ +* SaaS などのサードパーティ統合 +* 成果物リポジトリ +* コンテナレジストリ + +また、以下のシステムにおいて要塞化 (Hardening) を実施し、多要素認証 (MFA) の導入とアクセス管理 (IAM) を厳格化してください。 + +* **コードリポジトリ:** シークレットのコミット禁止、ブランチ保護、バックアップの実施。 +* **開発者の端末:** 定期的なパッチ適用、監視の実施。 +* **ビルドサーバーと CI/CD:** 職務分掌、署名付きビルド、環境ごとに分離されたシークレット管理、改ざん防止ログの導入。 +* **成果物 (Artifacts):** 署名やタイムスタンプによる完全性の確保。環境ごとに再ビルドするのではなく、同一の成果物を昇格させるプロセス(不変のビルド)を徹底してください。 + +すべての組織は、アプリケーションやポートフォリオのライフサイクル全体を通じて、アップデートや設定変更を監視・選別・適用するための継続的な計画を確保しなければなりません。 + +## 攻撃シナリオの例 (Example Attack Scenarios) + +**シナリオ #1:信頼できるベンダーの侵害** +ベンダーがマルウェアに侵害され、アップデートを通じて利用者のシステムも侵害されるケースです。 +* **SolarWinds 侵害事件 (2019 年):** 約 18,000 の組織に影響を与えたサプライチェーン攻撃の代表例です。[詳細記事](https://www.npr.org/2021/04/16/985439655/a-worst-nightmare-cyberattack-the-untold-story-of-the-solarwinds-hack) + +**シナリオ #2:特定条件でのみ発動する悪意ある挙動** +* **Bybit 資産奪取事件 (2025 年):** [ウォレットソフトウェアへのサプライチェーン攻撃](https://www.sygnia.co/blog/sygnia-investigation-bybit-hack/)により、15 億ドルが盗まれました。この攻撃は、標的のウォレットが使用されている特定の条件下でのみ実行されるよう設計されていました。 + +**シナリオ #3:自己拡散型ワーム** +* **[`Shai-Hulud` サプライチェーン攻撃](https://www.cisa.gov/news-events/alerts/2025/09/23/widespread-supply-chain-compromise-impacting-npm-ecosystem) (2025 年):** npm エコシステムに影響を与えた、初の自己拡散型 npm ワームです。悪意のあるパッケージを起点に、インストール後スクリプト (Post-install Script) を介して機密データを窃取し、公開 GitHub リポジトリに流出させました。このワームは環境内の npm トークンを検知し、アクセス可能な他のパッケージにも自身を自動的にプッシュして拡散しました。npm によって阻止されるまでに 500 以上のパッケージバージョンに到達しました。このサプライチェーン攻撃は高度で拡散が速く、開発者のマシンを標的とすることで、開発者自身がサプライチェーン攻撃の主要な標的となっていることを示しました。 + +**シナリオ #4:コンポーネントの脆弱性の悪用** +* **Struts 2 (CVE-2017-5638):** 任意コード実行 (RCE) を可能にする脆弱性で、多くの情報漏洩の原因となりました。 +* **Log4Shell (CVE-2021-44228):** Apache Log4j における RCE のゼロデイ脆弱性で、広範な攻撃キャンペーンに悪用されました。 + +## 関連資料 (References) + +* [OWASP Application Security Verification Standard: V15 Secure Coding and Architecture](https://owasp.org/www-project-application-security-verification-standard/) +* [OWASP Cheat Sheet Series: Dependency Graph SBOM](https://cheatsheetseries.owasp.org/cheatsheets/Dependency_Graph_SBOM_Cheat_Sheet.html) +* [OWASP Cheat Sheet Series: Vulnerable Dependency Management](https://cheatsheetseries.owasp.org/cheatsheets/Vulnerable_Dependency_Management_Cheat_Sheet.html) +* [OWASP Dependency-Track](https://owasp.org/www-project-dependency-track/) +* [OWASP CycloneDX](https://owasp.org/www-project-cyclonedx/) +* [OWASP Application Security Verification Standard: V1 Architecture, design and threat modelling](https://owasp-aasvs.readthedocs.io/en/latest/v1.html) +* [OWASP Dependency Check (for Java and .NET libraries)](https://owasp.org/www-project-dependency-check/) +* OWASP Testing Guide - Map Application Architecture (OTG-INFO-010) +* [OWASP Virtual Patching Best Practices](https://owasp.org/www-community/Virtual_Patching_Best_Practices) +* [The Unfortunate Reality of Insecure Libraries](https://www.scribd.com/document/105692739/JeffWilliamsPreso-Sm) +* [MITRE Common Vulnerabilities and Exposures (CVE) search](https://www.cve.org) +* [National Vulnerability Database (NVD)](https://nvd.nist.gov) +* [Retire.js for detecting known vulnerable JavaScript libraries](https://retirejs.github.io/retire.js/) +* [GitHub Advisory Database](https://github.com/advisories) +* Ruby Libraries Security Advisory Database and Tools +* [SAFECode Software Integrity Controls (PDF)](https://safecode.org/publication/SAFECode_Software_Integrity_Controls0610.pdf) +* [Open Source Vulnerabilities (OSV)](https://osv.dev/) +* [Glassworm supply chain attack](https://thehackernews.com/2025/10/self-spreading-glassworm-infects-vs.html) +* [PhantomRaven supply chain attack campaign](https://thehackernews.com/2025/10/phantomraven-malware-found-in-126-npm.html) + +## 紐付けられた CWE 一覧 (List of Mapped CWEs) + +* [CWE-447 Use of Obsolete Function](https://cwe.mitre.org/data/definitions/447.html) +* [CWE-1035 2017 Top 10 A9: Using Components with Known Vulnerabilities](https://cwe.mitre.org/data/definitions/1035.html) +* [CWE-1104 Use of Unmaintained Third Party Components](https://cwe.mitre.org/data/definitions/1104.html) +* [CWE-1329 Reliance on Component That is Not Updateable](https://cwe.mitre.org/data/definitions/1329.html) +* [CWE-1357 Reliance on Insufficiently Trustworthy Component](https://cwe.mitre.org/data/definitions/1357.html) +* [CWE-1395 Dependency on Vulnerable Third-Party Component](https://cwe.mitre.org/data/definitions/1395.html) + + diff --git a/2025/docs/ja/A04_2025-Cryptographic_Failures.md b/2025/docs/ja/A04_2025-Cryptographic_Failures.md new file mode 100644 index 000000000..a585721c4 --- /dev/null +++ b/2025/docs/ja/A04_2025-Cryptographic_Failures.md @@ -0,0 +1,133 @@ +# A04:2025 暗号化の不備 (Cryptographic Failures) ![icon](../assets/TOP_10_Icons_Final_Crypto_Failures.png){: style="height:80px;width:80px" align="right"} + +## 背景 (Background) + +本カテゴリは、前回から順位を2つ下げて第4位となりました。暗号化の欠如や強度の不足、暗号鍵の漏洩、およびそれらに関連するエラーに焦点を当てています。本リスクにおける主要な CWE (共通弱点一覧) のうち 3 つは、脆弱な擬似乱数生成器 (PRNG: Pseudo-Random Number Generator) の利用に関連するものです。具体的には、壊れた、あるいはリスクのある暗号アルゴリズムの利用 (CWE-327)、不十分なエントロピー (CWE-331)、乱数生成器における予測可能なアルゴリズムの利用 (CWE-1241)、および暗号学的に脆弱な擬似乱数生成器の利用 (CWE-338) が挙げられます。 + +## スコアテーブル (Score Table) + + + + + + + + + + + + + + + + + + + + + + + + +
紐付けられた CWE 数最大出現率平均出現率最大網羅率平均網羅率平均加重悪用スコア平均加重影響スコア出現総数CVE 総数
3213.77%3.80%100.00%47.74%7.233.901,665,3482,185
+ +## 説明 (Description) + +原則として、伝送中のすべてのデータはトランスポート層 (OSI 第4層) で暗号化されるべきです。かつて課題であった CPU 負荷や証明書管理は、モダンな CPU が備える暗号化加速命令 (AES 命令セット等) や、LetsEncrypt.org のような自動化サービス、クラウドベンダーによる統合管理機能によって解決されています。 + +トランスポート層の保護に加え、保存済みのデータ (Data at Rest) や、アプリケーション層 (OSI 第7層) での追加保護が必要なデータを特定することが重要です。特にパスワード、クレジットカード番号、健康記録、個人情報、および営業秘密は、GDPR (EU 一般データ保護規則) や PCI DSS (クレジットカード業界のデータセキュリティ基準) 等の法的・規制要件に基づき、厳重な保護が求められます。 + +以下の項目を点検してください。 + +* デフォルト設定や古いコードにおいて、強度の低い暗号アルゴリズムやプロトコルを使用していないか。 +* デフォルトの暗号鍵を使用していないか。鍵の強度は十分か。鍵を使い回していないか。適切な鍵管理やローテーションが行われているか。 +* 暗号鍵がソースコードリポジトリにコミットされていないか。 +* 暗号化が強制されているか。ブラウザのセキュリティヘッダー (HSTS 等) やディレクティブが欠落していないか。 +* サーバー証明書およびトラストチェーン (信頼の連鎖) が適切に検証されているか。 +* 初期化ベクトル (IV) を無視、再利用していないか。暗号モードに適した方法で生成されているか。ECB (電子符号表モード) のような安全でないモードを使用していないか。認証付き暗号がより適切な場面で、単なる暗号化を使用していないか。 +* パスワードを暗号鍵として使用する際、適切な鍵導出関数 (KDF) を介しているか。 +* 乱数生成器が暗号学的要件を満たしているか。シード値に十分なエントロピーや予測不能性が備わっているか。 +* MD5 や SHA1 などの廃止されたハッシュ関数、あるいは非暗号学的ハッシュ関数を誤用していないか。 +* 暗号エラーメッセージやサイドチャネル情報 (パディング・オラクル攻撃等) が悪用される恐れはないか。 +* 暗号アルゴリズムのダウングレードや回避が可能になっていないか。 + +参照: ASVS 暗号化 (V11)、安全な通信 (V12)、データ保護 (V14) + +## 防止方法 (How to Prevent) + +最低限、以下の対策を実施し、関連資料も参照してください。 + +* **データの分類とラベリング:** アプリケーションが処理・保存・伝送するデータを分類し、ラベル付けしてください。プライバシー法、規制要件、またはビジネス上のニーズに基づき、どのデータが機密 (Sensitive) であるかを特定します。 +* **HSM での鍵保存:** 最も重要な鍵は、ハードウェアまたはクラウドベースの HSM (ハードウェア・セキュリティ・モジュール) に保存してください。 +* **信頼できる暗号実装の使用:** 可能な限り、十分に信頼されている暗号アルゴリズムの実装を使用してください。 +* **不要な機密データの破棄:** 機密データを不必要に保存しないでください。不要になったデータは速やかに破棄するか、PCI DSS 準拠のトークン化や切り詰め (Truncation) を実施してください。保存されていないデータは盗まれることもありません。 +* **保存データの暗号化:** すべての機密データは保存時 (Data at Rest) に暗号化してください。 +* **最新かつ強力なアルゴリズムの使用:** 最新かつ強力な標準アルゴリズム、プロトコル、鍵を使用し、適切な鍵管理を行ってください。 +* **伝送データの暗号化:** すべての伝送データは TLS 1.2 以上のプロトコルのみで暗号化してください。前方秘匿性 (FS: Forward Secrecy) を備えた暗号スイートを使用し、CBC (暗号ブロック連鎖) モードのサポートは停止してください。量子鍵交換アルゴリズムもサポートしてください。HTTPS 通信には HTTP Strict Transport Security (HSTS) を強制し、ツールですべてを検証してください。 +* **キャッシュの無効化:** 機密データを含むレスポンスについては、CDN、Web サーバー、およびアプリ側のキャッシュ (Redis 等) を無効化してください。 +* **データ分類に応じた制御の適用:** データ分類に応じて、必要なセキュリティ制御を適用してください。 +* **非暗号化プロトコルの禁止:** FTP や STARTTLS などの非暗号化プロトコルを使用しないでください。機密データの送信に SMTP を使用することも避けてください。 +* **パスワードの安全な保存:** パスワードには Argon2、yescrypt、scrypt、または PBKDF2-HMAC-SHA-512 のような、ソルト付きでワークファクター(遅延ファクター)を持つ適応型ハッシュ関数を使用してください。bcrypt を使用しているレガシーシステムについては、[OWASP Cheat Sheet: Password Storage](https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html) で詳細なアドバイスを確認してください。 +* **適切な IV の選択:** 初期化ベクトル (IV) は暗号モードに適した方法で選択してください。ノンスを必要とするモードでは、IV に CSPRNG (暗号論的擬似乱数生成器) は不要です。いずれの場合も、固定鍵に対して同じ IV を二度使用しないでください。 +* **認証付き暗号の採用:** 単なる暗号化ではなく、常に認証付き暗号 (Authenticated Encryption) を使用してください。 +* **暗号鍵の生成と保存:** 鍵は暗号論的にランダムに生成し、メモリ上ではバイト配列として保存してください。パスワードを使用する場合は、適切なパスワードベースの鍵導出関数 (KDF) を介して鍵に変換する必要があります。 +* **暗号乱数の適切な使用:** 暗号乱数が適切に使用され、予測可能な方法や低エントロピーでシードされていないことを確認してください。ほとんどの最新 API では、開発者が CSPRNG をシードする必要はありません。 +* **非推奨の暗号関数の回避:** MD5、SHA1、CBC モード、PKCS #1 v1.5 などの非推奨の暗号関数、ブロック構築方式、パディングスキームを使用しないでください。 +* **設定のセキュリティレビュー:** 設定と構成がセキュリティ要件を満たしていることを、セキュリティ専門家やツール、またはその両方によってレビューしてください。 +* **耐量子計算機暗号 (PQC) への備え:** 2030年末までにリスクの高いシステムを保護できるよう、今から PQC (Post-Quantum Cryptography) への移行準備を進めてください。関連資料 (ENISA) を参照してください。 + +## 攻撃シナリオの例 (Example Attack Scenarios) + +**シナリオ #1:** あるサイトが全ページで TLS を強制していない、あるいは強度の低い暗号を許可している。攻撃者は、保護されていないワイヤレスネットワーク等でトラフィックを監視し、HTTPS から HTTP への接続ダウングレードを実行する。これにより、セッション Cookie を奪取して認証済みセッションを乗っ取り、ユーザーの個人データへのアクセスや改ざん(振込先の変更等)を行う。 + +**シナリオ #2:** パスワードデータベースが、ソルトなしの単純なハッシュ形式で保存されていた。ファイルアップロードの脆弱性を突いてデータベースが奪取された結果、レインボーテーブル (事前計算済みハッシュの一覧) を用いてすべてのパスワードが露呈した。たとえソルトが付与されていても、単純で高速なハッシュ関数は GPU によるクラッキングの標的となる。 + +## 関連資料 (References) + +* [OWASP Proactive Controls: C2: Use Cryptography to Protect Data](https://top10proactive.owasp.org/archive/2024/the-top-10/c2-crypto/) +* [OWASP Application Security Verification Standard (ASVS):](https://owasp.org/www-project-application-security-verification-standard) [V11,](https://github.com/OWASP/ASVS/blob/v5.0.0/5.0/en/0x20-V11-Cryptography.md) [12,](https://github.com/OWASP/ASVS/blob/v5.0.0/5.0/en/0x21-V12-Secure-Communication.md) [14](https://github.com/OWASP/ASVS/blob/v5.0.0/5.0/en/0x23-V14-Data-Protection.md) +* [OWASP Cheat Sheet: Transport Layer Protection](https://cheatsheetseries.owasp.org/cheatsheets/Transport_Layer_Protection_Cheat_Sheet.html) +* [OWASP Cheat Sheet: User Privacy Protection](https://cheatsheetseries.owasp.org/cheatsheets/User_Privacy_Protection_Cheat_Sheet.html) +* [OWASP Cheat Sheet: Password Storage](https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html) +* [OWASP Cheat Sheet: Cryptographic Storage](https://cheatsheetseries.owasp.org/cheatsheets/Cryptographic_Storage_Cheat_Sheet.html) +* [OWASP Cheat Sheet: HSTS](https://cheatsheetseries.owasp.org/cheatsheets/HTTP_Strict_Transport_Security_Cheat_Sheet.html) +* [OWASP Testing Guide: Testing for weak cryptography](https://owasp.org/www-project-web-security-testing-guide/stable/4-Web_Application_Security_Testing/09-Testing_for_Weak_Cryptography/README) +* [ENISA: A Coordinated Implementation Roadmap for the Transition to Post-Quantum Cryptography](https://digital-strategy.ec.europa.eu/en/library/coordinated-implementation-roadmap-transition-post-quantum-cryptography) +* [NIST Releases First 3 Finalized Post-Quantum Encryption Standards](https://www.nist.gov/news-events/news/2024/08/nist-releases-first-3-finalized-post-quantum-encryption-standards) + +## 紐付けられた CWE 一覧 (List of Mapped CWEs) + +* [CWE-261 Weak Encoding for Password](https://cwe.mitre.org/data/definitions/261.html) +* [CWE-296 Improper Following of a Certificate's Chain of Trust](https://cwe.mitre.org/data/definitions/296.html) +* [CWE-319 Cleartext Transmission of Sensitive Information](https://cwe.mitre.org/data/definitions/319.html) +* [CWE-320 Key Management Errors (Prohibited)](https://cwe.mitre.org/data/definitions/320.html) +* [CWE-321 Use of Hard-coded Cryptographic Key](https://cwe.mitre.org/data/definitions/321.html) +* [CWE-322 Key Exchange without Entity Authentication](https://cwe.mitre.org/data/definitions/322.html) +* [CWE-323 Reusing a Nonce, Key Pair in Encryption](https://cwe.mitre.org/data/definitions/323.html) +* [CWE-324 Use of a Key Past its Expiration Date](https://cwe.mitre.org/data/definitions/324.html) +* [CWE-325 Missing Required Cryptographic Step](https://cwe.mitre.org/data/definitions/325.html) +* [CWE-326 Inadequate Encryption Strength](https://cwe.mitre.org/data/definitions/326.html) +* [CWE-327 Use of a Broken or Risky Cryptographic Algorithm](https://cwe.mitre.org/data/definitions/327.html) +* [CWE-328 Reversible One-Way Hash](https://cwe.mitre.org/data/definitions/328.html) +* [CWE-329 Not Using a Random IV with CBC Mode](https://cwe.mitre.org/data/definitions/329.html) +* [CWE-330 Use of Insufficiently Random Values](https://cwe.mitre.org/data/definitions/330.html) +* [CWE-331 Insufficient Entropy](https://cwe.mitre.org/data/definitions/331.html) +* [CWE-332 Insufficient Entropy in PRNG](https://cwe.mitre.org/data/definitions/332.html) +* [CWE-334 Small Space of Random Values](https://cwe.mitre.org/data/definitions/334.html) +* [CWE-335 Incorrect Usage of Seeds in Pseudo-Random Number Generator(PRNG)](https://cwe.mitre.org/data/definitions/335.html) +* [CWE-336 Same Seed in Pseudo-Random Number Generator (PRNG)](https://cwe.mitre.org/data/definitions/336.html) +* [CWE-337 Predictable Seed in Pseudo-Random Number Generator (PRNG)](https://cwe.mitre.org/data/definitions/337.html) +* [CWE-338 Use of Cryptographically Weak Pseudo-Random Number Generator(PRNG)](https://cwe.mitre.org/data/definitions/338.html) +* [CWE-340 Generation of Predictable Numbers or Identifiers](https://cwe.mitre.org/data/definitions/340.html) +* [CWE-342 Predictable Exact Value from Previous Values](https://cwe.mitre.org/data/definitions/342.html) +* [CWE-347 Improper Verification of Cryptographic Signature](https://cwe.mitre.org/data/definitions/347.html) +* [CWE-523 Unprotected Transport of Credentials](https://cwe.mitre.org/data/definitions/523.html) +* [CWE-757 Selection of Less-Secure Algorithm During Negotiation('Algorithm Downgrade')](https://cwe.mitre.org/data/definitions/757.html) +* [CWE-759 Use of a One-Way Hash without a Salt](https://cwe.mitre.org/data/definitions/759.html) +* [CWE-760 Use of a One-Way Hash with a Predictable Salt](https://cwe.mitre.org/data/definitions/760.html) +* [CWE-780 Use of RSA Algorithm without OAEP](https://cwe.mitre.org/data/definitions/780.html) +* [CWE-916 Use of Password Hash With Insufficient Computational Effort](https://cwe.mitre.org/data/definitions/916.html) +* [CWE-1240 Use of a Cryptographic Primitive with a Risky Implementation](https://cwe.mitre.org/data/definitions/1240.html) +* [CWE-1241 Use of Predictable Algorithm in Random Number Generator](https://cwe.mitre.org/data/definitions/1241.html) + + diff --git a/2025/docs/ja/A05_2025-Injection.md b/2025/docs/ja/A05_2025-Injection.md new file mode 100644 index 000000000..a40c96d63 --- /dev/null +++ b/2025/docs/ja/A05_2025-Injection.md @@ -0,0 +1,153 @@ +# A05:2025 インジェクション (Injection) ![icon](../assets/TOP_10_Icons_Final_Injection.png){: style="height:80px;width:80px" align="right"} + +## 背景 (Background) + +インジェクションは前回の第3位から第5位へと順位を下げましたが、これは「暗号化の失敗」や「安全でない設計」との相対的な順位を維持した結果、こうなりました。本カテゴリは最も頻繁にテストされている領域の一つであり、調査対象となったすべてのアプリケーションが何らかの形でインジェクションの検査を受けています。紐付けられた 37 の CWE に関する CVE 数は全カテゴリの中で最多です。本カテゴリには、出現頻度は高いが影響度は相対的に低いクロスサイトスクリプティング (XSS、30,000 件以上の CVE) から、頻度は低いが深刻な影響をもたらす SQL インジェクション (14,000 件以上の CVE) まで、幅広い問題が含まれます。なお、XSS に関連する膨大な数の CVE が、カテゴリ全体の平均加重影響スコアを押し下げる要因となっています。 + +## スコアテーブル (Score Table) + + + + + + + + + + + + + + + + + + + + + + + + +
紐付けられた CWE 数最大出現率平均出現率最大網羅率平均網羅率平均加重悪用スコア平均加重影響スコア出現総数CVE 総数
3713.77%3.08%100.00%42.93%7.154.321,404,24962,445
+ +## 説明 (Description) + +インジェクションの脆弱性は、信頼できないユーザー入力がブラウザやデータベース、コマンドラインなどのインタープリタ (Interpreter) に送信され、その一部が意図せずコマンドとして実行されてしまうアプリケーションの欠陥です。 + +以下の項目に当てはまる場合、アプリケーションは脆弱である可能性があります。 + +* ユーザーから提供されたデータが、アプリケーションによって検証、フィルタリング、または無害化 (Sanitize) されていない。 +* 文脈に応じたエスケープ処理を行わずに、動的クエリや非パラメータ化された呼び出しをインタープリタで直接使用している。 +* 無害化されていないデータが ORM (オブジェクト関係マッピング) の検索パラメータに使用され、本来アクセスできない機密レコードが抽出されてしまう。 +* 悪意ある可能性のあるデータが、動的クエリやコマンド、ストアドプロシージャの中で直接利用、あるいは結合されている。 + +代表的なものには SQL、NoSQL、OS コマンド、ORM、LDAP、および式言語 (EL) や OGNL (Object Graph Navigation Library) へのインジェクションがあります。インタープリタの種類にかかわらず、その根本的な概念は同一です。検出にはソースコードレビューが最も効果的ですが、すべての入力(パラメータ、ヘッダー、URL、Cookie、JSON、XML 等)に対する自動テストやファジング (Fuzzing) も有効です。また、CI/CD パイプラインに SAST (静的解析)、DAST (動的解析)、IAST (インタラクティブ解析) を組み込むことで、本番環境へのデプロイ前に不備を特定できます。 + +なお、LLM (大規模言語モデル) において一般的になりつつある関連の脆弱性については、[OWASP LLM Top 10](https://genai.owasp.org/llm-top-10/)、特に [LLM01:2025 プロンプトインジェクション (Prompt Injection)](https://genai.owasp.org/llmrisk/llm01-prompt-injection/) で詳しく解説されています。 + +## 防止方法 (How to Prevent) + +インジェクションを防ぐ最善の方法は、「データ」を「コマンド」や「クエリ」から分離し続けることです。 + +* **安全な API の利用:** インタープリタの使用自体を避ける、パラメータ化されたインターフェースを利用する、あるいは ORM ツールへ移行することが推奨されます。 + * **注意:** パラメータ化していても、PL/SQL や T-SQL 内でクエリとデータを結合して `EXECUTE IMMEDIATE` 等を実行すると、SQL インジェクションが発生する恐れがあります。 + +データとコマンドを分離できない場合は、以下の手法で脅威を軽減してください。 + +* **サーバー側での入力検証:** ポジティブな入力検証(許可リスト方式)を実施してください。ただし、多くのアプリでは特殊文字の入力を許容する必要があるため、これだけでは不十分です。 +* **特殊文字のエスケープ:** 残存する動的クエリについては、各インタープリタ専用の構文を用いて特殊文字をエスケープしてください。 + * **注意:** テーブル名やカラム名などの SQL 構造そのものはエスケープできません。ユーザーから提供された構造名をクエリに使用するのは極めて危険です。 + +**警告:** 文字列のパースやエスケープによる対策はミスが起きやすく、システムのわずかな変更で無効化される恐れがあるため、堅牢な手法とは言えません。 + +## 攻撃シナリオの例 (Example Attack Scenarios) + +**シナリオ #1:不適切な SQL 呼び出し** +アプリケーションが、検証されていないデータを結合して SQL を構築している。 +```java +String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") + "'"; + +``` + +攻撃者がブラウザの `id` パラメータを `' OR '1'='1` に書き換えると、クエリの意味が変わり、全口座のレコードが返されてしまいます。 + +``` +http://example.com/app/accountView?id=' OR '1'='1 +``` + +**シナリオ #2:フレームワークへの盲信** +Hibernate Query Language (HQL) を使用していても、以下のように入力を結合すると脆弱になります。 + +```java +Query HQLQuery = session.createQuery("FROM accounts WHERE custID='" + request.getParameter("id") + "'"); + +``` + +攻撃者が `' OR custID IS NOT NULL OR custID='` を入力すると、フィルターを回避して全アカウントへの不正アクセスが可能になります。 + +**シナリオ #3:OS コマンドへの直接注入** +アプリケーションがユーザー入力を直接 OS コマンドへ渡している。 + +```java +String cmd = "nslookup " + request.getParameter("domain"); +Runtime.getRuntime().exec(cmd); + +``` + +攻撃者が `example.com; cat /etc/passwd` と入力することで、サーバー上で任意のコマンドが実行されます。 + +## 関連資料 (References) + +* [OWASP Proactive Controls: Secure Database Access](https://owasp.org/www-project-proactive-controls/v3/en/c3-secure-database) +* [OWASP ASVS: V5 Input Validation and Encoding](https://owasp.org/www-project-application-security-verification-standard) +* [OWASP Testing Guide: SQL Injection,](https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/07-Input_Validation_Testing/05-Testing_for_SQL_Injection) [Command Injection](https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/07-Input_Validation_Testing/12-Testing_for_Command_Injection), and [ORM Injection](https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/07-Input_Validation_Testing/05.7-Testing_for_ORM_Injection) +* [OWASP Cheat Sheet: Injection Prevention](https://cheatsheetseries.owasp.org/cheatsheets/Injection_Prevention_Cheat_Sheet.html) +* [OWASP Cheat Sheet: SQL Injection Prevention](https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.html) +* [OWASP Cheat Sheet: Injection Prevention in Java](https://cheatsheetseries.owasp.org/cheatsheets/Injection_Prevention_Cheat_Sheet_in_Java.html) +* [OWASP Cheat Sheet: Query Parameterization](https://cheatsheetseries.owasp.org/cheatsheets/Query_Parameterization_Cheat_Sheet.html) +* [OWASP Automated Threats to Web Applications – OAT-014](https://owasp.org/www-project-automated-threats-to-web-applications/) +* [PortSwigger: Server-side template injection](https://portswigger.net/kb/issues/00101080_serversidetemplateinjection) +* [Awesome Fuzzing: a list of fuzzing resources](https://github.com/secfigo/Awesome-Fuzzing) + +## 紐付けられた CWE 一覧 (List of Mapped CWEs) + +* [CWE-20 Improper Input Validation](https://cwe.mitre.org/data/definitions/20.html) +* [CWE-74 Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection')](https://cwe.mitre.org/data/definitions/74.html) +* [CWE-76 Improper Neutralization of Equivalent Special Elements](https://cwe.mitre.org/data/definitions/76.html) +* [CWE-77 Improper Neutralization of Special Elements used in a Command ('Command Injection')](https://cwe.mitre.org/data/definitions/77.html) +* [CWE-78 Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')](https://cwe.mitre.org/data/definitions/78.html) +* [CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')](https://cwe.mitre.org/data/definitions/79.html) +* [CWE-80 Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS)](https://cwe.mitre.org/data/definitions/80.html) +* [CWE-83 Improper Neutralization of Script in Attributes in a Web Page](https://cwe.mitre.org/data/definitions/83.html) +* [CWE-86 Improper Neutralization of Invalid Characters in Identifiers in Web Pages](https://cwe.mitre.org/data/definitions/86.html) +* [CWE-88 Improper Neutralization of Argument Delimiters in a Command ('Argument Injection')](https://cwe.mitre.org/data/definitions/88.html) +* [CWE-89 Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')](https://cwe.mitre.org/data/definitions/89.html) +* [CWE-90 Improper Neutralization of Special Elements used in an LDAP Query ('LDAP Injection')](https://cwe.mitre.org/data/definitions/90.html) +* [CWE-91 XML Injection (aka Blind XPath Injection)](https://cwe.mitre.org/data/definitions/91.html) +* [CWE-93 Improper Neutralization of CRLF Sequences ('CRLF Injection')](https://cwe.mitre.org/data/definitions/93.html) +* [CWE-94 Improper Control of Generation of Code ('Code Injection')](https://cwe.mitre.org/data/definitions/94.html) +* [CWE-95 Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection')](https://cwe.mitre.org/data/definitions/95.html) +* [CWE-96 Improper Neutralization of Directives in Statically Saved Code ('Static Code Injection')](https://cwe.mitre.org/data/definitions/96.html) +* [CWE-97 Improper Neutralization of Server-Side Includes (SSI) Within a Web Page](https://cwe.mitre.org/data/definitions/97.html) +* [CWE-98 Improper Control of Filename for Include/Require Statement in PHP Program ('PHP Remote File Inclusion')](https://cwe.mitre.org/data/definitions/98.html) +* [CWE-99 Improper Control of Resource Identifiers ('Resource Injection')](https://cwe.mitre.org/data/definitions/99.html) +* [CWE-103 Struts: Incomplete validate() Method Definition](https://cwe.mitre.org/data/definitions/103.html) +* [CWE-104 Struts: Form Bean Does Not Extend Validation Class](https://cwe.mitre.org/data/definitions/104.html) +* [CWE-112 Missing XML Validation](https://cwe.mitre.org/data/definitions/112.html) +* [CWE-113 Improper Neutralization of CRLF Sequences in HTTP Headers ('HTTP Response Splitting')](https://cwe.mitre.org/data/definitions/113.html) +* [CWE-114 Process Control](https://cwe.mitre.org/data/definitions/114.html) +* [CWE-115 Misinterpretation of Output](https://cwe.mitre.org/data/definitions/115.html) +* [CWE-116 Improper Encoding or Escaping of Output](https://cwe.mitre.org/data/definitions/116.html) +* [CWE-129 Improper Validation of Array Index](https://cwe.mitre.org/data/definitions/129.html) +* [CWE-159 Improper Handling of Invalid Use of Special Elements](https://cwe.mitre.org/data/definitions/159.html) +* [CWE-470 Use of Externally-Controlled Input to Select Classes or Code ('Unsafe Reflection')](https://cwe.mitre.org/data/definitions/470.html) +* [CWE-493 Critical Public Variable Without Final Modifier](https://cwe.mitre.org/data/definitions/493.html) +* [CWE-500 Public Static Field Not Marked Final](https://cwe.mitre.org/data/definitions/500.html) +* [CWE-564 SQL Injection: Hibernate](https://cwe.mitre.org/data/definitions/564.html) +* [CWE-610 Externally Controlled Reference to a Resource in Another Sphere](https://cwe.mitre.org/data/definitions/610.html) +* [CWE-643 Improper Neutralization of Data within XPath Expressions ('XPath Injection')](https://cwe.mitre.org/data/definitions/643.html) +* [CWE-644 Improper Neutralization of HTTP Headers for Scripting Syntax](https://cwe.mitre.org/data/definitions/644.html) +* [CWE-917 Improper Neutralization of Special Elements used in an Expression Language Statement ('Expression Language Injection')](https://cwe.mitre.org/data/definitions/917.html) + + diff --git a/2025/docs/ja/A06_2025-Insecure_Design.md b/2025/docs/ja/A06_2025-Insecure_Design.md new file mode 100644 index 000000000..0aded416a --- /dev/null +++ b/2025/docs/ja/A06_2025-Insecure_Design.md @@ -0,0 +1,126 @@ +# A06:2025 安全性を欠いた設計 (Insecure Design) ![icon](../assets/TOP_10_Icons_Final_Insecure_Design.png){: style="height:80px;width:80px" align="right"} + +## 背景 (Background) + +「安全性を欠いた設計」は、前回から順位を2つ下げて第6位となりました。これは「セキュリティ設定の不備 (A02)」と「ソフトウェアサプライチェーンの失敗 (A03)」が急上昇し、本カテゴリを追い越した結果、こうなりました。2021年に導入されて以来、業界全体で脅威モデリング(Threat Modeling)への関心が高まり、設計の安全性を重視する傾向が強まったことで、一定の改善が見られます。本カテゴリは、設計やアーキテクチャの欠陥に起因するリスクに焦点を当てており、脅威モデリング、安全な設計パターン、およびリファレンスアーキテクチャのさらなる活用を求めています。これには、アプリケーション内部で予期しない状態変化を定義していないといった、ビジネスロジックの不備も含まれます。 + +私たちは、コーディングにおける「シフトレフト」を超え、セキュア・バイ・デザイン(Secure by Design)の原則に不可欠な、要件定義や設計といった「実装前のアクティビティ」を強化しなければなりません([今日求められるアプリケーションセキュリティプログラムの確立: 計画・設計フェーズ](0x03_2025-Establishing_a_Modern_Application_Security_Program.md) を参照)。主要な CWE (共通弱点一覧) には、認証情報の保護されていない保存 (CWE-256)、不適切な特権管理 (CWE-269)、危険な種類のファイルの無制限アップロード (CWE-434)、信頼境界の侵害 (CWE-501)、および認証情報の保護不足 (CWE-522) が含まれます。 + +## スコアテーブル (Score Table) + + + + + + + + + + + + + + + + + + + + + + + + +
紐付けられた CWE 数最大出現率平均出現率最大網羅率平均網羅率平均加重悪用スコア平均加重影響スコア出現総数CVE 総数
3922.18%1.86%88.76%35.18%6.964.05729,8827,647
+ +## 説明 (Description) + +安全性を欠いた設計は、「制御設計の欠落または効果の不足」を意味する広範なカテゴリです。「安全性を欠いた設計 (Insecure Design)」と「不適切な実装 (Insecure Implementation)」は明確に区別されるべきです。これらは根本原因、発生フェーズ、および修正方法が異なります。設計が安全であっても実装に不備(バグ)が生じることはありますが、設計自体に欠陥がある場合、たとえ実装を完璧に行っても、特定の攻撃を防ぐためのセキュリティ制御がそもそも存在しないことになります。 + +安全な設計を実現するためには、以下の 3 要素を柱としたガバナンスが必要です。 + +### 1. 要件定義とリソース管理 (Requirements and Resource Management) +ビジネス部門と協力し、すべてのデータ資産の機密性、真正性、完全性、可用性に関する保護要件と、期待されるビジネスロジックを収集・調整してください。アプリケーションの露出状況を考慮し、アクセス制御とは別に、テナント間の隔離が必要かどうかを判断します。機能要件および非機能セキュリティ要件を含む技術要件を取りまとめてください。また、セキュリティ活動を含む、設計から運用までの全フェーズをカバーする予算を計画し、調整してください。 + +### 2. 安全な設計 (Secure Design) +安全な設計とは、脅威を絶えず評価し、既知の攻撃手法を防御できるよう堅牢に設計・テストする文化と手法です。脅威モデリングをリファインメントセッション(または類似のアクティビティ)に統合し、データフローやアクセス制御、その他のセキュリティ制御の変更を注視してください。ユーザーストーリー作成時には、正常なフローだけでなく「失敗時の状態 (Failure States)」を定義し、責任者および影響を受ける関係者間で十分に理解され、合意されていることを確認してください。正常系および異常系の前提条件を分析し、それらが正確かつ望ましい状態を維持していることを確認してください。前提条件を検証し、適切な挙動に必要な条件を強制する方法を決定してください。結果はユーザーストーリーに文書化してください。失敗から学び、改善を促進するためのポジティブなインセンティブを提供してください。安全な設計は、ソフトウェアに後付けできるアドオンやツールではありません。 + +### 3. 安全な開発ライフサイクル (Secure Development Lifecycle) +ソフトウェアの安全性を確保するには、安全な開発ライフサイクル (SDLC)、安全な設計パターン、舗装された道(Paved Road)の方法論、セキュアなコンポーネントライブラリ、適切なツール、脅威モデリング、およびプロセス改善のためのインシデントポストモータム(事後検証)が必要です。ソフトウェアプロジェクトの開始時から、プロジェクト全体を通じて、そして継続的なソフトウェア保守においても、セキュリティ専門家と連携してください。[OWASP Software Assurance Maturity Model (SAMM)](https://owaspsamm.org/) を活用して、安全なソフトウェア開発の取り組みを構造化することを検討してください。 + +開発者自身が負うべき責任が大きいことは、ときに十分に自覚されていないものです。意識、責任、およびプロアクティブなリスク軽減の文化を醸成してください。セキュリティに関する定期的な意見交換(脅威モデリングセッション中など)は、重要な設計上の意思決定においてセキュリティを考慮するマインドセットを生み出すことができます。 + +## 防止方法 (How to Prevent) + +* セキュリティ専門家と協力し、セキュリティやプライバシーに関する制御を設計・評価するための SDLC を確立・運用してください。 +* 安全な設計パターンのライブラリ、あるいは舗装された道(Paved Road)のコンポーネントを活用してください。 +* 認証、アクセス制御、ビジネスロジック、および主要なデータフローに対して、脅威モデリングを継続的に実施してください。 +* セキュリティマインドセットを醸成するための教育ツールとして、脅威モデリングを活用してください。 +* セキュリティ要件と制御を、ユーザーストーリーに統合してください。 +* 各層(フロントエンドからバックエンド)において、妥当性チェック (Plausibility Checks) を統合してください。 +* ユニットテストおよび統合テストを作成し、主要なフローが脅威モデルに対して耐性を持っていることを検証してください。正常系 (Use-cases) だけでなく、異常系 (Misuse-cases) のテストも不可欠です。 +* 露出状況や保護ニーズに応じて、システム層およびネットワーク層を分離(Segregate)してください。 +* 設計段階から、すべての層において堅牢なテナント分離を徹底してください。 + +## 攻撃シナリオの例 (Example Attack Scenarios) + +**シナリオ #1:不適切な資格情報リカバリ** +資格情報の復旧ワークフローに「秘密の質問と回答」が含まれているケース。これは NIST 800-63b や OWASP ASVS で禁止されています。回答は本人以外も知りうるため、証拠として信頼できません。このような機能は削除し、より安全な設計に置き換える必要があります。 + +**シナリオ #2:ビジネスロジックの不備(大量予約)** +ある映画館チェーンが、15名以上の予約時にのみデポジットを要求していた。攻撃者がこのフローを分析し、デポジットなしで全館・全席を占有し続ける攻撃が可能であることを突き止めた。これにより、映画館側は甚大な収益損失を被ることになります。 + +**シナリオ #3:ボット対策の欠如(買い占め)** +eコマースサイトに、転売目的のボットによる買い占め対策が備わっていなかった。結果、高価なビデオカードが発売直後にボットに独占され、一般の愛好家が購入できない事態を招いた。発売から数秒以内の購入を識別して拒否するといった、ドメインロジックに基づいたアンチボット設計が必要です。 + +## 関連資料 (References) + +* [OWASP Cheat Sheet: Secure Design Principles](https://cheatsheetseries.owasp.org/cheatsheets/Secure_Product_Design_Cheat_Sheet.html) +* [OWASP SAMM: Design | Secure Architecture](https://owaspsamm.org/model/design/secure-architecture/) +* [OWASP SAMM: Design | Threat Assessment](https://owaspsamm.org/model/design/threat-assessment/) +* [NIST – Guidelines on Minimum Standards for Developer Verification of Software](https://www.nist.gov/publications/guidelines-minimum-standards-developer-verification-software) +* [The Threat Modeling Manifesto](https://threatmodelingmanifesto.org/) +* [Awesome Threat Modeling](https://github.com/hysnsec/awesome-threat-modelling) + +## 紐付けられた CWE 一覧 (List of Mapped CWEs) + +* [CWE-73 External Control of File Name or Path](https://cwe.mitre.org/data/definitions/73.html) +* [CWE-183 Permissive List of Allowed Inputs](https://cwe.mitre.org/data/definitions/183.html) +* [CWE-256 Unprotected Storage of Credentials](https://cwe.mitre.org/data/definitions/256.html) +* [CWE-266 Incorrect Privilege Assignment](https://cwe.mitre.org/data/definitions/266.html) +* [CWE-269 Improper Privilege Management](https://cwe.mitre.org/data/definitions/269.html) +* [CWE-286 Incorrect User Management](https://cwe.mitre.org/data/definitions/286.html) +* [CWE-311 Missing Encryption of Sensitive Data](https://cwe.mitre.org/data/definitions/311.html) +* [CWE-312 Cleartext Storage of Sensitive Information](https://cwe.mitre.org/data/definitions/312.html) +* [CWE-313 Cleartext Storage in a File or on Disk](https://cwe.mitre.org/data/definitions/313.html) +* [CWE-316 Cleartext Storage of Sensitive Information in Memory](https://cwe.mitre.org/data/definitions/316.html) +* [CWE-362 Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition')](https://cwe.mitre.org/data/definitions/362.html) +* [CWE-382 J2EE Bad Practices: Use of System.exit()](https://cwe.mitre.org/data/definitions/382.html) +* [CWE-419 Unprotected Primary Channel](https://cwe.mitre.org/data/definitions/419.html) +* [CWE-434 Unrestricted Upload of File with Dangerous Type](https://cwe.mitre.org/data/definitions/434.html) +* [CWE-436 Interpretation Conflict](https://cwe.mitre.org/data/definitions/436.html) +* [CWE-444 Inconsistent Interpretation of HTTP Requests ('HTTP Request Smuggling')](https://cwe.mitre.org/data/definitions/444.html) +* [CWE-451 User Interface (UI) Misrepresentation of Critical Information](https://cwe.mitre.org/data/definitions/451.html) +* [CWE-454 External Initialization of Trusted Variables or Data Stores](https://cwe.mitre.org/data/definitions/454.html) +* [CWE-472 External Control of Assumed-Immutable Web Parameter](https://cwe.mitre.org/data/definitions/472.html) +* [CWE-501 Trust Boundary Violation](https://cwe.mitre.org/data/definitions/501.html) +* [CWE-522 Insufficiently Protected Credentials](https://cwe.mitre.org/data/definitions/522.html) +* [CWE-525 Use of Web Browser Cache Containing Sensitive Information](https://cwe.mitre.org/data/definitions/525.html) +* [CWE-539 Use of Persistent Cookies Containing Sensitive Information](https://cwe.mitre.org/data/definitions/539.html) +* [CWE-598 Use of GET Request Method With Sensitive Query Strings](https://cwe.mitre.org/data/definitions/598.html) +* [CWE-602 Client-Side Enforcement of Server-Side Security](https://cwe.mitre.org/data/definitions/602.html) +* [CWE-628 Function Call with Incorrectly Specified Arguments](https://cwe.mitre.org/data/definitions/628.html) +* [CWE-642 External Control of Critical State Data](https://cwe.mitre.org/data/definitions/642.html) +* [CWE-646 Reliance on File Name or Extension of Externally-Supplied File](https://cwe.mitre.org/data/definitions/646.html) +* [CWE-653 Insufficient Compartmentalization](https://cwe.mitre.org/data/definitions/653.html) +* [CWE-656 Reliance on Security Through Obscurity](https://cwe.mitre.org/data/definitions/656.html) +* [CWE-657 Violation of Secure Design Principles](https://cwe.mitre.org/data/definitions/657.html) +* [CWE-676 Use of Potentially Dangerous Function](https://cwe.mitre.org/data/definitions/676.html) +* [CWE-693 Protection Mechanism Failure](https://cwe.mitre.org/data/definitions/693.html) +* [CWE-799 Improper Control of Interaction Frequency](https://cwe.mitre.org/data/definitions/799.html) +* [CWE-807 Reliance on Untrusted Inputs in a Security Decision](https://cwe.mitre.org/data/definitions/807.html) +* [CWE-841 Improper Enforcement of Behavioral Workflow](https://cwe.mitre.org/data/definitions/841.html) +* [CWE-1021 Improper Restriction of Rendered UI Layers or Frames](https://cwe.mitre.org/data/definitions/1021.html) +* [CWE-1022 Use of Web Link to Untrusted Target with window.opener Access](https://cwe.mitre.org/data/definitions/1022.html) +* [CWE-1125 Excessive Attack Surface](https://cwe.mitre.org/data/definitions/1125.html) + diff --git a/2025/docs/ja/A07_2025-Authentication_Failures.md b/2025/docs/ja/A07_2025-Authentication_Failures.md new file mode 100644 index 000000000..bdffe6995 --- /dev/null +++ b/2025/docs/ja/A07_2025-Authentication_Failures.md @@ -0,0 +1,121 @@ +# A07:2025 認証の不備 (Authentication Failures) ![icon](../assets/TOP_10_Icons_Final_Identification_and_Authentication_Failures.png){: style="height:80px;width:80px" align="right"} + +## 背景 (Background) + +「認証の失敗」は、前回から引き続き第7位となりました。36の CWE (共通弱点一覧) をより正確に表すために名称が微修正されましたが、標準化されたフレームワークが普及した現在でも、依然としてこの順位に留まっているものです。主要な CWE には、ハードコードされたパスワードの利用 (CWE-259, CWE-798)、ホスト不一致を伴う証明書の不適切な検証 (CWE-297)、不適切な認証 (CWE-287)、およびセッション固定 (CWE-384) が含まれます。 + +## スコアテーブル (Score Table) + + + + + + + + + + + + + + + + + + + + + + + + +
紐付けられた CWE 数最大出現率平均出現率最大網羅率平均網羅率平均加重悪用スコア平均加重影響スコア出現総数CVE 総数
3615.80%2.92%100.00%37.14%7.694.441,120,6737,147
+ +## 説明 (Description) + +本脆弱性は、攻撃者がシステムを欺き、無効なユーザーや誤ったユーザーを正当なものとして認識させた場合に発生します。 + +以下の項目に当てはまる場合、アプリケーションに認証上の不備が存在する可能性があります。 + +* **自動化攻撃の許容:** クレデンシャルスタッフィング (Credential Stuffing) や、流出した資格情報のバリエーションを試すパスワードスプレー攻撃 (Password Spray Attacks) を許容している。 +* **ブルートフォース攻撃への脆弱性:** ブルートフォースやその他の自動化・スクリプト化された攻撃を迅速にブロックしていない。 +* **脆弱なパスワードの許可:** デフォルト設定、脆弱な、あるいは広く知られたパスワード(「Password1」や admin/admin など)の使用を許可している。 +* **漏洩済み情報の利用:** 既に侵害が確認されている資格情報を用いて新規アカウントを作成できてしまう。 +* **不適切なリカバリプロセス:** 「秘密の質問」のような、安全性を確保できない知識ベースの回答に依存したパスワード復旧プロセスを採用している。 +* **不十分なデータ保護:** パスワードをプレーンテキスト、あるいは脆弱なハッシュ形式で保存している([A04:2025 暗号化の失敗](A04_2025-Cryptographic_Failures.md) 参照)。 +* **MFA の欠如:** 多要素認証 (MFA) が実装されていない、あるいはそのフォールバック手段が脆弱である。 +* **セッション管理の不備:** URL や安全でない場所へセッション ID を露出させている、あるいはログイン後にセッション ID を再利用している。 +* **不完全なログアウト:** ログアウト時や一定時間の無活動後に、セッションや認証トークン(特に SSO トークン)が正しく無効化されない。 +* **検証の不足:** 提供された資格情報の適用範囲 (Scope) や意図された対象 (Audience) を正しく検証していない。 + +## 防止方法 (How to Prevent) + +* **MFA の強制:** 可能な限り多要素認証 (MFA) を実装し、盗まれた資格情報の再利用や自動化された攻撃を防御してください。 +* **パスワードマネージャーの推奨:** ユーザーがより安全なパスワードを選択できるよう、パスワードマネージャーの利用を促してください。 +* **デフォルト設定の排除:** 管理ユーザーを含め、初期設定の資格情報が残った状態でデプロイしないでください。 +* **漏洩済み情報のチェック:** パスワード設定・変更時に、ワーストパスワードリストや漏洩済み情報([haveibeenpwned.com](https://haveibeenpwned.com) 等の活用)との照合を実施してください。 +* **最新ガイドラインへの準拠:** パスワードの長さ、複雑さ、およびローテーションポリシーは、[NIST 800-63b (セクション 5.1.1)](https://pages.nist.gov/800-63-3/sp800-63b.html#:~:text=5.1.1%20Memorized%20Secrets) などの証拠に基づいた最新のガイドラインに準拠してください。 +* **パスワードローテーションの強制禁止:** 侵害の疑いがない限り、ユーザーにパスワードの定期変更を強制しないでください。侵害の疑いがある場合は、直ちにパスワードリセットを強制してください。 +* **メッセージの共通化:** アカウント列挙攻撃を防ぐため、登録、資格情報の復旧、API パスウェイにおいて、成否にかかわらず共通のメッセージ(例:「ユーザー名またはパスワードが無効です」)を使用してください。 +* **ログイン試行の制限:** ログイン失敗時の試行を制限、あるいは遅延させてください。ただし、DoS 攻撃に繋がらないよう慎重に設計する必要があります。 +* **セキュアなセッション管理:** ログイン後に高いエントロピーを持つ新しいランダムなセッション ID を生成し、URL ではなくセキュアな Cookie に保存してください。ログアウトやタイムアウト時には必ずサーバー側で無効化してください。 +* **信頼できるシステムの利用:** 実績があり十分にテストされた認証・アイデンティティ管理システムを導入することで、リスクを転嫁することを検討してください。 +* **トークンの検証:** JWT 等を利用する場合、`aud` (Audience) や `iss` (Issuer) クレーム、および Scope を必ず検証してください。 + +## 攻撃シナリオの例 (Example Attack Scenarios) + +**シナリオ #1:ハイブリッド型クレデンシャルスタッフィング** +攻撃者は漏洩済みの資格情報リストに対し、「Winter2025」を「Winter2026」に変えるなど、人間特有の規則性を突いてパスワードを微調整し、攻撃を試みます。自動化された脅威(ブルートフォース、スクリプト、ボット)やクレデンシャルスタッフィングへの防御策がない場合、アプリケーションはパスワードの妥当性を確認するための踏み台(パスワードオラクル)として悪用され、不正アクセスを許してしまいます。 + +**シナリオ #2:パスワードローテーションと複雑さの要件** +認証攻撃の多くは、パスワードを唯一の認証要素として使い続けていることに起因します。かつてベストプラクティスとされたパスワードのローテーションや複雑さの要件は、ユーザーにパスワードの使い回しや脆弱なパスワードの使用を促す結果となっています。NIST 800-63 に従い、これらの慣行を廃止し、すべての重要なシステムで多要素認証を強制することが推奨されます。 + +**シナリオ #3:SSO ログアウトの不備** +シングルログアウト (SLO) が実装されていない場合、複数のシステムに SSO でログインした後、一つのシステムでログアウトしても、他のシステムへの認証が残ったままになることがあります。共有端末などでブラウザを閉じずに席を離れた場合、攻撃者が残存したセッションを通じて被害者のアカウントへアクセスできてしまいます。 + +## 関連資料 (References) + +* [OWASP Authentication Cheat Sheet](https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html) +* [OWASP Secure Coding Practices](https://owasp.org/www-project-secure-coding-practices-quick-reference-guide/stable-en/01-introduction/05-introduction) +* [NIST 800-63b: 認証とライフサイクル管理](https://pages.nist.gov/800-63-3/sp800-63b.html) + +## 紐付けられた CWE 一覧 (List of Mapped CWEs) + +* [CWE-258 Empty Password in Configuration File](https://cwe.mitre.org/data/definitions/258.html) +* [CWE-259 Use of Hard-coded Password](https://cwe.mitre.org/data/definitions/259.html) +* [CWE-287 Improper Authentication](https://cwe.mitre.org/data/definitions/287.html) +* [CWE-288 Authentication Bypass Using an Alternate Path or Channel](https://cwe.mitre.org/data/definitions/288.html) +* [CWE-289 Authentication Bypass by Alternate Name](https://cwe.mitre.org/data/definitions/289.html) +* [CWE-290 Authentication Bypass by Spoofing](https://cwe.mitre.org/data/definitions/290.html) +* [CWE-291 Reliance on IP Address for Authentication](https://cwe.mitre.org/data/definitions/291.html) +* [CWE-293 Using Referer Field for Authentication](https://cwe.mitre.org/data/definitions/293.html) +* [CWE-294 Authentication Bypass by Capture-replay](https://cwe.mitre.org/data/definitions/294.html) +* [CWE-295 Improper Certificate Validation](https://cwe.mitre.org/data/definitions/295.html) +* [CWE-297 Improper Validation of Certificate with Host Mismatch](https://cwe.mitre.org/data/definitions/297.html) +* [CWE-298 Improper Validation of Certificate with Host Mismatch](https://cwe.mitre.org/data/definitions/298.html) +* [CWE-299 Improper Validation of Certificate with Host Mismatch](https://cwe.mitre.org/data/definitions/299.html) +* [CWE-300 Channel Accessible by Non-Endpoint](https://cwe.mitre.org/data/definitions/300.html) +* [CWE-302 Authentication Bypass by Assumed-Immutable Data](https://cwe.mitre.org/data/definitions/302.html) +* [CWE-303 Incorrect Implementation of Authentication Algorithm](https://cwe.mitre.org/data/definitions/303.html) +* [CWE-304 Missing Critical Step in Authentication](https://cwe.mitre.org/data/definitions/304.html) +* [CWE-305 Authentication Bypass by Primary Weakness](https://cwe.mitre.org/data/definitions/305.html) +* [CWE-306 Missing Authentication for Critical Function](https://cwe.mitre.org/data/definitions/306.html) +* [CWE-307 Improper Restriction of Excessive Authentication Attempts](https://cwe.mitre.org/data/definitions/307.html) +* [CWE-308 Use of Single-factor Authentication](https://cwe.mitre.org/data/definitions/308.html) +* [CWE-309 Use of Password System for Primary Authentication](https://cwe.mitre.org/data/definitions/309.html) +* [CWE-346 Origin Validation Error](https://cwe.mitre.org/data/definitions/346.html) +* [CWE-350 Reliance on Reverse DNS Resolution for a Security-Critical Action](https://cwe.mitre.org/data/definitions/350.html) +* [CWE-384 Session Fixation](https://cwe.mitre.org/data/definitions/384.html) +* [CWE-521 Weak Password Requirements](https://cwe.mitre.org/data/definitions/521.html) +* [CWE-613 Insufficient Session Expiration](https://cwe.mitre.org/data/definitions/613.html) +* [CWE-620 Unverified Password Change](https://cwe.mitre.org/data/definitions/620.html) +* [CWE-640 Weak Password Recovery Mechanism for Forgotten Password](https://cwe.mitre.org/data/definitions/640.html) +* [CWE-798 Use of Hard-coded Credentials](https://cwe.mitre.org/data/definitions/798.html) +* [CWE-940 Improper Verification of Source of a Communication Channel](https://cwe.mitre.org/data/definitions/940.html) +* [CWE-941 Incorrectly Specified Destination in a Communication Channel](https://cwe.mitre.org/data/definitions/941.html) +* [CWE-1390 Weak Authentication](https://cwe.mitre.org/data/definitions/1390.html) +* [CWE-1391 Use of Weak Credentials](https://cwe.mitre.org/data/definitions/1391.html) +* [CWE-1392 Use of Default Credentials](https://cwe.mitre.org/data/definitions/1392.html) +* [CWE-1393 Use of Default Password](https://cwe.mitre.org/data/definitions/1393.html) + + diff --git a/2025/docs/ja/A08_2025-Software_or_Data_Integrity_Failures.md b/2025/docs/ja/A08_2025-Software_or_Data_Integrity_Failures.md new file mode 100644 index 000000000..30ef23493 --- /dev/null +++ b/2025/docs/ja/A08_2025-Software_or_Data_Integrity_Failures.md @@ -0,0 +1,87 @@ +# A08:2025 ソフトウェアまたはデータの完全性の不備 (Software or Data Integrity Failures) ![icon](../assets/TOP_10_Icons_Final_Software_and_Data_Integrity_Failures.png){: style="height:80px;width:80px" align="right"} + +## 背景 (Background) + +「ソフトウェアまたはデータの完全性の失敗」は、前回に引き続き第8位となりました。名称は、範囲をより明確にするために「ソフトウェア *および* データの完全性の失敗」から微修正されています。このカテゴリは、信頼境界 (Trust Boundary) の維持に失敗し、ソフトウェア、コード、およびデータ資産の完全性検証を怠るリスクに焦点を当てています。これは「A03: ソフトウェアサプライチェーンの不備」よりも低レイヤーな検証不備を対象としています。主要な CWE (共通弱点一覧) には、信頼できない制御球からの機能の取り込み (CWE-829)、動的に決定されるオブジェクト属性の不適切な修正 (CWE-915)、および信頼できないデータのデシリアライゼーション (CWE-502) が含まれます。 + +## スコアテーブル (Score Table) + + + + + + + + + + + + + + + + + + + + + + + + +
紐付けられた CWE 数最大出現率平均出現率最大網羅率平均網羅率平均加重悪用スコア平均加重影響スコア出現総数CVE 総数
148.98%2.75%78.52%45.49%7.114.79501,3273,331
+ +## 説明 (Description) + +ソフトウェアおよびデータの完全性の不備は、無効または信頼できないコードやデータを、信頼できる妥当なものとして扱ってしまうコードやインフラに関連しています。たとえば、信頼できないソース、リポジトリ、CDN (コンテンツデリバリネットワーク) からのプラグイン、ライブラリ、モジュールに依存しているアプリケーションがこれに該当します。ソフトウェアの完全性チェックを提供・消費しない安全でない CI/CD パイプラインは、不正アクセス、悪意あるコード、またはシステム侵害の可能性をもたらします。また、信頼できない場所からコードや成果物を取得し、使用前に検証しない(署名の確認などを行わない)CI/CD も同様です。さらに、多くのアプリケーションは自動更新機能を備えていますが、十分な完全性検証なしに更新がダウンロードされ、以前は信頼されていたアプリケーションに適用されます。攻撃者は独自の更新をアップロードして配布し、すべてのインストール先で実行させる可能性があります。もう一つの例は、オブジェクトやデータが攻撃者が閲覧・改ざんできる構造にエンコードまたはシリアライズされている場合で、安全でないデシリアライゼーションに対して脆弱になります。 + +## 防止方法 (How to Prevent) + +* **デジタル署名の活用:** デジタル署名やそれに類する仕組みを用い、ソフトウェアやデータが意図したソースからのものであり、改ざんされていないことを検証してください。 +* **信頼できるリポジトリの限定:** npm や Maven 等の依存関係管理において、信頼できるリポジトリのみを利用するように設定してください。リスクプロファイルが高い場合は、内部で精査済みのリポジトリをホスティングすることを検討してください。 +* **変更レビュープロセスの確立:** コードや設定の変更に対するレビュープロセスを徹底し、悪意あるコードがパイプラインに混入する機会を最小限に抑えてください。 +* **パイプラインの要塞化:** ビルドおよびデプロイプロセスを流れるコードの完全性を確保するため、CI/CD パイプラインに対して適切な分離、設定、およびアクセス制御を実施してください。 +* **シリアライズデータの検証:** 信頼できないクライアントから、署名や暗号化のなされていないシリアライズされたデータを受け取らないでください。利用が必要な場合は、改ざんやリプレイ攻撃を検知するためのデジタル署名や完全性チェックを必ず実施してください。 + +## 攻撃シナリオの例 (Example Attack Scenarios) + +**シナリオ #1:信頼できないソースからの機能取り込み** +ある企業が利便性のために、外部サービスプロバイダーの DNS マッピング(例:`support.myCompany.com`)を設定した。これにより、自社ドメインの認証 Cookie が外部プロバイダーへも送信されるようになり、プロバイダー側のインフラにアクセスできる攻撃者がユーザーのセッションを奪取可能になった。 + +**シナリオ #2:署名なきアップデート** +多くのホームルーターやセットトップボックスにおいて、署名されていないファームウェアによるアップデートが行われている。これは攻撃者にとって格好の標的となり、一度配布されてしまうと将来のバージョンで修正されるまで是正する手段がないという深刻な問題を引き起こします。 + +**シナリオ #3:信頼できないソースからのパッケージ利用** +開発者が公式のパッケージマネージャーではなく、Web サイトから直接署名のないパッケージをダウンロードして利用した。そのパッケージには悪意のあるコードが含まれており、完全性を検証する術がなかったために侵害が発生した。 + +**シナリオ #4:安全でないデシリアライゼーション** +React アプリケーションが Spring Boot マイクロサービスと通信する際、状態をシリアライズしてリクエストごとに受け渡していた。攻撃者が Java オブジェクトの署名(Base64 形式の "rO0")に気づき、デシリアライゼーション・スキャナーを用いてアプリケーションサーバー上でリモートコード実行 (RCE) を達成した。 + +## 関連資料 (References) + +* [OWASP Cheat Sheet: Software Supply Chain Security](https://cheatsheetseries.owasp.org/cheatsheets/Software_Supply_Chain_Security_Cheat_Sheet.html) +* [OWASP Cheat Sheet: Infrastructure as Code](https://cheatsheetseries.owasp.org/cheatsheets/Infrastructure_as_Code_Security_Cheat_Sheet.html) +* [OWASP Cheat Sheet: Deserialization](https://wiki.owasp.org/index.php/Deserialization_Cheat_Sheet) +* [SAFECode Software Integrity Controls](https://safecode.org/publication/SAFECode_Software_Integrity_Controls0610.pdf) +* [A 'Worst Nightmare' Cyberattack: The Untold Story Of The SolarWinds Hack](https://www.npr.org/2021/04/16/985439655/a-worst-nightmare-cyberattack-the-untold-story-of-the-solarwinds-hack) +* [CodeCov Bash Uploader Compromise](https://about.codecov.io/security-update) +* [Securing DevOps by Julien Vehent](https://www.manning.com/books/securing-devops) +* [Insecure Deserialization by Tenendo](https://tenendo.com/insecure-deserialization/) + +## 紐付けられた CWE 一覧 (List of Mapped CWEs) + +* [CWE-345 Insufficient Verification of Data Authenticity](https://cwe.mitre.org/data/definitions/345.html) +* [CWE-353 Missing Support for Integrity Check](https://cwe.mitre.org/data/definitions/353.html) +* [CWE-426 Untrusted Search Path](https://cwe.mitre.org/data/definitions/426.html) +* [CWE-427 Uncontrolled Search Path Element](https://cwe.mitre.org/data/definitions/427.html) +* [CWE-494 Download of Code Without Integrity Check](https://cwe.mitre.org/data/definitions/494.html) +* [CWE-502 Deserialization of Untrusted Data](https://cwe.mitre.org/data/definitions/502.html) +* [CWE-506 Embedded Malicious Code](https://cwe.mitre.org/data/definitions/506.html) +* [CWE-509 Replicating Malicious Code (Virus or Worm)](https://cwe.mitre.org/data/definitions/509.html) +* [CWE-565 Reliance on Cookies without Validation and Integrity Checking](https://cwe.mitre.org/data/definitions/565.html) +* [CWE-784 Reliance on Cookies without Validation and Integrity Checking in a Security Decision](https://cwe.mitre.org/data/definitions/784.html) +* [CWE-829 Inclusion of Functionality from Untrusted Control Sphere](https://cwe.mitre.org/data/definitions/829.html) +* [CWE-830 Inclusion of Web Functionality from an Untrusted Source](https://cwe.mitre.org/data/definitions/830.html) +* [CWE-915 Improperly Controlled Modification of Dynamically-Determined Object Attributes](https://cwe.mitre.org/data/definitions/915.html) +* [CWE-926 Improper Export of Android Application Components](https://cwe.mitre.org/data/definitions/926.html) + diff --git a/2025/docs/ja/A09_2025-Security_Logging_and_Alerting_Failures.md b/2025/docs/ja/A09_2025-Security_Logging_and_Alerting_Failures.md new file mode 100644 index 000000000..8f381a0bc --- /dev/null +++ b/2025/docs/ja/A09_2025-Security_Logging_and_Alerting_Failures.md @@ -0,0 +1,104 @@ +# A09:2025 セキュリティログとアラートの不備 (Security Logging and Alerting Failures) ![icon](../assets/TOP_10_Icons_Final_Security_Logging_and_Monitoring_Failures.png){: style="height:80px;width:80px" align="right"} + +## 背景 (Background) + +「セキュリティログとアラートの不備」は、前回から引き続き第 9 位となりました。今回の名称変更は、単にログを記録するだけでなく、有意義なログイベントに対して行動を促すための「アラート機能」の重要性を強調したものです。本カテゴリは、コミュニティ調査への参加者の投票により 3 回連続でリスト入りしました。自動テストによる検出が極めて困難なため、CVE/CVSS データ上の代表数は 723 件と全カテゴリ中で最小ですが、可視性の確保、インシデント発生時のアラート、およびフォレンジック (Forensics)(鑑識)において極めて甚大な影響を及ぼします。主要な CWE (共通弱点一覧) には、ログファイルへの出力エンコーディング不備 (CWE-117)、ログファイルへの機密情報の挿入 (CWE-532)、および不十分なロギング (CWE-778) が含まれます。 + +## スコアテーブル (Score Table) + + + + + + + + + + + + + + + + + + + + + + + + +
紐付けられた CWE 数最大出現率平均出現率最大網羅率平均網羅率平均加重悪用スコア平均加重影響スコア出現総数CVE 総数
511.33%3.91%85.96%46.48%7.192.65260,288723
+ +## 説明 (Description) + +ロギングと監視 (Monitoring) がなければ攻撃や侵害を検知できず、適切なアラート (Alerting) がなければ、セキュリティインシデント発生時に迅速かつ効果的な対応をとることが困難になります。 + +以下のような状況にある場合、アプリケーションは脆弱です。 + +* ログイン、ログイン失敗、および高価値な取引などの監査可能なイベントが記録されていない、あるいは不整合である(例:ログイン成功のみを記録し、失敗を記録していない)。 +* 警告やエラーが発生しても、ログメッセージが生成されない、あるいは不適切で不明確である。 +* ログの完全性 (Integrity) が保護されておらず、改ざんのリスクに晒されている。 +* アプリケーションや API のログが、不審なアクティビティに対して監視されていない。 +* ログがローカルに保存されるだけで、適切にバックアップされていない。 +* 適切なアラート閾値やレスポンス・エスカレーションプロセスが機能しておらず、アラートが合理的な時間内に受信・確認されない。 +* ペネトレーションテストや DAST (動的アプリケーションセキュリティテスト) ツール(Burp や ZAP 等)によるスキャンが、アラートをトリガーしない。 +* アプリケーションが進行中の攻撃をリアルタイム、あるいはそれに近い速度で検知・通知・エスカレーションできない。 +* ログやアラートの内容がユーザーや攻撃者に露出している([A01:2025 アクセス制御の不備](A01_2025-Broken_Access_Control.md) 参照)、あるいは個人識別情報 (PII) や健康情報 (PHI) などの記録すべきでない機密情報がログに含まれている。 +* ログデータが適切にエンコードされておらず、ロギングまたは監視システム自体へのインジェクション攻撃を許容している。 +* エラーや例外的な状況の処理に失敗しているため、システムがエラーを認識できず、結果として問題を記録できない。 +* 特定の異常事態を認識するための適切なアラート用「ユースケース」が不足している、あるいは陳腐化している。 +* 誤検知 (False Positive) が多すぎて重要なアラートを判別できず、SOC (セキュリティ運用センター) チームが物理的な過負荷や「警報疲れ」を起こしている。 +* プレイブック (Playbook)(対応手順書)が不完全、あるいは欠落しているため、検知されたアラートを正しく処理できない。 + +## 防止方法 (How to Prevent) + +開発者は、アプリケーションのリスクに応じて以下の制御を実装してください。 + +* **十分なユーザーコンテキストの記録:** すべてのログイン、アクセス制御、およびサーバー側の入力検証の失敗を、悪意あるアカウントの特定に必要な情報とともに記録し、事後のフォレンジック分析が可能な期間保存してください。 +* **網羅的なロギング:** セキュリティ制御が含まれるすべての箇所において、成否にかかわらずログを生成してください。 +* **管理ソリューションへの適合:** ログ管理ソリューションが容易に処理できる形式でログを生成してください。 +* **エンコーディングの徹底:** ロギングシステムへの攻撃を防ぐため、ログデータを正しくエンコードしてください。 +* **監査証跡の保護:** ログの改ざんや消去を防ぐため、追加専用 (Append-only) のデータベーステーブルなどの完全性制御を備えた監査証跡を確保してください。 +* **安全なエラー処理:** エラーが発生した取引は確実にロールバックしてください。常に安全な側で終了 (Fail closed) させてください。 +* **積極的なアラート発行:** アプリケーションやユーザーが不審な挙動を示した際のアラート発行基準を開発者に提示するか、専用のシステムを導入してください。 +* **運用の確立:** 監視とアラートのユースケースおよびプレイブックを確立し、SOC チームが迅速に対応できるようにしてください。 +* **ハニートークン (Honeytokens) の活用:** ダミーデータや偽のユーザー識別子を「罠」として仕込み、そこへのアクセスによって誤検知のない即時アラートを生成してください。 +* **行動分析と AI の支援:** 誤検知率を低く抑えるための追加手法として、行動分析や AI の活用を検討してください。 +* **インシデント対応計画の策定:** NIST 800-61r2 等に基づいた対応・復旧計画を確立し、開発者に攻撃の予兆を報告する方法を教育してください。 + +オープンソース製品(OWASP ModSecurity Core Rule Set や ELK スタック等)や、商用の可観測性 (Observability) ツールを活用して、リアルタイムに近い速度での防御・対応体制を構築することを推奨します。 + +## 攻撃シナリオの例 (Example Attack Scenarios) + +**シナリオ #1:長期にわたる侵害の放置** +ある小児医療保険サイトで監視が欠如していたため、350万人以上の子供の機密記録が攻撃者によって改ざんされていた事実に気づくことができませんでした。外部からの指摘で発覚した際、侵害は 2013 年から 7 年以上も続いていたことが判明しました。 + +**シナリオ #2:サードパーティ経由の漏洩** +インドの大手航空会社において、数百万人の乗客データ(パスポートやクレジットカード情報)が流出しました。侵害はクラウドホスティングプロバイダーで発生しており、航空会社がその事実を知らされたのは、侵害発生からかなりの時間が経過した後でした。 + +**シナリオ #3:決済アプリの脆弱性と制裁金** +欧州の大手航空会社が決済アプリの脆弱性を突かれ、40万件以上の顧客データを奪取されました。適切な検知と監視が行われていなかった結果、GDPR 違反として 2,000 万ポンドの制裁金を科されました。 + +## 関連資料 (References) + +- [OWASP Proactive Controls: C9 ロギングと監視の実装](https://top10proactive.owasp.org/archive/2024/the-top-10/c9-security-logging-and-monitoring/) +- [OWASP Application Security Verification Standard: V16 セキュリティロギングとエラー処理](https://github.com/OWASP/ASVS/blob/v5.0.0/5.0/en/0x25-V16-Security-Logging-and-Error-Handling.md) +- [OWASP Cheat Sheet: Application Logging Vocabulary](https://cheatsheetseries.owasp.org/cheatsheets/Application_Logging_Vocabulary_Cheat_Sheet.html) +- [OWASP Cheat Sheet: Logging](https://cheatsheetseries.owasp.org/cheatsheets/Logging_Cheat_Sheet.html) +- [Data Integrity: Recovering from Ransomware and Other Destructive Events](https://csrc.nist.gov/publications/detail/sp/1800-11/final) +- [Data Integrity: Identifying and Protecting Assets Against Ransomware and Other Destructive Events](https://csrc.nist.gov/publications/detail/sp/1800-25/final) +- [Data Integrity: Detecting and Responding to Ransomware and Other Destructive Events](https://csrc.nist.gov/publications/detail/sp/1800-26/final) +- [NIST SP 800-61r2: インシデント対応ガイド](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf) +- [Snowflake 侵害事件における実例](https://www.huntress.com/threat-library/data-breach/snowflake-data-breach) + +## 紐付けられた CWE 一覧 (List of Mapped CWEs) + +* [CWE-117 Improper Output Neutralization for Logs](https://cwe.mitre.org/data/definitions/117.html) +* [CWE-221 Information Loss of Omission](https://cwe.mitre.org/data/definitions/221.html) +* [CWE-223 Omission of Security-relevant Information](https://cwe.mitre.org/data/definitions/223.html) +* [CWE-532 Insertion of Sensitive Information into Log File](https://cwe.mitre.org/data/definitions/532.html) +* [CWE-778 Insufficient Logging](https://cwe.mitre.org/data/definitions/778.html) + + diff --git a/2025/docs/ja/A10_2025-Mishandling_of_Exceptional_Conditions.md b/2025/docs/ja/A10_2025-Mishandling_of_Exceptional_Conditions.md new file mode 100644 index 000000000..f54c546e2 --- /dev/null +++ b/2025/docs/ja/A10_2025-Mishandling_of_Exceptional_Conditions.md @@ -0,0 +1,131 @@ +# A10:2025 例外的な状況への不適切な対応 (Mishandling of Exceptional Conditions) ![icon](../assets/TOP_10_Icons_Final_Mishandling_of_Exceptional_Conditions.png){: style="height:80px;width:80px" align="right"} + + +## 背景 (Background.) + +「例外的な状況への不適切な対応」は、2025年版の新カテゴリです。本カテゴリは 24 の CWE (共通弱点一覧) で構成されており、不適切なエラー処理、論理エラー、安全でない失敗処理(フェイルオープン) (Failing open)、およびシステムが遭遇しうる異常な状況に起因するその他の関連シナリオに焦点を当てています。このカテゴリには、以前は「コード品質の低さ (Poor code quality)」に関連付けられていたいくつかの CWE が含まれています。それは私たちにとってあまりに一般的すぎました。私たちの意見では、このより具体的なカテゴリの方が、より良い指針を提供できると考えています。 + +本カテゴリに含まれる注目すべき CWE には、機密情報を含むエラーメッセージの生成 (CWE-209)、必須パラメータの処理失敗 (CWE-234)、不十分な特権の不適切な処理 (CWE-274)、NULLポインタ参照 (CWE-476)、および安全でない失敗処理 (CWE-636) が含まれます。 + + +## スコアテーブル (Score table.) + + + + + + + + + + + + + + + + + + + + + + + + + +
紐付けられた CWE 数 + 最大出現率 + 平均出現率 + 最大網羅率 + 平均網羅率 + 平均加重悪用スコア + 平均加重影響スコア + 出現総数 + CVE 総数 +
24 + 20.67% + 2.95% + 100.00% + 37.95% + 7.11 + 3.81 + 769,581 + 3,416 +
+ + + +## 説明 (Description.) + +ソフトウェアにおける例外的な状況の不適切な取り扱いは、プログラムが異常かつ予測不能な事態を防止、検知、および応答することに失敗したときに発生し、クラッシュや予期しない挙動、そして時には脆弱性を引き起こします。これには、以下の 3 つの失敗のいずれか、または複数が関与しています。すなわち、アプリケーションが異常な状況の発生を「防止」できないこと、発生している状況を「識別」できないこと、あるいは、その状況に対して後から「応答」が不適切、あるいは全く行われないことです。 + +例外的な状況は、入力検証の不足、不十分、または不完全さや、発生した関数ではなく上位階層で行われる遅すぎるエラー処理、あるいはメモリ、特権、ネットワークの問題といった予期せぬ環境状態、一貫性のない例外処理、あるいは例外が全く処理されずシステムが未知かつ予測不能な状態に陥ることによって引き起こされます。アプリケーションが「次の命令をどうすべきか」確信を持てなくなったときはいつでも、例外的な状況の処理に失敗しています。見つけにくいエラーや例外は、長期にわたってアプリケーション全体のセキュリティを脅かす可能性があります。 + +例外的な状況の処理を誤ると、ロジックの不具合、オーバーフロー、競合状態 (Race conditions)、不正な取引、あるいはメモリ、状態、リソース、タイミング、認証、および認可に関する問題など、多くの異なるセキュリティ脆弱性が発生する可能性があります。これらのタイプの脆弱性は、システムまたはそのデータの機密性、可用性、および完全性に悪影響を及ぼす可能性があります。攻撃者は、アプリケーションの欠陥のあるエラー処理を操作して、この脆弱性を突いてきます。 + + +## 防止方法 (How to prevent.) + +例外的な状況を適切に処理するには、そのような状況を計画しておく必要があります(最悪の事態を想定 (Expect the worst) する)。すべてのシステムエラーを、それが発生した場所で直接「キャッチ (Catch)」し、それを処理しなければなりません(つまり、問題を解決し、その問題から確実に回復するために意味のある何かを行うことを意味します)。処理の一環として、エラーをスローすること(ユーザーに理解可能な方法で通知する)、イベントをログに記録すること、および正当であると判断した場合にはアラートを発行することを含めるべきです。また、何かを見落とした場合に備えて、グローバルな例外ハンドラーを設置しておくべきです。理想的には、継続的な攻撃を示す繰り返されるエラーやパターンを監視し、何らかの応答、防御、またはブロックを発行できる、監視 (Monitoring) または可観測性 (Observability) のツールや機能を備えることです。これは、私たちのエラー処理の弱点に焦点を当てたスクリプトやボットをブロックし、それらに応答するのに役立ちます。 + +例外的な状況をキャッチして処理することで、プログラムの基盤となるインフラストラクチャが予測不能な状況に対処したまま放置されないようにします。いかなる種類のトランザクションであっても、その途中でエラーが発生した場合は、トランザクションのすべての部分をロールバックしてやり直すことが非常に重要です(フェイルクローズ (Fail closed) とも呼ばれます)。途中でトランザクションを回復しようとすると、回復不可能な間違いを犯してしまうことがよくあります。 + +可能な限り、レート制限 (Rate limiting)、リソース制限 (Resource quotas)、スロットリング (Throttling)、およびその他の制限を追加して、そもそも例外的な状況が発生するのを防いでください。情報技術において無制限なものは何一つあってはなりません。それはアプリケーションのレジリエンス (Resilience)(回復力)の欠如、サービス拒否、ブルートフォース攻撃の成功、および莫大なクラウド利用料に繋がるからです。 +特定のレートを超える同一の繰り返されるエラーについては、それらがいつ、どの程度の頻度で発生したかを示す統計としてのみ出力することを検討してください。この情報は、自動化されたロギングや監視を妨げないように、元のメッセージに追加されるべきです([A09:2025 セキュリティログとアラートの不備](A09_2025-Security_Logging_and_Alerting_Failures.md) 参照)。 + +これに加えて、厳格な入力検証(受け入れなければならない潜在的に危険な文字については無害化 (Sanitization) またはエスケープを行う)、および「集約された (Centralized)」エラー処理、ロギング、監視、アラート、ならびにグローバル例外ハンドラーを含めるべきです。一つのアプリケーションに例外的な状況を処理するための複数の関数を持たせるべきではなく、一箇所で、毎回同じ方法で実行されるべきです。また、このセクションのすべてのアドバイスについてプロジェクトのセキュリティ要件を作成し、プロジェクトの設計フェーズで脅威モデリング (Threat modeling) や安全な設計レビューを実施し、コードレビューや静的解析を実施し、最終的なシステムに対してストレス、パフォーマンス、およびペネトレーションテストを実行すべきです。 + +可能であれば、組織全体で例外的な状況を同じ方法で処理すべきです。そうすることで、この重要なセキュリティ制御におけるエラーのコードレビューや監査が容易になります。 + + +## 攻撃シナリオの例 (Example attack scenarios.) + +**シナリオ #1:例外的な状況の誤処理によるリソースの枯渇 (サービス拒否)** アプリケーションがファイルのアップロード時に例外をキャッチするものの、その後にリソースを適切に解放しない場合に発生する可能性があります。新しい例外が発生するたびにリソースがロックされるか利用不可のままになり、最終的にすべてのリソースが使い果たされます。 + +**シナリオ #2:不適切な処理またはデータベースエラーによる機密データの露出** ユーザーにシステムの完全なエラーを明らかにしてしまうケースです。攻撃者は、機密性の高いシステム情報を利用してより優れた SQL インジェクション攻撃を作成するために、意図的にエラーを発生させ続けます。ユーザーへのエラーメッセージに含まれる機密データは偵察 (Reconnaissance) 活動に利用されます。 + +**シナリオ #3:金融取引における状態の破損** 攻撃者がネットワークの中断を介して多段階のトランザクションを妨害することによって引き起こされる可能性があります。トランザクションの順序が「ユーザーアカウントの引き落とし、宛先アカウントへの入金、トランザクションのログ記録」であったと仮定します。途中でエラーが発生したときにシステムがトランザクション全体を適切にロールバック(フェイルクローズ)しない場合、攻撃者はユーザーのアカウントを枯渇させたり、あるいは攻撃者が宛先に何度も送金できてしまう競合状態が発生したりする可能性があります。 + + +## 関連資料 (References.) + +OWASP MASVS‑RESILIENCE + +* [OWASP Cheat Sheet: ロギング](https://cheatsheetseries.owasp.org/cheatsheets/Logging_Cheat_Sheet.html) +* [OWASP Cheat Sheet: エラー処理](https://cheatsheetseries.owasp.org/cheatsheets/Error_Handling_Cheat_Sheet.html) +* [OWASP Application Security Verification Standard (ASVS): V16.5 エラー処理](https://github.com/OWASP/ASVS/blob/master/5.0/en/0x25-V16-Security-Logging-and-Error-Handling.md#v165-error-handling) +* [OWASP Testing Guide: 4.8.1 エラー処理のテスト](https://owasp.org/www-project-web-security-testing-guide/stable/4-Web_Application_Security_Testing/08-Testing_for_Error_Handling/01-Testing_For_Improper_Error_Handling) +* [例外に関するベストプラクティス (Microsoft, .Net)](https://learn.microsoft.com/en-us/dotnet/standard/exceptions/best-practices-for-exceptions) +* [クリーンコードと例外処理の技術 (Toptal)](https://www.toptal.com/developers/abap/clean-code-and-the-art-of-exception-handling) +* [一般的なエラー処理規則 (Google for Developers)](https://developers.google.com/tech-writing/error-messages/error-handling) +* [例外的な状況の現実世界における不適切な取り扱いの例](https://www.firstreference.com/blog/human-error-and-internal-control-failures-cause-us62m-fine/) + + +## 紐付けられた CWE 一覧 (List of Mapped CWEs) + +* [CWE-209 Generation of Error Message Containing Sensitive Information](https://cwe.mitre.org/data/definitions/209.html) +* [CWE-215 Insertion of Sensitive Information Into Debugging Code](https://cwe.mitre.org/data/definitions/215.html) +* [CWE-234 Failure to Handle Missing Parameter](https://cwe.mitre.org/data/definitions/234.html) +* [CWE-235 Improper Handling of Extra Parameters](https://cwe.mitre.org/data/definitions/235.html) +* [CWE-248 Uncaught Exception](https://cwe.mitre.org/data/definitions/248.html) +* [CWE-252 Unchecked Return Value](https://cwe.mitre.org/data/definitions/252.html) +* [CWE-274 Improper Handling of Insufficient Privileges](https://cwe.mitre.org/data/definitions/274.html) +* [CWE-280 Improper Handling of Insufficient Permissions or Privileges](https://cwe.mitre.org/data/definitions/280.html) +* [CWE-369 Divide By Zero](https://cwe.mitre.org/data/definitions/369.html) +* [CWE-390 Detection of Error Condition Without Action](https://cwe.mitre.org/data/definitions/390.html) +* [CWE-391 Unchecked Error Condition](https://cwe.mitre.org/data/definitions/391.html) +* [CWE-394 Unexpected Status Code or Return Value](https://cwe.mitre.org/data/definitions/394.html) +* [CWE-396 Declaration of Catch for Generic Exception](https://cwe.mitre.org/data/definitions/396.html) +* [CWE-397 Declaration of Throws for Generic Exception](https://cwe.mitre.org/data/definitions/397.html) +* [CWE-460 Improper Cleanup on Thrown Exception](https://cwe.mitre.org/data/definitions/460.html) +* [CWE-476 NULL Pointer Dereference](https://cwe.mitre.org/data/definitions/476.html) +* [CWE-478 Missing Default Case in Multiple Condition Expression](https://cwe.mitre.org/data/definitions/478.html) +* [CWE-484 Omitted Break Statement in Switch](https://cwe.mitre.org/data/definitions/484.html) +* [CWE-550 Server-generated Error Message Containing Sensitive Information](https://cwe.mitre.org/data/definitions/550.html) +* [CWE-636 Not Failing Securely ('Failing Open')](https://cwe.mitre.org/data/definitions/636.html) +* [CWE-703 Improper Check or Handling of Exceptional Conditions](https://cwe.mitre.org/data/definitions/703.html) +* [CWE-754 Improper Check for Unusual or Exceptional Conditions](https://cwe.mitre.org/data/definitions/754.html) +* [CWE-755 Improper Handling of Exceptional Conditions](https://cwe.mitre.org/data/definitions/755.html) +* [CWE-756 Missing Custom Error Page](https://cwe.mitre.org/data/definitions/756.html) + diff --git a/2025/docs/ja/X01_2025-Next_Steps.md b/2025/docs/ja/X01_2025-Next_Steps.md new file mode 100644 index 000000000..98febcc63 --- /dev/null +++ b/2025/docs/ja/X01_2025-Next_Steps.md @@ -0,0 +1,293 @@ +# 次の一手 (Next Steps) + +設計上、OWASP Top 10 は本質的に最も重大な 10 のリスクに限定されています。すべての OWASP Top 10 において、掲載を巡って長期間検討された「僅差の (On the cusp)」リスクが存在しますが、最終的には他のリスクの方がより一般的で影響力が大きいと判断され、選外となりました。 + +以下の 2 つの問題は、成熟したアプリケーションセキュリティプログラムを目指す組織、セキュリティコンサルタント、あるいは提供機能の網羅率を高めたいツールベンダーにとって、特定と是正に取り組む価値が十分にあるものです。 + + +## X01:2025 アプリケーション・レジリエンスの欠如 (Lack of Application Resilience) + +### 背景 (Background.) + +これは 2021 年版の「サービス拒否 (Denial of Service)」を改称したものです。根本原因ではなく症状を説明していたため、名称が変更されました。本カテゴリは、レジリエンス (Resilience)(回復力)の問題に関連する弱点を表す CWE (共通弱点一覧) に焦点を当てています。本カテゴリのスコアリングは、「A10:2025 例外的な状況への不適切な対応」と非常に僅差でした。関連する CWE には、制御されていないリソースの消費 (CWE-400)、高度に圧縮されたデータの不適切な処理(データ増幅) (CWE-409)、制御されていない再帰 (CWE-674)、および到達不能な終了条件を持つループ(無限ループ) (CWE-835) が含まれます。 + + +### スコアテーブル (Score table.) + + + + + + + + + + + + + + + + + + + + + + + + + +
紐付けられた CWE 数 + 最大出現率 + 平均出現率 + 最大網羅率 + 平均網羅率 + 平均加重悪用スコア + 平均加重影響スコア + 出現総数 + CVE 総数 +
16 + 20.05% + 4.55% + 86.01% + 41.47% + 7.92 + 3.49 + 865,066 + 4,423 +
+ + +### 説明 (Description.) + +本カテゴリは、負荷、障害、および例外的なケースに対してアプリケーションが応答する際のシステム的な弱点を表しており、それによって障害からの回復が不可能になります。アプリケーションが予期せぬ状況、リソースの制約、およびその他の有害な事象を適切に処理、耐え忍び、または回復できない場合、多くは可用性の問題を引き起こしますが、データの破損、機密データの露出、連鎖的な失敗、およびセキュリティ制御のバイパスを招くこともあります。 + +さらに、[X02:2025 メモリ管理の失敗](#x022025-memory-management-failures) も、アプリケーションやシステム全体の失敗に繋がる可能性があります。 + + +### 防止方法 (How to prevent.) + +この種の脆弱性を防ぐには、システムの失敗と回復を前提とした設計 (Design for failure and recovery) を行う必要があります。 + +* 制限、リソース制限 (Quotas)、およびフェイルオーバー機能を実装してください。特にリソースを最も消費する操作に注意を払ってください。 +* リソース集約的なページを特定し、事前に対策を立ててください。攻撃面 (Attack surface) を削減し、特に未知または信頼できないユーザーに対して、大量のリソース(CPU、メモリ等)を必要とする不要な「ガジェット (Gadgets)」や機能を露出させないでください。 +* 許可リスト (Allow-lists) とサイズ制限を用いた厳格な入力検証を実施し、徹底的にテストしてください。 +* レスポンスのサイズを制限し、生のレスポンスをクライアントに返さないでください(サーバー側で処理してください)。 +* デフォルトで「安全/閉鎖 (Safe/closed)」の状態にし、デフォルトで拒否 (Deny by default) し、エラーが発生した場合はロールバックしてください。 +* リクエストスレッド内でのブロッキング同期呼び出しを避けてください(非同期/ノンブロッキングの利用、タイムアウト、同時実行制限の設定等を行ってください)。 +* エラー処理機能を慎重にテストしてください。 +* サーキットブレーカー (Circuit breakers)、バルクヘッド (Bulkheads)、リトライロジック、および緩やかな機能低下 (Graceful degradation) などのレジリエンスパターンを実装してください。 +* パフォーマンスおよび負荷テストを実施してください。リスク許容度がある場合はカオスエンジニアリング (Chaos engineering) も検討してください。 +* 合理的で許容可能な範囲で、冗長性を考慮した実装とアーキテクチャを採用してください。 +* 監視 (Monitoring)、可観測性 (Observability)、およびアラート (Alerting) を実装してください。 +* RFC 2267 に準拠して、無効な送信元アドレスをフィルタリングしてください。 +* フィンガープリント、IP、または挙動による動的な解析を用いて、既知のボットネットをブロックしてください。 +* プルーフ・オブ・ワーク (Proof-of-Work):通常のユーザーには大きな影響を与えず、大量のリクエストを送信しようとするボットにのみ負荷を強いるような、リソースを消費する操作を「攻撃者側」で開始させてください。システムの全般的な負荷が上昇した際、特に信頼性の低い、あるいはボットと思われるシステムに対して、プルーフ・オブ・ワークをより困難にしてください。 +* 無活動時間に基づくアイドルタイムアウトおよび最終タイムアウトを設定し、サーバー側のセッション時間を制限してください。 +* セッションに紐付く情報ストレージの量を制限してください。 + + +### 攻撃シナリオの例 (Example attack scenarios.) + +**シナリオ #1:** 攻撃者が意図的にアプリケーションリソースを消費させてシステム内の障害を誘発し、サービス拒否 (DoS) を引き起こす。これには、メモリの枯渇、ディスク容量の占有、CPU の飽和、または際限のない接続による枯渇(endless connections)などが含まれます。 + +**シナリオ #2:** 入力へのファジング (Fuzzing) により、アプリケーションのビジネスロジックを破壊するような特定のレスポンスを引き起こす。 + +**シナリオ #3:** 攻撃者がアプリケーションの依存関係に注目し、API やその他の外部サービスを停止させる。アプリケーションはそれらのサービスなしでは継続できなくなります。 + + +### 関連資料 (References.) + +* [OWASP Cheat Sheet: サービス拒否 (Denial of Service)](https://cheatsheetseries.owasp.org/cheatsheets/Denial_of_Service_Cheat_Sheet.html) +* [OWASP MASVS‑RESILIENCE](https://mas.owasp.org/MASVS/11-MASVS-RESILIENCE/) +* [ASP.NET Core ベストプラクティス (Microsoft)](https://learn.microsoft.com/en-us/aspnet/core/fundamentals/best-practices?view=aspnetcore-9.0) +* [マイクロサービスにおけるレジリエンス:バルクヘッド vs サーキットブレーカー (Parser)](https://medium.com/@parserdigital/resilience-in-microservices-bulkhead-vs-circuit-breaker-54364c1f9d53) +* [バルクヘッドパターン (Geeks for Geeks)](https://www.geeksforgeeks.org/system-design/bulkhead-pattern/) +* [NIST サイバーセキュリティフレームワーク (CSF)](https://www.nist.gov/cyberframework) +* [ブロッキング呼び出しの回避:Java で非同期化する (Devlane)](https://www.devlane.com/blog/avoid-blocking-calls-go-async-in-java) + + +### 紐付けられた CWE 一覧 (List of Mapped CWEs) +* [CWE-400 Uncontrolled Resource Consumption](https://cwe.mitre.org/data/definitions/400.html) +* [CWE-409 Improper Handling of Highly Compressed Data (Data Amplification)](https://cwe.mitre.org/data/definitions/409.html) +* [CWE-674 Uncontrolled Recursion](https://cwe.mitre.org/data/definitions/674.html) +* [CWE-835 Loop with Unreachable Exit Condition ('Infinite Loop')](https://cwe.mitre.org/data/definitions/835.html) + + +## X02:2025 メモリ管理の失敗 (Memory Management Failures) + +### 背景 (Background.) + +Java、C#、JavaScript/TypeScript (node.js)、Go、および「安全な」Rust といった言語は、メモリ安全 (Memory safe) です。メモリ管理の問題は、C や C++ のような非メモリ安全言語で発生する傾向があります。本カテゴリは、関連する CVE が 3 番目に多いにもかかわらず、コミュニティ調査では最も低いスコアであり、データ上でも低いスコアとなりました。これは、従来のデスクトップアプリケーションよりもウェブアプリケーションが主流となっているためと考えられます。メモリ管理の脆弱性は、しばしば最高の CVSS スコアを記録します。 + + +### スコアテーブル (Score table.) + + + + + + + + + + + + + + + + + + + + + + + + + +
紐付けられた CWE 数 + 最大出現率 + 平均出現率 + 最大網羅率 + 平均網羅率 + 平均加重悪用スコア + 平均加重影響スコア + 出現総数 + CVE 総数 +
24 + 2.96% + 1.13% + 55.62% + 28.45% + 6.75 + 4.82 + 220,414 + 30,978 +
+ + +### 説明 (Description.) + +アプリケーションが自身でメモリを管理しなければならない場合、ミスを犯すのは非常に容易です。メモリ安全言語の使用は増えていますが、世界中で依然として多くのレガシーシステムが稼働しており、非メモリ安全言語の使用を必要とする新しい低レベルシステムや、メインフレーム、IoT デバイス、ファームウェア、および自身でのメモリ管理を強いられる可能性のあるその他のシステムと対話するウェブアプリケーションも存在します。代表的な CWE は、入力サイズの確認なしでのバッファコピー(クラシックなバッファオーバーフロー) (CWE-120) および スタックベースのバッファオーバーフロー (CWE-121) です。 + +メモリ管理の失敗は、以下の場合に発生する可能性があります。 + +* 変数に十分なメモリを割り当てていない +* 入力を検証しておらず、ヒープ、スタック、またはバッファのオーバーフローを引き起こしている +* 変数の型が保持できるサイズよりも大きなデータ値を保存している +* 未割り当てのメモリやアドレス空間を使用しようとしている +* オフバイワン (Off-by-one) エラー(0 ではなく 1 から数え始める等)を作成している +* 解放 (Free) された後のオブジェクトにアクセスしようとしている +* 未初期化の変数を使用している +* メモリリークを起こしている、あるいはアプリケーションが失敗するまでエラーによって利用可能なすべてのメモリを使い果たしている + +メモリ管理の失敗は、アプリケーションやシステム全体の失敗に繋がる可能性があります([X01:2025 アプリケーション・レジリエンスの欠如](#x012025-lack-of-application-resilience) も参照してください)。 + + +### 防止方法 (How to prevent.) + +メモリ管理の失敗を防ぐ最善の方法は、メモリ安全言語を使用することです。例としては、Rust、Java、Go、C#、Python、Swift、Kotlin、JavaScript などが挙げられます。新しいアプリケーションを作成する際は、メモリ安全言語への切り替えに伴う学習曲線がそれだけの価値があることを、組織に対して強く説得してください。フルリファクタリングを行う場合は、可能かつ実現可能な範囲で、メモリ安全言語での書き換えを推進してください。 + +メモリ安全言語を使用できない場合は、以下を実施してください。 + +* メモリ管理エラーの悪用を困難にする以下のサーバー機能を有効にしてください:アドレス空間配置のランダム化 (ASLR: Address Space Layout Randomization)、データ実行防止 (DEP: Data Execution Protection)、および構造化例外ハンドラー上書き保護 (SEHOP: Structured Exception Handling Overwrite Protection)。 +* アプリケーションのメモリリークを監視してください。 +* システムへのすべての入力を非常に慎重に検証し、期待を満たさないすべての入力を拒否してください。 +* 使用している言語を学習し、安全でない関数とより安全な関数のリストを作成し、チーム全体で共有してください。可能であれば、安全なコーディングガイドラインや標準に追加してください。例えば C 言語では、`strcpy()` よりも `strncpy()` を、`strcat()` よりも `strncat()` を優先してください。 +* 言語やフレームワークがメモリ安全ライブラリを提供している場合は、それを使用してください。例:Safestringlib や SafeStr。 +* 可能な限り、生の配列やポインタではなく、管理されたバッファや文字列を使用してください。 +* メモリの問題や選択した言語に焦点を当てた安全なコーディングトレーニングを受けてください。トレーナーに対して、メモリ管理の失敗を懸念していることを伝えてください。 +* コードレビューや静的解析を実施してください。 +* StackShield、StackGuard、Libsafe などのメモリ管理を支援するコンパイラツールを使用してください。 +* システムへのすべての入力に対してファジング (Fuzzing) を実施してください。 +* ペネトレーションテストを実施する場合は、メモリ管理の失敗を懸念しており、テスト中に特別な注意を払ってほしいことをテスターに伝えてください。 +* コンパイラのエラー**および**警告をすべて修正してください。プログラムがコンパイルできるからといって、警告を無視しないでください。 +* 基盤となるインフラストラクチャに対して、定期的なパッチ適用、スキャン、および要塞化 (Hardening) を実施してください。 +* 基盤となるインフラストラクチャにおいて、潜在的なメモリ脆弱性やその他の失敗がないか、特に注意して監視してください。 +* [カナリア (Canaries)](https://en.wikipedia.org/wiki/Buffer_overflow_protection#Canaries) を使用して、アドレススタックをオーバーフロー攻撃から保護することを検討してください。 + + +### 攻撃シナリオの例 (Example attack scenarios.) + +**シナリオ #1:** バッファオーバーフローは最も有名なメモリ脆弱性であり、攻撃者がフィールドに受け入れ可能な量以上の情報を送信し、基盤となる変数に用意されたバッファを溢れさせる状況です。攻撃が成功すると、溢れた文字がスタックポインタを上書きし、攻撃者がプログラムに悪意のある命令を挿入できるようになります。 + +**シナリオ #2:** Use-After-Free (UAF) は、ブラウザのバグバウンティ提出において半ば一般的なほど頻繁に発生します。DOM 要素を操作する JavaScript を処理するウェブブラウザを想像してください。攻撃者は、オブジェクト(DOM 要素等)を作成してその参照を取得する JavaScript ペイロードを作成します。巧妙な操作を通じて、ブラウザにそのオブジェクトのメモリを解放させつつ、そのオブジェクトへのダングリングポインタを保持させます。ブラウザがメモリの解放に気づく前に、攻撃者は**同じ**メモリ空間を占有する新しいオブジェクトを割り当てます。ブラウザが元のポインタを使用しようとすると、それは攻撃者が制御するデータを指すようになります。このポインタが仮想関数テーブル用であった場合、攻撃者はコードの実行を自身のペイロードにリダイレクトさせることができます。 + +**シナリオ #3:** ユーザー入力を受け取り、適切に検証や無害化 (Sanitization) を行わず、そのままロギング関数に渡すネットワークサービス。ユーザーからの入力が、フォーマットを指定せずに `syslog("%s", user_input)` ではなく `syslog(user_input)` としてロギング関数に渡されます。攻撃者は `%x` などの書式指定子を含む悪意のあるペイロードを送信してスタックメモリを読み取ったり(機密データの露出)、`%n` を用いてメモリ番地に書き込んだりします。複数の書式指定子を連鎖させることで、スタックの構成を把握し、重要なアドレスを特定して上書きすることができます。これは 書式文字列の脆弱性 (Format string vulnerability)(制御されていない書式文字列)です。 + +注:モダンなブラウザは、このような攻撃から守るために、ブラウザサンドボックス (Browser sandboxing)、ASLR、DEP/NX、RELRO、PIE などの多くの階層の防御を備えています。ブラウザに対するメモリ管理の失敗を突いた攻撃は、実行するのが容易な攻撃ではありません。 + + +### 関連資料 (References.) + +* [OWASP community pages: メモリリーク (Memory leak),](https://owasp.org/www-community/vulnerabilities/Memory_leak) [メモリの二重解放 (Doubly freeing memory),](https://owasp.org/www-community/vulnerabilities/Doubly_freeing_memory) [および バッファオーバーフロー (Buffer Overflow)](https://owasp.org/www-community/vulnerabilities/Buffer_Overflow) +* [Awesome Fuzzing: ファジングリソースのリスト](https://github.com/secfigo/Awesome-Fuzzing) +* [Project Zero ブログ](https://googleprojectzero.blogspot.com) +* [Microsoft MSRC ブログ](https://www.microsoft.com/en-us/msrc/blog) + + +### 紐付けられた CWE 一覧 (List of Mapped CWEs) +* [CWE-14 Compiler Removal of Code to Clear Buffers](https://cwe.mitre.org/data/definitions/14.html) +* [CWE-119 Improper Restriction of Operations within the Bounds of a Memory Buffer](https://cwe.mitre.org/data/definitions/119.html) +* [CWE-120 Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')](https://cwe.mitre.org/data/definitions/120.html) +* [CWE-121 Stack-based Buffer Overflow](https://cwe.mitre.org/data/definitions/121.html) +* [CWE-122 Heap-based Buffer Overflow](https://cwe.mitre.org/data/definitions/122.html) +* [CWE-124 Buffer Underwrite ('Buffer Underflow')](https://cwe.mitre.org/data/definitions/124.html) +* [CWE-125 Out-of-bounds Read](https://cwe.mitre.org/data/definitions/125.html) +* [CWE-126 Buffer Over-read](https://cwe.mitre.org/data/definitions/126.html) +* [CWE-190 Integer Overflow or Wraparound](https://cwe.mitre.org/data/definitions/190.html) +* [CWE-191 Integer Underflow (Wrap or Wraparound)](https://cwe.mitre.org/data/definitions/191.html) +* [CWE-196 Unsigned to Signed Conversion Error](https://cwe.mitre.org/data/definitions/196.html) +* [CWE-367 Time-of-check Time-of-use (TOCTOU) Race Condition](https://cwe.mitre.org/data/definitions/367.html) +* [CWE-415 Double Free](https://cwe.mitre.org/data/definitions/415.html) +* [CWE-416 Use After Free](https://cwe.mitre.org/data/definitions/416.html) +* [CWE-457 Use of Uninitialized Variable](https://cwe.mitre.org/data/definitions/457.html) +* [CWE-459 Incomplete Cleanup](https://cwe.mitre.org/data/definitions/459.html) +* [CWE-467 Use of sizeof() on a Pointer Type](https://cwe.mitre.org/data/definitions/467.html) +* [CWE-787 Out-of-bounds Write](https://cwe.mitre.org/data/definitions/787.html) +* [CWE-788 Access of Memory Location After End of Buffer](https://cwe.mitre.org/data/definitions/788.html) +* [CWE-824 Access of Uninitialized Pointer](https://cwe.mitre.org/data/definitions/824.html) + + +## X03:2025 AI 生成コードへの不適切な信頼 (Inappropriate Trust in AI Generated Code) (「バイブ・コーディング (Vibe Coding)」) + +### 背景 (Background.) + +現在、全世界が AI について語り、利用しており、これにはソフトウェア開発者も含まれます。現時点では AI 生成コードに関連する CVE や CWE は存在しませんが、AI が生成したコードは人間が書いたコードよりも脆弱性を含むことが多いことが、広く知られ、文書化されています。 + + +### 説明 (Description.) + +ソフトウェア開発の実践において、AI の支援を受けてコードを書くだけでなく、人間の監視をほぼ経ずにコードが書かれコミットされる(しばしば「バイブ・コーディング (Vibe coding)」と呼ばれます)よう変化しているのを私たちは目にしています。ブログやウェブサイトからコードスニペットを深く考えずにコピーするのが決して良いアイデアではなかったのと同様に、このケースでは問題がさらに悪化しています。優れた安全なコードスニペットはかつても今も稀であり、システムの制約により AI によって統計的に無視される可能性があります。 + + +### 防止方法 (How to prevent.) + +AI を使用する際、コードを書くすべての人々に以下を考慮することを強く求めます。 + +* AI によって書かれたコードやオンラインフォーラムからコピーしたコードであっても、自身が提出するすべてのコードを読み、完全に理解している必要があります。コミットするすべてのコードに対して責任を負うのはあなた自身です。 +* AI の支援を受けたコードを、脆弱性がないか徹底的にレビューしてください。理想的には自身の目で、またその目的のために作られたセキュリティツール(静的解析など)も使用してください。[OWASP Cheat Sheet: 安全なコードレビュー](https://cheatsheetseries.owasp.org/cheatsheets/Secure_Code_Review_Cheat_Sheet.html) で説明されているような古典的なコードレビュー手法の活用を検討してください。 +* 理想的には、自身でコードを書き、AI に改善を提案させ、AI のコードをチェックし、結果に満足するまで AI に修正を行わせることです。 +* 自身で収集・精査した安全なコードサンプルや文書(組織の安全なコーディングガイドライン、標準、またはポリシー等)を備えた検索拡張生成 (RAG: Retrieval Augmented Generation) サーバーの使用を検討し、RAG サーバーにポリシーや標準を遵守させてください。 +* 選択した AI で使用するために、プライバシーやセキュリティのガードレールを実装したツールの購入を検討してください。 +* プライベート AI の購入を検討してください。理想的には、組織のデータ、クエリ、コード、またはその他の機密情報で AI が学習されないような契約合意(プライバシー合意を含む)を結んでください。 +* IDE と AI の間にモデル・コンテキスト・プロトコル (MCP: Model Context Protocol) サーバーを導入し、選択したセキュリティツールの使用を強制するように設定することを検討してください。 +* 開発者(およびすべての従業員)に対し、組織内で AI をどのように使用すべきか、あるいは使用すべきでないかを周知するためのポリシーとプロセスを SDLC の一部として実装してください。 +* IT セキュリティのベストプラクティスを考慮した、高品質で効果的なプロンプトのリストを作成してください。理想的には、内部の安全なコーディングガイドラインも考慮に入れるべきです。開発者はこれらのプロンプトを自身のプログラムの開始点として利用できます。 +* AI は、システム開発ライフサイクルの各フェーズの一部となる可能性が高いですが、効果的かつ安全に利用する方法の両方を考慮してください。賢明に利用してください。 +* 実際のところ、複雑な機能、ビジネス上重要なプログラム、または長期間使用されるプログラムに対して、バイブ・コーディングを用いることは**推奨されません**。 +* シャドー AI (Shadow AI) の利用に対する技術的なチェックと保護策を実装してください。 +* ポリシーに加え、安全な AI の利用方法やソフトウェア開発における AI 利用のベストプラクティスについて、開発者をトレーニングしてください。 + + +### 関連資料 (References.) + +* [OWASP Cheat Sheet: 安全なコードレビュー (Secure Code Review)](https://cheatsheetseries.owasp.org/cheatsheets/Secure_Code_Review_Cheat_Sheet.html) + + +### 紐付けられた CWE 一覧 (List of Mapped CWEs) +-なし- + diff --git a/2025/docs/ja/index.md b/2025/docs/ja/index.md new file mode 100644 index 000000000..02c6a693c --- /dev/null +++ b/2025/docs/ja/index.md @@ -0,0 +1,39 @@ +# OWASP Top 10:2025 + +OWASP Top 10:2025 リリースへようこそ。 + +OWASP Top 10 は、開発者やウェブアプリケーションセキュリティに関わる人々のための、標準的な啓発資料 (Awareness document) です。これは、ウェブアプリケーションに対する最も深刻なセキュリティリスクについて、広く認められた見解を表しています。 + +## 本リリースについて (About This Release) + +これは OWASP Top 10 の **2025年** 版です。このバージョンには、最新のデータとセキュリティ動向に基づいた更新が含まれています。 + +## メインプロジェクトページ (Main Project Page) +[メインプロジェクトページ (GitHub)](https://github.com/OWASP/www-project-top-ten) には、旧バージョンに関する情報や、本プロジェクトのメタデータが掲載されています。 + +## はじめに (Getting Started) +[イントロダクション (Introduction)](0x00_2025-Introduction.md) から、2025年版での新要素について確認してください。 + +## ナビゲーション (Navigation) + +- [イントロダクション (Introduction)](0x00_2025-Introduction.md) +- [OWASP について (About OWASP)](0x01_2025-About_OWASP.md) +- [アプリケーションセキュリティリスクとは何か? (What are Application Security Risks?)](0x02_2025-What_are_Application_Security_Risks.md) +- [今日求められるアプリケーションセキュリティプログラムの確立 (Establishing a Modern Application Security Program)](0x03_2025-Establishing_a_Modern_Application_Security_Program.md) + +### Top 10:2025 リスト (Top 10:2025 List) + +1. [A01:2025 - アクセス制御の不備 (Broken Access Control)](A01_2025-Broken_Access_Control.md) +2. [A02:2025 - セキュリティ設定の不備 (Security Misconfiguration)](A02_2025-Security_Misconfiguration.md) +3. [A03:2025 - ソフトウェアサプライチェーンの不備 (Software Supply Chain Failures)](A03_2025-Software_Supply_Chain_Failures.md) +4. [A04:2025 - 暗号化の不備 (Cryptographic Failures)](A04_2025-Cryptographic_Failures.md) +5. [A05:2025 - インジェクション (Injection)](A05_2025-Injection.md) +6. [A06:2025 - 安全性を欠いた設計 (Insecure Design)](A06_2025-Insecure_Design.md) +7. [A07:2025 - 認証の不備 (Authentication Failures)](A07_2025-Authentication_Failures.md) +8. [A08:2025 - ソフトウェアまたはデータの完全性の不備 (Software or Data Integrity Failures)](A08_2025-Software_or_Data_Integrity_Failures.md) +9. [A09:2025 - セキュリティログとアラートの不備 (Security Logging and Alerting Failures)](A09_2025-Security_Logging_and_Alerting_Failures.md) +10. [A10:2025 - 例外的な状況への不適切な対応 (Mishandling of Exceptional Conditions)](A10_2025-Mishandling_of_Exceptional_Conditions.md) + +--- + +**注記:** 翻訳版は、利用可能になり次第随時追加されます。