プレス発表　「安全なウェブサイトの作り方 改訂第7版」を公開

2015年3月12日
独立行政法人情報処理推進機構

　IPAでは、必要な技術的配慮が不足していたために起こるウェブサイトの情報漏えいや改ざん等、意図しない被害を防ぐため「安全なウェブサイトの作り方」を2006年から発行しており、これまでに6版を数えています。その内容には、IPAへの届出件数が多く攻撃による影響度が大きいソフトウェア製品やウェブアプリケーションに関する脆弱性関連情報を取り上げ、適切なセキュリティが考慮されたウェブサイト作成のためのポイントをまとめています。

　7版となる今回の改訂では、DNS^(*1)を狙った攻撃やパスワードリスト攻撃、クリックジャッキング攻撃^(*2)など、前回改訂の2012年以降問題となった攻撃、および新たな手口への有効な対策を追加しています。また、今回は保存している利用者等のパスワードの漏えいに備える対策を提示しています。

　パスワードリスト攻撃では、例えばA社のウェブサービスから漏えいしたパスワードがB社やC社などの他のサービスで悪用されているという指摘があります。そのためパスワードをそのままで保存していると、漏えいした場合に即攻撃に悪用される可能性があります。また、ハッシュ値^(*3)にして保存していたとしても、予めパスワードに使用される可能性のある文字列のハッシュ値をリスト化し、高速にパスワードを復元する手口の存在が確認されていることから万全とはいえない状態でした。そのため7版ではパスワードを“ソルト”と呼ばれる文字列を付加して計算したハッシュ値（「ソルト付きハッシュ値」）にし、見かけ上のパスワードを長くすることで、パスワード復元までの時間を非現実的な長さに延ばすことを推奨しています。この対策により、万が一パスワードが漏えいしても、復元が困難なためパスワードリスト攻撃等への悪用防止効果が期待できます。

　その他、7版ではバッファオーバーフローやクロスサイト・スクリプティングの脆弱性の対策等を加筆しています。

(*1)：Domain Name Systemの略で、コンピュータがネットワークのどこに接続されているかを示すIPアドレスという数字の集まりを、www.ipa.go.jp のような人に覚えやすいドメイン表記と対応させるための情報を管理する仕組み

(*2)：ユーザーを視覚的にだまして、別のウェブページのコンテンツを誤ってユーザーに操作させる攻撃

(*3)：ハッシュ関数により求められる固定長のデータ。ハッシュ値から元の文字列を求めることが難しいという特性を持つ

IPA 技術本部 セキュリティセンター　谷口／扇沢

Tel: 03-5978-7527　Fax: 03-5978-7518　E-mail:

IPA 戦略企画部 広報グループ　横山／白石

Tel: 03-5978-7503　Fax: 03-5978-7510　E-mail: