2014年インターネット金融セキュリティレポート

2015 年 4 月 30 日、Green Alliance Technology は 2014 年インターネット金融セキュリティ レポートを発表しました。このレポートでは、2014 年にインターネット金融業界における 134 件のセキュリティ脆弱性を収集し、インターネット金融における一般的なセキュリティ脆弱性に関する統計と詳細な分析を実施し、不正な脆弱性コードからの保護、任意のユーザー パスワード変更、悪意のある登録コードからの保護、悪意のある SMS コードからの保護など、ビジネス設計の観点からの保護ソリューションを提供しました。このレポートは、インターネット金融機関や実務家にとって参考となる価値があります。以下に全文レポートを掲載します。

インターネット金融のセキュリティ状況は心配です。不完全な統計によると、2014年末までに、約165のP2Pプラットフォームがハッカー攻撃によりシステム麻痺、データの悪意ある改ざん、資金の略奪に見舞われました。現在、多くのP2Pプラットフォームの全体的なセキュリティ技術レベルは、そのビジネスのリスクに見合っていない。ハッカーの攻撃を防ぐための専門的かつ中核的な技術が不足しているため、ハッカーに状況を利用する機会を与えている。プラットフォームのセキュリティ機能をどのように向上させるかが、解決すべき緊急の問題となっている。中国人民銀行の元副総裁で著名な経済学者の呉暁玲氏は、「世界のハッキング対策組織の最新報告書によると、中国のP2Pは世界中のハッカーに虐殺される羊となっている」と語った。

インターネット金融が新たな勢力として台頭してきた。 2015年3月5日、第12期全国人民代表大会第3回会議が盛大に開催されました。李克強首相は「政府活動報告」の中で何度もインターネット金融に言及し、「インターネット金融は新たな勢力として台頭している」と明確に指摘し、「インターネット金融の健全な発展を促進する」ことを提案した。 中国民主国家建設協会中央委員会が中国人民政治協商会議全国委員会に提出した、我が国のインターネット金融のさらなる規制と発展に関する提案には、インターネット金融業界の6つの顕著な問題が挙げられており、その中でもセキュリティは重要な側面となっている。

近年、インターネット金融業界では多くの新しいシステムが立ち上げられています。Green Alliance Technology の NSTRT セキュリティ チームは、2014 年にインターネット金融業界のセキュリティ脆弱性レポートを 134 件収集し、脆弱性の種類と数に関する統計を作成しました。レポートの主なポイントは次のとおりです。

視点 1: インターネット上の金融セキュリティ恐喝事件が増加しており、その動機は明らかに利益追求です。

視点 2: セキュリティの脆弱性は部分的に集中していますが、一部の脆弱性は非常に一般的です。

視点3：インターネット金融業界の参入障壁が低すぎるため、セキュリティ整備への配慮が不十分である。

視点 4: 開発セキュリティ管理が不十分だと、脆弱性修復コストが高くなります。

セキュリティリスク分析

セキュリティの脆弱性

脆弱性の種類の分類と数量統計によると、最も一般的な 12 種類の脆弱性が見つかりました。脆弱性の種類は数とリスク値で並べ替えられ、次の脆弱性データ分布が得られます。

セキュリティ脆弱性分析

上のグラフから、脆弱性の統計では、インジェクション、クロスサイト、CSRF、悪意のあるアップロードなどの一般的なWeb脆弱性に加えて、一部の金融プラットフォームでは、任意のユーザーパスワードリセット、トランザクションパラメータの悪意のある改ざんなど、ビジネス機能の設計に深刻なリスクがあることがわかります。一般的なインジェクションや悪意のあるアップロードとは異なり、これらのビジネスロジックの脆弱性はサーバーのセキュリティに直接影響しませんが、ユーザーの資金とアカウントのセキュリティに直接影響します。リスクの程度はさらに大きく、ハッカーに悪用されたり、露出したりした場合、ビジネスデータのセキュリティとプラットフォームの信頼性に深刻な影響を及ぼします。次のレポートでは、いくつかの一般的な状況を簡単に分析し、解釈します。

ビジネス設計上の欠陥が最も大きなリスクをもたらす

ビジネス設計上の欠陥によって引き起こされるいわゆるリスクは、一般的な従来のセキュリティの脆弱性とは区別されます。一般的な脆弱性には、SQL インジェクション、XSS クロスサイト スクリプティングの脆弱性、システム コマンド実行の脆弱性、オーバーフローの脆弱性などがあります。業務設計上の欠陥に起因する脆弱性は、一般的にシステム業務に紐づくものであり、脆弱性を悪用するコードには明らかな攻撃特徴がなく、一般的なWebアプリケーション保護装置（WAFなど）で防御することは困難です。すべての脆弱性の種類のうち、ビジネス設計上の欠陥によって引き起こされるセキュリティ リスクは 27% を占めています。最も一般的なセキュリティの脆弱性は、Web アプリケーション ファイアウォールなどの保護機能によって保護できますが、ビジネス設計上の欠陥によって生じるリスクに対しては、一般的かつ包括的なセキュリティ保護を実装することが非常に困難です。そのため、業務設計上の欠陥によって生じるセキュリティリスクを防止し、検出することが特に重要になります。

ビジネス設計上の欠陥の分類と統計

NSTRT セキュリティ チームは、統計の種類と量に基づいて、インターネット金融業界でより一般的なビジネス設計上の欠陥をリストし、典型的なケースを特別に紹介しました。なお、各システムの業務の違いや業務自体の複雑さにより、業務設計上の欠陥によって生じる脆弱性は他では遭遇したことがない可能性があり、こうした非常にまれな脆弱性を分類することは困難です。最も一般的なビジネス設計上の欠陥は、次の表に分類され、数えられています。

並行的な過剰対応はビジネス設計上のよくある欠陥である

並行不正アクセス問題とは、同じレベルの権限を持つ異なるユーザーが許可なく他人のデータを取得したり操作したりできる状況を指します。脆弱性の数の統計によると、ビジネス設計によって引き起こされるすべての欠陥のほぼ半分は、並行権限昇格の問題によるものです。並列不正アクセスの問題には、主に並列不正クエリ、並列不正ダウンロード、並列不正変更が含まれます。

不正なクエリを例にとると、多くのシナリオでは、開発者がユーザーが自分の情報を表示するための機能を設計する場合、サーバーはユーザーがログインしているかどうかを確認し、ユーザーが情報を表示する権限を持っているかどうかを判断します。このような設計では、開発者はユーザーがクエリ権限を持っているかどうか、またはログインしているかどうかのみを考慮しますが、ユーザーのクエリの特定の内容がユーザーの権限と一致するかどうかは考慮しないため、ユーザーが他の人の情報をクエリできる可能性があります。

並行権限外の課題は原理的には複雑ではありませんが、金融業界では非常に一般的です。このようなリスクは非常に一般的ですが、その理由の一部は、安全な開発に対する認識が不足していること、そして一部には、このようなビジネス ロジックの問題が Web アプリケーション ファイアウォールなどのデバイスを使用して保護できないことにあります。この種のセキュリティ リスクを解決するには、ビジネス セキュリティ設計とセキュリティ コーディングという 2 つの側面から始める必要があります。

XSSは最も一般的なセキュリティ脆弱性である

毎年発表される OWASP TOP 10 では、クロスサイト スクリプティングの脆弱性 (XSS) が長年にわたってトップにランクされています。インターネット金融業界も例外ではありません。さまざまな一般的な脆弱性の中で、XSS は最も頻繁に発生する脆弱性タイプであり、13% を占めています。これらには主に、リフレクション XSS と保存型 XSS が含まれます。

クロスサイト スクリプティングの脆弱性は、Web ページのトロイの木馬、ユーザー権限の盗難、フィッシング攻撃など、複数のセキュリティ リスクにつながる可能性があります。

CSRF (クロスサイトリクエストフォージェリ脆弱性) も比較的一般的であり、すべての脆弱性の 6% を占めていることも言及する価値があります。実際の攻撃では、CSRF は XSS と組み合わせて使用​​され、大きな威力を発揮することがよくあります。多くの場合、保存された XSS と CSRF の脆弱性を使用すると、非常に明らかな攻撃効果を伴い、短期間で多数のユーザーを攻撃することができます。

SMS認証は最も脆弱なセキュリティ機能です

中程度および高リスクの脆弱性の統計のうち、携帯電話のテキスト メッセージに関連する脆弱性が 13% を占めています。すべての安全機能の中で最もリスクが高い。 SMS 認証機能は、ユーザーの身元を確認するためにシステムに追加されたセキュリティ機能ですが、このセキュリティ機能自体には直接的なセキュリティ リスクが伴います。携帯電話の SMS 認証機能で発生するリスクの種類の中で最も一般的なものは、携帯電話の SMS 爆弾、携帯電話の SMS 認証プロセスのバイパス、携帯電話の SMS クラッキング、および携帯電話の SMS の再利用です。

ユーザーログイン機能もセキュリティ災害領域

インターネット金融システムでは、ユーザーログイン機能は重要なシステムセキュリティ機能の 1 つであり、アカウントセキュリティの第一防衛線でもあります。残念ながら、この防御線は多くの場所で十分に強力ではなく、攻撃者がそれを突破してさまざまな攻撃を仕掛ける機会を与えてしまうことがよくあります。

ユーザー ログイン機能における一般的なセキュリティ リスクには、主にブルート フォース クラッキング、ログイン プロセスのバイパス、ユーザー情報の漏洩、バッチ アカウントのロックなどがあります。

ほとんどの場所のユーザーログイン機能にはさまざまな種類の検証コード検証がありますが、統計によると、ログイン検証コード検証の大部分にセキュリティ上の欠陥があり、攻撃者が検証コードをバイパスしてブルートフォースクラッキングを実行できる可能性があります。

大量のユーザー情報が漏洩する今日、アカウントのセキュリティは非常に重要です。大量のユーザーデータが漏洩した後、ユーザーアカウントとパスワードの総当たり攻撃の成功率がますます高くなりました。したがって、アカウントとログインのセキュリティには注意を払う必要があります。

インターネット金融開発セキュリティ分析

インターネット金融セキュリティはまだ未成熟

インターネット金融業界は、その敷居の低さと効率の高さから、近年大幅な成長傾向を示しています。金融業界では、銀行が使用するさまざまなオンラインバンキングシステムが長年のセキュリティテストを受けており、セキュリティ面で大きな進歩を遂げています。しかし、さまざまなインターネット金融プラットフォームはまだ比較的新しいため、多くの企業は自社のセキュリティリスクを十分に理解していません。例えば、2014年上半期、国内のインターネットセキュリティフィードバックプラットフォームであるWuyunは、あるP2Pプラットフォームシステムに重大なセキュリティ上の脆弱性があることを明らかにし、「システムが数千万ドルの取引に関わる脆弱性を勝手にアップロードした」と述べた。統計によると、この脆弱性は少なくとも15の国内オンラインローンプラットフォームに関係していた。

インターネット金融の研究開発チームのほとんどは新しく設立されたチームであり、開発基準は十分に整っておらず、開発者の経験とセキュリティ意識は大部分が不均一です。

緊急プロジェクトは安全リスクを増大させる

多くの企業がインターネット金融業界に参入した際、システム開発に十分な時間を確保しなかったため、急速な発展現象が多数発生しました。セキュリティ分析は忍耐と細心の注意を必要とする作業です。急速な開発により、開発者は進歩のためにセキュリティを犠牲にする可能性があります。同時に、進歩のプレッシャーにより、テスターはシステムの可用性をより考慮するようになり、セキュリティテストを考慮することが難しくなります。

インターネット金融セキュリティの開発と保護

私たちは、リスクに遭遇することが少なくなることを望むだけでなく、リスクに遭遇したときにそれに対処できるほど強くなることを望んでいます。企業の場合、開発者はセキュリティ トレーニングを通じて、強力なセキュリティ リスク認識とセキュリティ開発能力を身に付ける必要があります。企業のセキュリティ管理には、セキュリティ開発標準とシステムオンライン運用セキュリティ プロセスの適切なセットが必要です。インターネット金融プロジェクトがオンラインになる前に、包括的なセキュリティ準備を行い、あらゆるレベルでセキュリティ防御ラインを確立し、プロジェクトのすべての段階でセキュリティ制御を導入して、セキュリティ リスクの発生源を回避する必要があります。完全な開発プロジェクトでは、セキュリティ リスク管理の観点からセキュリティ リスクを回避するために、SDL (セキュリティ開発ライフサイクル) プロセスを導入する必要があります。

SDL は、要件段階、設計段階、実装段階、テスト段階、リリース対応段階からセキュリティ管理を導入します。 SDL の各段階の関連内容については、次の図を参照してください。

インターネット金融セキュリティ防衛

さまざまなタイプのセキュリティ脆弱性のうち、最も一般的なセキュリティ脆弱性（XSS、SQLインジェクションなど）は、Webアプリケーション保護デバイスなどの対策によって一般的に保護できます。ただし、ビジネス設計の欠陥によって発生する脆弱性は、これらの対策では一般的に保護できません。唯一の解決策は、設計から回避し、コードで修正することです。

インターネット金融の研究開発チームが同じ過ちを繰り返さないようにするために、NSFOCUS の NSTRT レポートでは、最も一般的なビジネス設計上の欠陥を詳細に紹介し、対応する保護ソリューションを提供しています。概要は次のとおりです。

不正な脆弱性コード保護

並行不正アクセス脆弱性に対処するために、アクセスおよび操作するオブジェクトにユーザー属性を追加することを推奨します。対象オブジェクトにアクセスおよび操作する際、サーバーはセッションとオブジェクトのユーザー属性を検証し、検証後に読み取りおよび操作を実行します。

垂直権限昇格の脆弱性に対処するには、すべてのアクセスを拒否するデフォルトのメカニズムを使用し、各機能の特定のロールにアクセス権を明示的に付与することをお勧めします。同時に、ユーザーが機能を使用する場合、システムはアクセス制御メカニズムに対してユーザーの権限をチェックする必要があります。

ユーザーのパスワード変更

パスワードリセット機能で任意のユーザーのパスワードがリセットされる問題を解決するには、まずSMS認証コード検証機能自体のセキュリティを確保し、ランダム認証コードの認証回数に制限を設け、認証回数が制限を超えた場合に現在の認証コードを無効にしなければなりません。次に、SMS 認証コード検証プロセスがバイパスされないようにするために、SMS 認証に合格した後にパスワードをリセットするときに、サーバーのセッション情報からユーザーが SMS 認証コード検証に合格したかどうかを判断する必要があります。最後に、パスワード リセット機能が逆方向に使用されないようにするために、パスワードをリセットする対象アカウントはクライアント パラメータから取得できず、サーバー セッション情報から取得する必要があります。

悪意のある登録コードからの保護

悪意のある登録の脆弱性は、通常、SMS または電子メールの認証機能の欠陥、または悪意を持って悪用される可能性によって発生します。登録機能を設計する際には、SMS または電子メールによる誤った認証の回数に制限を設けるようにしてください。特に、電子メール認証の内容は予測不可能なものでなければならないことに注意することが重要です。携帯電話またはメール認証後、登録する対象アカウントがセッションに保存された認証済みの携帯電話またはメールであることを確認します。

悪意のあるSMSコードからの保護

悪意のあるテキスト メッセージに関連するセキュリティの問題に対処するには、次の 3 つの方法をお勧めします。

1. 攻撃者が SMS インターフェイスを使用して悪意のある爆撃を実行するのを防ぐために、サーバーから各番号の送信頻度と 1 日あたりの送信回数を制限します。

2. 攻撃者が携帯電話番号を悪用して SMS を送信するのを防ぐため、SMS を送信する前にグラフィック検証コードによる認証を要求します。

3. SMS の内容はシステムによって直接定義される必要があります。クライアントは、パスワード取得の場合は messagetype=1、登録の場合は messtype=2 など、送信する内容を数字または文字で選択し、数字を使用して送信する内容をインデックス付けできます。

結論

金融業界で最も一般的なオンライン バンキング システムは、長年にわたり、セキュリティに関するレッスンとテストを経てきました。今日、何年も前に一般的だった高リスクの脆弱性が、オンライン バンキング システムで検出するのが困難になっていることを嬉しく思います。

かつて、インターネット金融の波が金融業界に新たな嵐をもたらしました。オンライン バンキング システムよりもオープンかつ多様化しており、それ自体のリスクが高く、保護も複雑です。 2014 年に発生した大規模なセキュリティ インシデントにより、商業的利益を動機とするリスクは私たちが考えるよりも早く発生することが分かりました。

ニアン反乱は川の防衛で終結した。 2014年現在、インターネット金融業界の情報セキュリティ分野では依然として十分な監督が不足していますが、関係者全員の努力により、インターネット金融業界は安全かつ健全なものになると信じています。

出典: 寄稿、著者: Lai Dongfang、Green Alliance Technology の TRT コード セキュリティ チーム リーダー、開発セキュリティ研究担当、Zhang Jiafa、Green Alliance Technology の TRT リーダー、チーム構築と攻撃および防御研究担当。寄稿者: Hou Jun、Wu Hao

原題: 2014 年インターネット金融セキュリティレポート

キーワード: インターネット