サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 ニュース解説 悪意あるサイトへ気付かれず誘導、オープンリダイレクトの脆弱性

悪意あるサイトへ気付かれず誘導、オープンリダイレクトの脆弱性

悪意あるサイトへ気付かれず誘導、オープンリダイレクトの脆弱性
目次
  • 今回の解説ニュース
  • 攻撃者の意図したサイトへ誘導、オープンリダイレクトの脆弱性とは?
  • 違和感なく誘導されたら正しいと認識?オープンリダイレクトへの対策

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

Tornado にオープンリダイレクトの脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月22日、Tornado におけるオープンリダイレクトの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

Tornadoにオープンリダイレクトの脆弱性が発見されています。Tornadoをご利用中の方はアップデートを検討してください。発見されたオープンリダイレクトに関する脆弱性の詳細やユーザ側でできる対策について説明します。

tornadoweb が提供する Tornado にオープンリダイレクトが発生する脆弱性が発見されました。該当するのはTornado 6.3.1以前のバージョンです。

影響として、当該製品を使用しているサイトのユーザが細工された URL にアクセスすることで、任意のウェブサイトにリダイレクトされ、フィッシングなどの被害にあう可能性があるということです。対策として、開発者が提供する情報をもとに最新版にアップデートするよう呼びかけられています。脆弱性の詳細情報は、割り当てられたCVE番号「CVE-2023-28370」で検索してみてください。

攻撃者の意図したサイトへ誘導、オープンリダイレクトの脆弱性とは?

オープンリダイレクトの脆弱性について、できるだけわかりやすく説明します。

オープンリダイレクトとは、Webアプリケーションなどで指定された任意のURLにリダイレクトされる脆弱性です。Webサイトなどに必要なリダイレクト機能であっても、指定されるURLに何ら制限がかけられていない場合は、悪意のあるサイトへの誘導に利用される場合があります。

例えば、AさんがECサイトで商品を購入していたとします。カートに商品を追加して、いざ決済をする際に、ログインを求められることがあるかと思います。その際に、自動でログイン画面に遷移して、正しいIDとパスワードを入力したら元の画面に遷移することがあるのではないでしょうか。これらが、ECサイトで実装されるリダイレクトの機能です。

ここで、ログイン画面から元の画面に戻る際に、元の画面のURLを何らかの形でECサイトが知っておく必要があります。その方法の一つとして、元の画面のURLを外部から指定する仕様になっている場合がありますが、この外部から指定するURLに何ら制限がかけられていない場合は、オープンリダイレクトの脆弱性が発生してしまいます。

具体的には、元の画面のURLとしてフィッシングサイトが指定された場合、オープンリダイレクトの脆弱性があるECサイトにアクセスしたAさんは、外部から指定されたフィッシングサイトに遷移してしまうことになります。リダイレクト機能が提供されているのはあくまでもECサイトであるため、ECサイトにアクセスしたはずのAさんは、フィッシングサイトへ遷移したことに気が付くことができないかもしれません。

違和感なく誘導されたら正しいと認識?オープンリダイレクトへの対策

ユーザ側ができるオープンリダイレクトの対策として、個人情報などを入力する際は、常に正しいURLにアクセスしているか確認することが求められます。

仮に、オープンリダイレクトの脆弱性が悪用されて、フィッシングサイトを含む不正なWebサイトへリダイレクトされたとしても、個人情報などを入力しなければ被害を最小限に抑えることができる可能性があります。よって、重要な情報の入力を求められた際は、常に正しいURLにアクセスできているか確認することが求められます。

具体的には、フィッシング詐欺と同様の対策が求められますので、過去のフィッシング詐欺に関する配信も聞いていただきたいと思いますが、それに加えて、明らかにオープンリダイレクトと判断できる脆弱性が存在していた場合は、別の被害者を生まないためにも、Webサイトの所有者か、今回の脆弱性のようにIPAに対して報告をしてあげると良いかもしれません。

今回は、発見されたオープンリダイレクトに関する脆弱性の詳細やユーザ側でできる対策についてお届けしました。

Voicyでニュース解説ラジオ配信中!

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!

著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

サービスに関する
お問い合わせ