あなたが今まさに犯しているかもしれない、ファイル・アップロードの脆弱性につながる5つのミス

多くの業界や企業は、ユーザー生成ファイルのアップロードを許可し、むしろ推奨しています。健康保険、住宅ローン、保険契約のいずれの場合も、ファイルのアップロードは不可欠です。ただし、ファイルには固有のリスクが伴うため、注意して扱う必要があります。

この記事では、ファイル・アップロードの脆弱性につながるミス、ファイル・アップロード経由の攻撃を防御するためのベストプラクティス、そしてセキュアなファイル・アップロード・システムの開発が高コストなデータ侵害を避けるために重要である理由をご説明します。

ファイルアップロードの脆弱性につながるミス

ハッカーは、企業のサイバー防御を侵害することは必ずしも容易ではないことを学びました。そして防御網を回避するため、標的に悪意のあるコードを注入する簡単な方法を見つけ出しています。ファイル・アップロードに関する脆弱性を見つけ出し、アップロード時に悪意のあるコンテンツを埋め込むのです。つまり、顧客、ベンダー、またはその他の第三者が御社のシステムにファイルをアップロードするたびに、ネットワーク全体が悪用されるリスクにさらされます。ハッカーは、ファイル・アップロードに脆弱性がある組織を簡単に特定できます。どのように特定するのでしょうか。以下はよくあるミスの一覧です。

ミスその1：不十分な認証と認可

すべては許可の問題です。ハッカーは、ファイルがアップロードされる前に認証や認可によるチェックがないファイルアップロードの脆弱性を簡単に見つけることができ、悪意のある攻撃者があらゆるファイルをアップロードできる扉を開いてしまいます。このシナリオを避けるために、ユーザーのサインインによる認証を確実に実行してください。サインイン用の詳細情報と、CAPTCHAのような別のセキュリティアクションを組み合わせる、二要素認証などのユーザー認証プロトコルの使用が望ましいでしょう。これは、ユーザーがシステムにファイルをアップロードするための正しい権限を持っていることを初めから確認するための仕組みです。

とはいえ、組織がユーザーを認証せずにファイルを受理する必要がある場合も多々あります。たとえば、政府は、認証されていない一般からのファイルのアップロードを受け入れることがよくあります。あるいは、可能な限り煩雑さを抑える必要がある収益創出やミッション・クリティカルな手順の一部として、ファイルのアップロードを受け入れる場合があります。そしてこれだけでは、認証の有無にかかわらず、攻撃者がアカウントを乗っ取って信頼された既知のユーザーを装い、悪意のあるコンテンツをアップロードすることを防ぐことはできません。

ミスその2：ファイル名が実際のファイルタイプと一致している

ハッカーは望む結果を得るためにファイルのメタデータを改ざんすることがあります。変更されたファイル名やパスは、アプリケーションを騙して文書のセキュリティ設定を変更させたり、重要なファイルを上書きさせたり、ネットワーク上でマルウェアを実行する可能性があります。アップロードを許可する前に、ファイルのメタデータを必ず検証し、サニタイズしてください。

ミスその3：ファイルの内容を確認していない

ファイル名を確認するだけでは不十分です。ファイルの内容も調査しなければなりません。アップロードされたファイルのコンテンツには、組織に大混乱をもたらす可能性のあるあらゆる種類の悪意のあるスクリプトが含まれている可能性があります。アップロードしたすべてのファイルは、確実にアンチマルウェアツールでスキャンしてください。すべてのツールが同じではないことに注意が必要です。アンチウイルスは、まだカテゴリー分けされていない新規またはゼロデイの脅威を見逃す可能性があります。マルウェア対策ツールの中には、PDFや画像ファイルなどの特定のファイルタイプをスキャンできないものがあります。他のマルウェア対策ツールでは、アップロードされたファイルに隠れている可能性のある埋め込みオブジェクトをスキャンできません。ご自身のニーズに最適なアンチマルウェアツールを選ぶようにしてください。

ミス4：ファイルを誰でもアクセスできる場所に保存する

多くの組織では、メディアディレクトリなどのウェブサイトのサブセクションにファイルを保存するという、よくあるミスを犯しています。この場合、攻撃者はこれらのファイルを非常に簡単に見つけて標的にすることができます。アップロードされたファイルは、ウェブサイトのルートディレクトリの外部にある外部ディレクトリに保存する必要があります。これで、ハッカーがウェブサイトのURLを通じてファイルにアクセスすることを防御できます。

ミス5：特定のファイルタイプを制限していない

特定の種類のファイルは、コマンドを実行したり、悪意のあるコードを実行したりする可能性があるため、組織のネットワークにアップロードしてはいけません。たとえば、.php、.exe、batなどです。これらのファイルのアップロードは拒否し、却下しなければなりません。さらに良い方法は、アップロードを特定のファイルタイプに制限する許可リストシステムを使用することです。ブラックリスト形式では、拡張子を見逃して悪用されるリスクがあるためです。

Menlo File Securityでファイルのアップロードを保護

残念ながら、これら5つのファイル・アップロードの脆弱性に対処したとしても、ハッカーは常に一枚上手で、組織のファイル・セキュリティをかいくぐって悪意のあるコードを忍び込ませる方法を見つけだします。唯一の解決策は、ファイルのアップロードに対してゼロトラストのアプローチを取ることです。

Menlo SecurityのAPIファーストCDR技術は、各ファイルの安全な要素を選び出し、既知の安全なコンテンツのみの取得を組織に許可します。ファイルの種類が正確であることを分析し確認した後、Menloは、ppt、doc、PDF、画像ファイルから、アンチウイルススキャナーや他のマルウェア対策ツールでは検知できない、パスワードで保護されたファイルやZIPファイルなどのより複雑な形式に至るまで、すべてのビジネスファイルタイプを検疫し、サニタイズします。

これらすべてをバックグラウンドで、自動的かつほぼ瞬時に行うことで、Menloはミスの数を5つからゼロに減らします。