Lync Web App に対する脅威

セッション固定化

セッション固定化攻撃では、攻撃者は、ユーザーと Web サーバーとの間でセッションが確立される前にユーザーのセッション トークンを設定します。このようにすると、攻撃者は既にセッション ID を所有しているため、セッションの確立後にセッション ID を特定する必要がありません。Lync Web App は、このような脅威を最小限に抑えるように設計されています。

セッション ハイジャック

セッション ハイジャックでは、攻撃者は、ネットワーク上の暗号化されていないトラフィックをスニッフィングすることにより、ユーザーのセッションにアクセスします。Lync Web App は、クライアントと Lync Web App の間の既定の通信プロトコルとして SSL を使用することにより、この脅威を最小限に抑えます。

セッション ライディング/ダブル ライディング

セッション ライディングでは、攻撃者は、ユーザーと Web ベース アプリケーションとの間の確立済みのセッションを使用して、ユーザーになりすましてコマンドを実行しようとします。攻撃者はこれを行うために、ユーザーに電子メール メッセージを送信するなどして、悪意のあるソフトウェアを実行する目的で作成された Web サイトを訪問するようにユーザーを誘導します。攻撃者によって実行されるコマンドには、ファイアウォールを開く、データを削除する、内部ネットワーク内で他のコマンドを実行する、といったものがあります。

Lync Web App は、この手法を使用して攻撃者が悪意のある Web サイトからユーザーの Lync Web App セッションを支配するのを防ぐように設計されています。

クロス サイト スクリプト (CSS、XSS、コード挿入)

クロス サイト スクリプト攻撃 (CSS、XSS、またはコード挿入攻撃とも呼ばれる) では、攻撃者は、Web アプリケーションを使用して、攻撃対象のユーザーに悪意のあるソフトウェアを (通常はスクリプトの形で) 送信します。攻撃対象のユーザーのブラウザーは、そのスクリプトが信頼できないものであることを検出できず、そこでスクリプトが実行されることになります。悪意のあるスクリプトが実行されると、このスクリプトは、エンド ユーザーのブラウザーに保持されている Cookie、セッション トークン、その他の機密情報にアクセスできるようになります。このようなスクリプトによって、HTML ページの内容が書き換えられることもあります。

クロス サイト スクリプト攻撃には、蓄積型と折り返し型があります。蓄積型の攻撃では、侵害された Web サーバーのデータベース、メッセージ フォーラム、訪問者ログ、コメント フィールドなどに、悪意のあるスクリプトが永続的に蓄積されます。ユーザーがこの Web サーバーにアクセスすると、ユーザーのブラウザーでスクリプトが実行されます。折り返し型のクロス サイト スクリプト攻撃では、ユーザーは、リンクをクリックするように、または特別に作成されたフォーム (このフォームに悪意のあるソフトウェアが含まれている) を送信するように誘導されます。ユーザーがリンクをクリックしてフォーム データを送信すると、悪意のあるソフトウェアを含む URL がユーザーのデータと共に Web サーバーに送信されます。Web サイトにユーザーの情報が再表示されたとき、ユーザーには、この情報が信頼されたソースからのものであるように見えます。しかし、この情報には悪意のあるソフトウェアが含まれていて、このソフトウェアがユーザーのコンピューターで実行されます。

この種のセキュリティ問題が存在するのは、ユーザー入力の検証を適切に行わない Web サイトに限られます。Lync Web App では、この脅威を防ぐためにユーザー入力の検証を徹底的に行っています。

トークンに関連する脅威

HTTP はコネクションレス プロトコルであり、各 Web ページを完成するために複数のサーバー要求と応答が必要です。セッション中、ページ要求間のセッションの持続性を維持するために、さまざまな手法が使用されます。Web サーバーで使用される手法の 1 つは、要求を行っているクライアント ブラウザーに対してトークンを発行することです。Lync Web App では、この手法が使用されます。

Lync Web App は、内部ユーザーまたは外部ユーザーの認証に成功すると、トークンを発行してそれをセッション Cookie に書き込み、クライアントへ返します。この Cookie は、単一のセッションでサーバーへのアクセスに使用されます。したがって、クライアントは Lync Web App からの Cookie を受け入れないと正しく機能しません。攻撃者が、このトークンを盗んで再利用するおそれもあります。Lync Web App では、セッション Cookie のみを発行し、SSL (有効化されている場合) を使用してトークンを送受信し、セッション終了時にトークンを削除し、クライアントが無活動状態で一定期間が経過するとトークンを無効にすることにより、トークンに関連する脅威を軽減します。

トークンの ping

トークンの ping (トークンのキープアライブとも呼ばれる) では、認証済みのユーザーが Web サーバーに対して要求を繰り返し送信することにより、セッションおよびセッション トークンが期限切れにならないようにします。トークンの ping 攻撃は、サーバーに組み込まれているタイムアウト ロジックをバイパスするので脅威と見なされます。ただし、最初にユーザーが認証される必要があるため、脅威レベルは "低" です。

フィッシング (Password Harvesting Fishing)

フィッシングはスプーフィング (なりすまし) を使用する脅威であり、中間者 (man-in-the-middle) 攻撃の一種です。承認されていない攻撃者が情報の取得を承認されたエンティティになりすまして、ユーザーから情報を入手しようとします。これを行うために、通常、攻撃者は、偽の Web サイト、Web フォーム、または電子メール メッセージにパスワードまたはアカウント番号を入力するようにユーザーを誘導します。個人情報を入手するために攻撃者が使用する手法をエンド ユーザーに周知することが大切です。