オープンリダイレクトについて知っておくべきこと
現代において、ビジネスのためのWebサイトを構築することは、ほぼ必須となっています。自社のブランドを潜在的な顧客に知ってもらうためには、オンラインプレゼンスが欠かせません。最近の顧客は要求が厳しくなっています。とはいえ、ブランドに合ったWebサイトを作るだけでなく、安全性を確保するには、それなりの工夫が必要です。一般的なウイルスの脅威はもちろんのこと、デザイン性の高いウェブサイトであっても、オープンリダイレクトの影響を受けやすくなっています。 この記事では、Webサイト構築におけるリダイレクトの価値、オープンリダイレクトの脅威、そしてこのような脆弱性からWebサイトを保護するための最善の方法についてご紹介します。
リダイレクトとは
リダイレクトとは、ユーザーがリクエストしたのとは別のURLに転送することです。リダイレクトは、ウェブサイトのSEO戦略を構築する際に考慮すべき重要な要素です。訪問者にとっては、リダイレクトはユーザーエクスペリエンスの向上につながります。適切に構築されたリダイレクトフレームワークは、ページが見つからないことを知らせる404ページにユーザーが飛ばされるのを防ぎます。リダイレクトは、SEOのパフォーマンスを良好に保つためにも重要です。リダイレクトによって、コンテンツが別のURLへ移動されたことを検索エンジンに理解させることができます。
オープンリダイレクト脆弱性とは
オープンリダイレクトは別名「未検証のリダイレクトと転送」と呼ばれるもので、Webアプリケーションが未検証の入力を受け入れてユーザーを悪質なサイトにリダイレクトさせることで発生します。これは、ハッカーがフィッシング詐欺を行ったり、ユーザーの認証情報を盗んだりするための手段となります。多くの場合、ハッカーは正当なユーザーのWebサイトとほぼ同じURLを使用します。これにより、ユーザーは信頼を得て、攻撃者に機密情報を渡すように誘導するのです。
オープンリダイレクトのタイプの違い
オープンリダイレクトには2つのタイプがあります。これらの2つのタイプは、攻撃者が正当なURLに未検証の入力を導入する方法によって区別されます。
•ヘッダーベース
ヘッダーベースのオープンリダイレクトでは、攻撃者が悪意のある情報をサーバー自体に送信します。ほとんどの攻撃者は、ヘッダーベースのオープンリダイレクトを好んで使用します。これは、リダイレクトが行われるたびに、リダイレクトが必ず機能するためです。
•Javascriptベース
Javascriptベースのオープンリダイレクトは、ヘッダーベースのオープンリダイレクトとは異なり、Javascriptが実行されたときにのみ動作します。このような形の未検証のリダイレクトと転送は、サーバー側の機能としては機能しないことが多いです。
オープンリダイレクトの脅威を懸念すべき理由
ほとんどのWeb開発者は、オープンリダイレクトの脅威を無視しています。オープンリダイレクトは、Webサイトに直接ダメージを与えるものではなく、攻撃者が企業のデータを盗むことができないことが、この脅威に対する無関心の主な理由です。とはいえ、企業はオープンリダイレクトに対する防御は固めておかなければなりません。 オープンリダイレクトは、正規のWebサイトを模倣して、ユーザーに機密情報を自ら提供するように促します。ハッカーは情報を入手すると、訪問者を正しいURLにリダイレクトし、調達したデータを使ってユーザーのアカウントにアクセスし、サイバー窃盗を行います。これは、ユーザーに害を与えるだけでなく、企業の信頼性を損ねることになります。
オープンリダイレクトの脅威からWebサイトを保護する方法
オープンリダイレクトの脅威からWebサイトを保護する最善の方法の1つは、リダイレクトという選択肢をいっさい使用しないことです。それでも、訪問者を自社のWebサイト内の別のURLにリダイレクトする場合は、この脆弱性からWebサイトを保護するために、以下のような予防策を取ることができます。
•ファイアウォールを使用する
WAF(Webサイトアプリケーションファイアウォール)は、ほとんどの悪意ある攻撃に対するWebサイトの第一の防御手段です。ファイアウォールは、オープンリダイレクトからWebサイトを保護する際にも有効であることが証明されています。また、優れたファイアウォールでは、ユーザーがWebサイトのトラフィックを定期的に監視することができます。この機能により、Webサイトの全体的な健全性を明確に把握できます。
•Webスキャナーを使用する
WAFとは別に、Webサイトスキャナーは、未検証のリダイレクトや転送の存在からWebサイトを監視する効果的な方法です。このセキュリティツールを使用すると、Webサイトの現在の状況を確認できます。Webサイトスキャナーは、不正なコード文字列の存在を明らかにします。これらの情報をもとに、未検証のデータがネットワークに大損害を与えるのを防ぐことができます。
•定期的に更新する
攻撃者は、ネットワークの弱点を突いてWebサイトにアクセスします。サイトの更新を怠ると、攻撃者が古いコードを使ってオープンリダイレクト攻撃を仕掛けるため、サイトは脆弱で無防備な状態になります。パッチがダウンロードできるようになったら、すぐにWebサイトを更新することをお勧めします。
•侵入テストを実施する
Webサイトスキャナーと同様に、侵入テスト(ペネトレーションテスト)ソフトウェアでも、Webサイトの全体的な健全性を把握できます。ただし、侵入テストの方がネットワーク内に存在する弱点をより深く観察することができます。侵入テストは、Webサイトが攻撃に対してどれだけ脆弱であるかを測定するセキュリティ対策です。脆弱な部分を知ることで、Webサイトのセキュリティプロトコルを改善することができます。
リダイレクトのベストプラクティス
リダイレクトの主な目的は、訪問者に優れたユーザーエクスペリエンスを提供することと、検索エンジンで優れたSEOを維持することです。そのため、Webサイトのリダイレクトフレームワークを開発する際に考慮すべきベストプラクティスを以下に示します。
•可能ならリダイレクトを避ける
繰り返しになりますが、オープンリダイレクトの脅威からWebサイトを守る最善の方法は、リダイレクトを完全に回避することです。リダイレクトは、ネットワークの弱点になるだけでなく、ロード時間を増加させ、クロールバジェット(検索エンジンがサイトをクロールする限界)を拡大させます。リダイレクトを避けることができない場合は、可能な限り最小限に抑えてください。
•関連性の高い代替URLを使用する
古いURLをリダイレクトする場合は、以前のWebアドレスによく似たアドレスを使用するのがベストです。このステップは2つの理由で重要です。1つは、Webサイトの訪問者が、正当なリダイレクトURLと悪意のあるURLを識別できることです。さらに、関連性のある代替URLを使用することは、検索エンジンがページを統合する際に重要となります。
•チェーンリダイレクトを避ける
チェーンリダイレクトは、とは、あるリダイレクトを別のリダイレクトに変更することです。これはユーザーエクスペリエンスにはあまり影響がないかもしれませんが、検索エンジンはチェーンリダイレクトを使用しているページにペナルティを課します。可能であれば避けた方が良いでしょう。
結論
良いWebサイトを作るには、工夫が必要です。特に、あらゆる悪意のある攻撃から自社の投資を守りたい場合は、考慮すべき要素がたくさんあります。 自社のオンライン拠点を悪質なリダイレクトから守るには、セキュアブレインのGRED Web改ざんチェックが必須です。このクラウドベースのWebサイトスキャナーは、Webサイトが攻撃を受けると即座にアラートを発します。今すぐセキュアブレインのWebセキュリティ製品でWebサイトの安全と保護を確保しましょう。トライアルのお申し込みは以下よりお願いします。
https://www.securebrain.co.jp/products/gred/trial/index.html
その他 セキュアブレインが提供するサービスについては以下よりお問い合わせください。
https://www.securebrain.co.jp/form/service/inquiry_input.html
本記事はセキュアブレイン英語サイトの翻訳です。
https://www.securebrain.co.jp/eng/blog/open-redirects-what-you-need-to-know/
