それは”ただのバグ”なのか？それとも？

ソフトウェアにバグがあった場合、そのバグは”ただのバグ”で”単純に意図しない余計な動作をする箇所を直す”、で万事OK！でしょうか？

ここでは”ただのバグ”とは”問題が起きた時に問題が起きた箇所を直せばOK”なバグとして話を進めます。

よくある”ただのバグ”修正

インジェクション脆弱性もバグの一種です。多くの場合、インジェクション脆弱性は”ただのバグ”として修正されています。

以下はPHPのPostgreSQLモジュールを使った脆弱なSQLクエリ例です。クエリパラメーターの$_GET[‘id’]はそのまま渡されているとします。adminはシステム管理者フラグとします。

pg_query($db, ‘UPDATE myusers SET admin = true WHERE id = ‘, $_GET[‘id’]);

これは明らかにSQLインジェクションに脆弱なコードです。”ただのバグ”として以下のような修正をすることが多いでしょう。

pg_query_params($db, ‘UPDATE myusers SET admin = true WHERE id = $1’, [$_GET[‘id’]]);

または

pg_query($db, ‘UPDATE myusers SET admin = true WHERE id = ‘. pg_escape_literal($db, $_GET[‘id’));

アプリケーションによってはこれでも十分となるケースもあるでしょう。しかし、これで万全！万事OK！でしょうか？

この”ただのバグ”修正の問題点

例に挙げたSQLインジェクション脆弱性の修正はSQLインジェクションは防ぎます。しかし、この修正”だけ”では問題が残ります。

• 不正な入力によるSQLエラーは防げない
• 任意のユーザーをシステム管理者にしてしまうことを防げない

システム開発の基本的な原則に

• 他のシステムに命令やデータを送る場合はそのシステムで誤作動したり、エラーとなるような命令やデータは送らない

があります。妥当な命令／データを送る責任は、命令／データを送る側にあります。この原則を一言で言い表せる単語は無いですが、CERTセキュアコーディング原則の7番目（出力を無害化する）がこれになります。

参考：

脆弱性があった、”ただのバグ”として修正、ではNG

プリペアードクエリ／エスケープだけでは、PostgreSQLがクエリを実行した際にエラーにならないようにするには明らかに不十分です。

• IDが整数型の場合、整数以外の$_GET[‘id’]はSQL構文エラーになる

例のクエリは、コードによっては

• IDが文字列型の場合、$_GET[‘id’]が出鱈目でも保存する

となってしまう事があります。

SQLiteのようにデータ型に関係なく文字列を保存できるデータベースも存在します。

“ただバグ”として修正してもOKな場合とは？

この例のクエリを”ただのバグ”として修正してOKな条件は

• 入力データが妥当である場合
• SQLクエリを送信するユーザーが修正権限を持っている場合

に限られます。つまり、この条件を満たしていない限り”ただのSQLインジェクション脆弱性バグ”として修正してもダメということです。条件を満たすには入力データの妥当性、ユーザー権限の検証が必須です。

データベースのレコードIDは整数であるとします。この場合、入力データが”整数として妥当”であることをバリデーションする必要があります。

このクエリを実行するユーザーがシステム管理者フラグを編集可能であることをバリデーションする必要もあります。

どのようにバリデーションすべきなのか？

余程単純なアプリケーションでなければ、開発者みんなが大好きな構造化、が必要になります。”ただのバグ”に見えるセキュリティ問題バグでも同じです。

アプリケーションのデータベースレコードIDは整数のみである場合が多いでしょう。この場合、整数以外のレコードIDをアプリケーションが受け入れる必要はありません。

Fail Fast原則に従い、エラーとなる出鱈目な入力はできるだけ早くエラーにします。MVCアーキテクチャーならコントローラーが最適でしょう。OWASP Source Code Review Guideでいうことろのアプリケーション入力データのバリデーションをコントローラーで行う構造が最適です。無条件にエラーにできる物はFail Fast原則でできるだけ早くエラーにしてしまう方がリスクが少なくなる、よい構造になるからです。

SQL文を実行するユーザーの権限、対象となるユーザーIDが管理者権限を持っても構わないのか、これらのバリデーションも必要になります。

これらはOWASP Source Code Review Guideでいうところのビジネスロジックバリデーションになります。MVCアーキテクチャーならモデルでバリデーションするのが最適です。

実行中のユーザーが編集権限を持っていない、編集対象のユーザーが管理者となることを許可されていない、といったビジネスロジックのエラーが発生した場合に対話的なUIが必要、つまり無条件にエラーとなるリクエストとして拒否できない場合もあります。ビジネスロジック処理、対話的UIが必要な処理はモデルで行うのが良いMVC構造になります。

良い構造にすると自然とセキュアコーディングの構造になる

セキュアコーディングの構造は単純かつプログラムの動作原理に則っています。この為、原理や原則に従い論理的にプログラムを構造化すると、バリデーション構造はセキュアコーディングのプログラム構造に自然となってしまいます。

”ただのバグ”として修正して構わない条件

アプリケーションの出力時のセキュリティ問題を”ただのバグ”として修正して構わない条件は出揃いました。

プログラムが”セキュアな構造”を持ち、必要なバリデーション処理が全て行われていること。

これが、セキュリティ問題を”ただのバグ”としても修正しても構わない条件となります。

この条件を満たしていない場合、遅すぎるセキュリティ対策（＝フェイルセーフ対策）に頼る構造的に脆弱なアプリケーションのままになってしまいます。

OWASP TOP 10 A10:2017は攻撃者やセキュリティ検査ツールからの攻撃を検出／記録／対応できないアプリケーションは脆弱なアプリケーションである、としています。適切なデータバリデーションを構造的に適した形で行っていないと、体系的な対策は難しいです。

出力時のセキュリティ問題を”ただのバグ”として修正しても不十分なアプリケーションが大半です。構造的な問題はさっさと直してしまうのが得策です。

PHPの場合、入力処理／ロジック処理／出力処理、全てに使えるバリデーションフレームワークを公開しています。セキュアなアプリケーション構造にすることはアドホック（＝アプリケーション機能の構造化と無関係）に行えます。

アプリケーション構造をセキュアにするのは、体質改善と同じような物です。体質を改善すると、セキュアな状態を維持することが容易になります。