こんにちは。ノーコード専門の開発会社Walkersです。
前回、Bubbleのセキュリティの安全性に関する記事を書きましたが、その際に気になるのが「サイバー攻撃に対する安全性」だと思います。
そこで今回は、Bubble開発を利用する際に知っておくべきサイバー攻撃21種類とBubbleで講じられている対策を紹介していきます。
この記事を読むことでサイバー攻撃に対するBubbleの安全性を完全理解できるので、ぜひ最後までご覧ください。
Walkersでは「開発ノウハウがない」「最大限に効率よく開発を進めたい」企業さまに、事業を成功に導くBubble開発支援を行っています。⇒サービス紹介資料の無料ダウンロードはこちら
執筆者:山口 鳳汰
ノーコード開発専門メディア「Walkersメディア」編集長。
ノーコードの電子書籍を3冊出版し、1冊はAmazonベストセラーを獲得。
その他、受託開発や教育など多数のノーコード事業に参画している。
運営会社:株式会社Walkers
ノーコード専門の開発会社。
300件以上の開発/制作実績、200件以上の企業様を支援。
マーケティングやUI/UXと掛け合わせたサービス開発を得意としている。
執筆者:山口 鳳汰
「Walkersメディア」編集長。
ノーコードの電子書籍を3冊出版し、1冊はAmazonベストセラーを獲得。
運営会社:株式会社Walkers
ノーコード専門の開発会社。
これまでに300件以上の開発/制作実績、200件以上の企業様を支援。
脆弱性を発見するための行為
①ネットワークスキャン
ネットワークスキャンとは「IPアドレスを調査し脆弱性を検知する行為」のことを言います。
一般的に、ネットワークスキャンはWAF(Webアプリケーションファイアウォール)と呼ばれる保護システムを導入することで対策可能です。
BubbleではCloudflareと呼ばれるセキュリティツールによって、優れたWAFで悪質なスキャンから保護されています。
»出典:【Cloudflare公式】業界トップクラスのWAF保護
②ポートスキャン
ポートスキャンとは「サーバーを対象に各ポートのデータを送信しその応答状況を調べること」を言います。
こちらもCloudflareのWAF(Webアプリケーションファイアウォール)によって、対策されています。
脆弱性を利用した攻撃
③XSS(クロスサイトスクリプティング)
XSS(クロスサイトスクリプティング)とは「Webアプリに悪質なスクリプトを埋め込むことで、不正操作を行うサイバー攻撃」のことを言います。
Bubble公式はXSS対策に対して以下のように明言しています。
Bubble要素はクロスサイト・スクリプティング攻撃に対して脆弱であってはなりません。つまり、ユーザーが Input でテキストを入力し、それを Text で表示するだけであれば安全です。
【Bubbleフォーラム】クロスサイト スクリプティングの脆弱性
一般に、Bubble はユーザーが入力したデータを表示する方法に非常に注意を払っています。すべてのユーザー向け要素は、テキストをプレーン テキスト (つまり、入力の text プロパティを設定することによって) として表示するか、リッチ テキストが必要な場合には、テキストである bbcode の安全なサブセットを使用します。 -マークアップ言語。フォントや色を変更できますが、スクリプトや任意の HTML を作成することはできません。
このルールの 1 つの例外は HTML 要素です。これは、パワー ユーザーが必要な生の HTML を表示できるようにするための包括的な要素です。HTML 要素を使用している場合は、その HTML が安全であることを確認する責任があります。
【Bubbleフォーラム】クロスサイト スクリプティングの脆弱性
まとめると、下記のようになります。
- BubbleではXSS対策が厳重になされているため、非常に安全。
- HTML要素を使用する場合には、対策を行うことで解決できる。
そのため「セキュリティに強いエンジニアが開発する場合にのみXSSの心配はない」と言えます。
④CSRF(クロスサイトリクエストフォージェリ)
CSRF(クロスサイトリクエストフォージェリ)とは「Webアプリへのリクエストの偽造により意図しない処理を実行させるサイバー攻撃」のことを言います。
Bubbleのフォーラムを見ると、以下のような報告が多くされています。
他の API 呼び出しに使用される JWT トークンを取得するために、アプリを 3 番目の API に接続します。ユーザー名とパスワードを入力すると、「フォーム送信時に 403 CSRF cookie が必要です」というエラーが発生しました。
【Bubbleフォーラム】フォーム送信時のエラー 403 CSRF Cookie
この場合に403エラーが発生することは、CSRF対策を厳重に行なっているプラットフォームでのみ見られる現象です。よって、BubbleはCSRF対策を厳重に行っておりかなり安全と言えます。
⑤SQLインジェクション
SQLインジェクションとは「WebアプリにSQL文を不正に注入することでデータベースへ不正にアクセスするサイバー攻撃」のことを言います。
Bubble公式は、SQLインジェクション対策について以下のように回答しています。
Postgres のクエリエスケープメカニズムを使用してパラメータをクエリに安全に送信し、SQLインジェクション攻撃を回避します。
【Bubbleフォーラム】SQL LIKE クエリに一重引用符 (‘) または % 文字を強制するにはどうすればよいですか?
よって、BubbleはSQLインジェクション対策を厳重に行っておりかなり安全と言えます。
⑥LDAPインジェクション
LDAP(Lightweight Directory Access Protocol)インジェクションとは、「LDAPと呼ばれる通信プロトコルによる認証に対して不正な条件式などの文字列を挿入し、不正ログインを行うサイバー攻撃」のことを言います。
BubbleではそもそもLDAPではなくBubble内蔵の認証システムを利用しているため、LDAPインジェクションの心配は必要ありません。
⑦XPathインジェクション
XPathインジェクションとは「XMLデータに対し不正な入力によって悪質なXPathを発生させるサイバー攻撃」のことを言います。
BubbleではXMLデータベースではなくBubble内蔵のリレーショナルデータベース(RDB)が使用されているため、XPathインジェクションの心配は必要ありません。
⑧OSコマンドインジェクション
OSコマンドインジェクションとは「Webアプリに対してOSへの命令文を用いて誤作動を起こさせるサイバー攻撃」のことを言います。
Bubbleを通常用途で利用する場合では、OSレベルでコマンドを実行することはないためセキュリティ上問題ありません。
OSレベルでコマンドを実行する場合はコード開発と同様に対策する必要があります。
⑨evalインジェクション
evalインジェクションとは「JSON (JavaScript Object Notation)と呼ばれるJavaScriptのデータフォーマットに対して不正なコードを挿入し誤動作を起こさせるサイバー攻撃」のことを言います。
Bubbleではセキュリティを強化するために脆弱性テストが行われており、下記のように明言されています。
当社では、自動化されたコードテスト、脆弱性テスト (OWASP Top 10 を含む)、および継続的な監視テクノロジーを使用しています。
【Bubble公式】セキュリティページ
テスト項目に「自動化されたコードテスト」があるため、コードの脆弱性に対しては厳密に対策されています。
ただし、Bubbleの「JavaScript組み込み機能」を用いてコードを挿入する場合は、従来のコード開発と同様に自身での対策が必須です。
⑩ゼロデイ攻撃
ゼロデイ攻撃とは「セキュリティ上の脆弱性を利用し対策が講じられる前に仕掛けるサイバー攻撃」のことを言います。
Bubbleが採用しているセキュリティツールCloudflareでは、以下のようにゼロデイ攻撃の対策が行われています。
・リモート型ブラウザの分離:Cloudflareのリモート型ブラウザの分離ソリューションは、サンドボックス化によりユーザーのブラウザ上の操作と実行内容は監視されたクラウド環境で行われます。ブラウザ上の操作と実行内容はユーザーのエンドデバイスから隔離されるため、エンドデバイスはゼロデイ脅威のような脆弱性から保護されます。
・Webアプリケーションファイアウォール(WAF):Cloudflare WAFは、悪意のあるHTTPトラフィックからWebアプリケーションを保護するのに役立ちます。ゼロデイ脅威の検出は難しく、セキュリティの状況は常に変化しているため、マネージドルールセットはこれらの脆弱性からの保護に役立ちます。Cloudflareのマネージドルールセットは継続的な保護を提供するために定期的に更新されます。
【Cloudflare公式】ゼロデイエクスプロイトとは?
また、Bubbleでは脆弱性に対して非常に厳しくテストされているため、ゼロデイ攻撃に対するセキュリティは高いと判断できます。
パスワード解析による不正アクセス
⑪ブルートフォース攻撃
ブルートフォース攻撃とは「パスワードに対してすべての組み合わせを試し、不正アクセスを試みるサイバー攻撃」のことを言います。日本では「総当たり攻撃」とも呼ばれています。
Bubbleでは開発アカウントのログインに対して「2段階認証」を、開発画面(エディター)に対して「アクセス制限」を実装できるため、適切に設定を行えばブルートフォース攻撃に対する安全性は非常に高いです。
また、Bubbleで開発したアプリを使うユーザーに対しては、
- パスワードポリシーと呼ばれる「ユーザーがパスワードを設定する際の条件」の設定
- 「〇回連続でログインに失敗するとアカウントをロックする」というロックアウト機能の開発
- Googleが提供しているスパム攻撃対策ツール「reCAPTCHA」の実装
によって対策できるため、ブルートフォース攻撃からユーザーを厳重に保護することも可能です。
⑫パスワードリスト攻撃
パスワードリスト攻撃とは「攻撃者が何らかの手口で取得したID&パスワードリストを使用し、不正アクセスを試みるサイバー攻撃」のことを言います。
Bubbleでは先述したブルートフォース攻撃と同様の方法によって対策が可能です。
⑬辞書攻撃
辞書攻撃とは「辞書に登録されている文字列を組み合わせ、パスワードとして使用し、不正アクセスを試みるサイバー攻撃」のことを言います。
辞書攻撃も先述したブルートフォース攻撃と同様の方法によって対策が可能です。
なりすまし攻撃
⑭マルウェア
マルウェアとは「コンピューターウイルスなどユーザーのデバイスに不利益をもたらす、悪意で作られたプログラム」のことを言います。
Bubbleが採用しているセキュリティツールCloudflareでは、2021年にマルウェアに対して下記のように明言しています。
Cloudflareのエッジから直接マルウェアを検出および阻止し、ゲートウェイユーザーにセキュリティの観点から追加的な防御ラインをご提供できるようになったことを発表します。
【Cloudflare公式】Cloudflare Gatewayでウイルス対策発表
加えて、マルウェアの一種であるランサムウェアに対しても下記のように明言しています。
Cloudflare製品は、ランサムウェア感染につながる可能性のあるいくつかの脅威ベクトルを遮断します。Cloudflare DNS フィルタリングは、安全でない Web サイトをブロックします。Cloudflareブラウザ分離は、ドライブバイダウンロードやその他のブラウザベースの攻撃を防ぎます。最後に、ゼロ トラスト アーキテクチャは、ネットワーク内でのランサムウェアの拡散を防ぐのに役立ちます。
【Cloudflare公式】ランサムウェアとは何ですか?
マルウェアを完全に防ぐことは難しいですが、コード開発やその他ノーコードツールによる開発に比べてかなり安全と言えます。
⑮MITB(Man in the Browser)攻撃
MITB(Man in the Browser)攻撃とは「パソコンをマルウェアに感染させることでブラウザを乗っ取り、通信内容の改ざんなどを行うサイバー攻撃」のことを言います。
パソコンにマルウェアが感染しない限りMITB攻撃の影響は受けないため、マルウェアの対策がなされているBubbleでは特に気に留める必要はないでしょう。
非公開のディレクトリ(ファイル)へのアクセス
⑯ディレクトリ・トラバーサル攻撃
ディレクトリ・トラバーサル攻撃とは「非公開情報が載っているディレクトリに対して不正アクセスするサイバー攻撃」のことを言います。
Bubbleでは「アプリのサンドボックス化」が行われているため、Bubbleで開発したアプリは独立した環境内で動作し、他のアプリやシステムの残りの部分から隔離されています。
加えてBubbleはサーバーレスプラットフォームであるため、ユーザーが直接サーバーにあるディレクトリにアクセスするのは現実的ではありません。
よってディレクトリ・トラバーサル攻撃に対しても非常に安全と言えます。
⑰強制ブラウジング
強制ブラウジングとは「アドレスバーに直接URLを入力することで、非公開のディレクトリやファイルなどへ不正アクセスするサイバー攻撃」のことを言います。
Bubbleではセキュリティを厳密に設定できることやディレクトリ・トラバーサル攻撃と同様の対策がなされていることから、適切に開発を行えば問題が起こることはありません。
サーバーダウンを目的とした妨害
⑱DDoS攻撃
DDoS(Distributed Denial of Service)攻撃とは「Webサーバーなどに対して大量の通信を送ることでサービス提供を妨害するサイバー攻撃」のことを言います。
BubbleはDDoS攻撃に関するセキュリティに対して以下のように明言しています。
高度なDDoS保護。社内の保護システムと Cloudflare を組み合わせて攻撃をブロックします。
【Bubble公式】セキュリティページ
また、Bubbleが採用しているセキュリティツールCloudflareではDDoS攻撃に対して以下の評価を受けています。
- 2021年のForrester Wave™ DDoS Mitigation Solutionsでリーダーに選出
- DDoS対策ベンダー7社を23の基準で比較したGartnerの2020年度「DDoSクラウドスクラビングセンター向けソリューション比較」で最高評価を獲得
DDoS攻撃はどのようなシステムでも完全に防ぐことは難しいとされていますが、その中でもBubbleはDDoS攻撃に対して厳密な対策がなされていると言えます。
»出典:【Cloudflare公式】業界最先端のDDoS攻撃軽減対策
⑲SYNフラッド攻撃
SYNフラッド攻撃とは「利用可能なすべてのサーバーリソースを消費することで、正当なサーバー利用を妨害するサイバー攻撃」のことを言います。
SYNフラッド攻撃はDDoS攻撃の一種であるため、先述した通りにBubbleでは厳密に対策がなされています。
加えて、SYNフラッド攻撃からの保護方法については、Cloudflareが以下のように明言しています。
Cloudflareは、標的とされたサーバーとSYNフラッドの間に立つことにより、この種の攻撃をある程度軽減します。最初のSYNリクエストが行われると、Cloudflareはクラウド内のハンドシェイクプロセスを処理し、TCPハンドシェイクが完了するまで標的とされるサーバーとの接続を保留します。この方法では、偽のSYNパケットとの接続を標的とされるサーバー外で確立するリソースコストの負担を、CloudflareのAnycastネットワークに移します。
【Cloudflare公式】SYNフラッド攻撃
⑳Ping(ICMP)フラッド攻撃
Ping(ICMP)フラッド攻撃とは「インターネット制御メッセージプロトコル(ICMP)のパケットなどにより通信を膨大にさせ、サービス不能を狙うサイバー攻撃」のことを言います。
Ping(ICMP)フラッド攻撃もDDoS攻撃の一種であるため、先述した通りにBubbleでは厳密に対策がなされています。
加えて、Ping(ICMP)フラッド攻撃からの保護方法については、Cloudflareが以下のように明言しています。
Cloudflareは、標的となる配信元サーバーとPingフラッドの間に立つことにより、このタイプの攻撃をある程度軽減します。各pingリクエストが行われると、CloudflareはICMPエコーリクエストの処理と応答プロセスを処理し、ネットワークエッジ上で応答します。この戦略は、帯域幅と処理能力の両方のリソースコストを標的のサーバーから取り除き、CloudflareのAnycastネットワークに配置します。
【Cloudflare公式】Ping(ICMP)フラッドDDoS攻撃
㉑ランダムサブドメイン攻撃
ランダムサブドメイン攻撃とは「DNSサーバーに対してランダムなサブドメインを集中させることでサービス不能の状態にするサイバー攻撃」のことを言います。
ランダムサブドメイン攻撃は厳格なDNSセキュリティによって対策でき、Bubbleが採用しているセキュリティツールCloudflareでは以下のように記されています。
CloudflareのDNSサービスには、DNSSEC、DDoS軽減、マルチDNS機能、負荷分散など、さまざまなセキュリティ機能が組み込まれています。
【Cloudflare公式】DNSセキュリティとは?
よって、ランダムサブドメイン攻撃に対しても厳密な対策がなされていると言えます。
Bubbleのセキュリティはサイバー攻撃に対して非常に強いことがわかっていただけたと思います。
しかし、セキュリティの強さは「開発者に依存する部分が多い」ためBubble開発だから安心とは思わず、適切に設定 or 信頼できる開発会社に依頼して万全なセキュリティ対策を講じていただければ幸いです。
Walkersでは成果が実証されたノウハウをもとに、事業を成功に導くためのBubble開発支援を行っています。新規事業・システム開発でお悩みがある方はお気軽にご相談下さい。⇒Walkersのサービス紹介資料を見る(無料)
