機微情報の表示について説明していきます。
■概要
機微情報の表示は、本来利用者や第三者に公開してはいけない情報(個人情報や内部情報など)が、アプリケーションやシステムの画面・API・ログなどを通じて意図せず表示されてしまう脆弱性を指します。
■想定される被害
機微情報の表示によって、以下のような被害にあう可能性があります。
どのような被害を受ける可能性があるかあらかじめ把握しておき、攻撃を受けないように対策を検討することが必要です。
・氏名、住所、電話番号、メールアドレス、クレジットカード番号などの個人情報漏えい
・DB構造、認証トークン、セッションID、システムエラーログなどの内部情報の流出
■対策
機微情報の表示の対策として挙げられるものは以下のようなものとなります。
・利用者が閲覧できる情報を最小限にして、他人の情報をセッションやパラメータで参照しないよう、認可チェックを行い表示データを制御する。
・外部に返すエラーメッセージは一般化する(例:「システムエラーが発生しました」)。
・内部用ログには詳細を残すが、利用者には非表示する。