Strict-Transport-Security Disabled

概要

• 脆弱性の名前: Strict-Transport-Security Disabled (HSTSが無効)
• 問題の要点: WebサイトがHTTPSを使用しているにも関わらず、Strict-Transport-Security (HSTS) ヘッダーが設定されていないため、ユーザーがHTTP経由でアクセスしてしまうリスクがある状態。
• よくある発生シーン: WebサイトをHTTPSに移行したものの、HSTSヘッダーの設定を忘れている場合や、CDNやロードバランサーの設定が不適切な場合に発生しやすい。クラウド環境では、複数のサービスを組み合わせる際に、それぞれの設定が統一されていない場合に発生することがあります。

背景

HSTS (HTTP Strict Transport Security) は、WebサイトがHTTPSでのみアクセスされるべきであることをブラウザに指示するセキュリティヘッダーです。HSTSが有効になっている場合、ブラウザはHTTPリクエストを自動的にHTTPSにリダイレクトし、中間者攻撃のリスクを軽減します。
HSTSが無効になっている場合、ユーザーがHTTP経由でWebサイトにアクセスする可能性があり、その通信は暗号化されないため、盗聴や改ざんのリスクが生じます。
近年、WebサイトのHTTPS化が進むにつれて、HSTSの設定が重要視されるようになっています。

セキュリティ上のリスク

• 中間者攻撃（Man-in-the-Middle Attack）による通信の盗聴や改ざん。
• HTTP経由でのCookieの窃取。
• セッションハイジャックのリスク。
• SSL Stripping攻撃に対する脆弱性。

対処方法の具体例

Apache2

httpd.confでの設定

httpd.conf または vhost.conf に以下の記述を追加することで、HSTSヘッダーを設定します。

# httpd.conf または vhost.conf
<VirtualHost *:443>
    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
</VirtualHost>

• max-age: HSTSを有効にする期間を秒単位で指定します（例：31536000秒 = 1年間）。
• includeSubDomains: サブドメインにもHSTSを適用します。
• preload: HSTS preload listへの登録をリクエストします（任意）。

Nginx

nginx.confでの設定

nginx.conf に以下の記述を追加することで、HSTSヘッダーを設定します。

# nginx.conf
server {
    listen 443 ssl;
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";
    ...
}

WordPress

.htaccessでの設定

.htaccess に以下の記述を追加することで、HSTSヘッダーを設定します。

<IfModule mod_headers.c>
    Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
</IfModule>

functions.phpでの設定

functions.php に以下のコードを追加することで、HSTSヘッダーを設定します。

<?php
// functions.php
add_action('send_headers', function() {
    header('Strict-Transport-Security: max-age=31536000; includeSubDomains; preload');
});

PHP

PHPコードでの設定

PHPコード内で header() 関数を使用することで、HSTSヘッダーを設定します。

<?php
// PHPコード
header('Strict-Transport-Security: max-age=31536000; includeSubDomains; preload');

JavaScript (Node.js / Express)

Express.jsでの設定

Express.js で helmet ミドルウェアを使用することで、HSTSヘッダーを簡単に設定できます。

const express = require('express');
const helmet = require('helmet');
const app = express();

app.use(helmet.hsts({
  maxAge: 31536000,
  includeSubDomains: true,
  preload: true
}));

AWS

CloudFrontの設定

CloudFrontを使用している場合、カスタムヘッダーポリシーを設定し、HSTSヘッダーを追加します。

Load Balancerの設定

ロードバランサー（ALB/ELB）を使用している場合、HTTPヘッダーの書き換えルールを設定し、HSTSヘッダーを追加します。

検出方法

OWASP ZAP での出力例

• Alert 名: Strict-Transport-Security Header Not Set
• リスク: Low
• URL: HSTSヘッダーが設定されていないURL
• パラメータ: なし
• 詳細: レスポンスヘッダーに Strict-Transport-Security が含まれていないという情報

手動再現例

1. Webブラウザの開発者ツールを開き、Networkタブを選択します。
2. HTTPSで提供されているページにアクセスし、HTTPレスポンスヘッダーに Strict-Transport-Security ヘッダーが含まれているか確認します。
3. curl コマンドを使用して、HTTPレスポンスヘッダーを確認します。

curl -I https://example.com

まとめ

• CVSS 基本値: 4.0 (Medium)
• 運用チームや開発者が意識すべきポイント:
  • Webサイト全体でHTTPSを適用する。
  • HSTSヘッダーを設定し、HTTPアクセスをHTTPSにリダイレクトする。
  • HSTSの設定をサブドメインにも適用する。
  • HSTS preload listへの登録を検討する。
  • 定期的にWebサイトのセキュリティ診断を実施する。
• 再発防止:
  • 開発プロセス全体でセキュリティを考慮する (Security by Design)。
  • コードレビューを実施し、HSTSヘッダーの設定を確認する。
  • 自動脆弱性診断ツールを導入し、定期的にスキャンを行う。
  • HTTPS化に関するポリシーを策定し、遵守する。

補足資料・参考 URL

• Mozilla Developer Network - HTTP Strict Transport Security (HSTS)
• HSTS Preload List

以上の対策と検出方法を活用して、Strict-Transport-Security Disabled のリスクを低減してください。