外部 URL へのリダイレクトの管理

コントロール名

外部 URL へのリダイレクトの管理

推奨設定

• リダイレクトの信頼済み URL の指定
• 「ユーザーの権限で」信頼できない URL へのリダイレクト
• 「信頼されていない組織間リダイレクトを許可」を無効にする

[設定] > [信頼済みリダイレクトの URL] > [信頼されていない組織間リダイレクトを許可] | [信頼されていない URL へのリダイレクト] を無効化 - [ユーザーの権限で] | [リダイレクトの信頼済み URL を指定]。

制御の概要

Salesforce セキュアリダイレクトは、[信頼済み URL] リストに明示的に追加されたドメインのみに URL リダイレクトを制限することで、フィッシングサイトや悪意のあるサイトからユーザーを保護します。有効にすると、組織の設定に応じて、ユーザーを外部サイトにリダイレクトしようとする試みが自動的にブロックされるか、セキュリティ警告が付加されます。

設定されていない場合のセキュリティリスク

セキュアな外部リダイレクトを使用しない場合、悪意のある人物が信頼できる Salesforce URL を使用してユーザーをだまして不正な Web サイトや悪意のある Web サイトにアクセスさせるオープンリダイレクト攻撃に対して脆弱になります。この制御の欠如は、フィッシングキャンペーンの成功、ログイン情報の盗難、および正当なソースから発信されたように見える偽のリンクを介したユーザーの意図しないマルウェアへの感染のリスクを大幅に高めます。

脅威のシナリオ

攻撃者は、信頼できる Salesforce ドメインをマスクとして悪意のあるリンクを作成し、疑わしいユーザーを不正なフィッシングサイトやマルウェアホストプラットフォームにリダイレクトできます。リダイレクトは正当なソースから行われているように見えるため、ユーザーは機密のログイン情報を提供したり、有害なファイルをダウンロードしたりして、まだ安全な組織のワークフロー内にあると思い込む可能性が高くなります。

推定 CVSS スコア範囲

重大 (9.0 ～ 10.0)。

リスクの影響に関する考慮事項

外部サービスインテグレーションの範囲、ユーザープロファイル、権限。

より高いリスク

安全な外部リダイレクトを設定しないリスクは、視覚的なアラートや手動確認なしでユーザーを外部サイトに転送できるリダイレクト警告ポリシーの欠如によって大幅に高まります。

さらに、カスタムコード(ApexまたはVisualforce)の入力検証の欠如や従業員のセキュリティ意識向上トレーニングの欠如により、ユーザーがSalesforceドメインに対するTrustを悪用する悪意のあるリンクを知らずにクリックしてしまう可能性が高くなります。

Low or No Risk When (低リスクまたは無リスクの場合)

[外部リダイレクトのセキュリティ保護]設定が完全に実装されていない場合のリスクを最小限に抑えるには、カスタムApexおよびVisualforceコードで信頼済みドメインの許可リスト(ホワイトリスト)を使用して厳格な入力検証を適用し、任意のURLリダイレクトを防止する必要があります。

さらに、従業員のセキュリティ意識向上トレーニングとリダイレクト警告プロンプトの義務付けを実装することで、Salesforce 環境から離れる前にリダイレクト先 URL を確認するようにユーザーに警告することで、最終的な防御策を提供できます。

ビジネスと統合に関する考慮事項

インテグレーションの観点からは、この制御によって組織間ワークフロー (本番環境と Sandbox 環境間のリンクなど) が中断され、URL ベースのナビゲーションに依存する外部サービスが中断される可能性があります。管理者は、シームレスなクロスプラットフォーム機能を維持するために、すべてのカスタムドメインと統合サービスエンドポイントを許可リストに登録する必要があります。

推奨される修復

信頼できない URL へのリダイレクト警告を実装します。

Security Health Review Guidance (セキュリティ状態レビューガイダンス)

セキュリティ状態レビューでは、リダイレクトの設定が検査され、リダイレクトが少なくともユーザーがプラットフォームを離れるときに警告付きで設定されているかどうかが確認されます。また、[信頼済み URL] 設定も識別し、ワイルドカードや HTTP を使用しないなど、ベストプラクティスに従ってリストが設定されていることを確認します。