ここ最近、企業の情報システム、とりわけWebアプリケーションに対するクラッキング攻撃が増加しており、金銭の獲得を目的とするものも含めて、その攻撃は凶悪化の一途をたどっている。

また攻撃内容を見ると、自動ツールを駆使して組織的に攻撃するケースが増えており、従来型のネットワークを対象としたファイアウォールやウイルス対策ツールだけでは、対策が十分でないことが浮き彫りになってきた。

Imperva Japan テクニカル・ディレクターの桜井勇亮氏

こうした脅威に対して、企業はどのような対策を講じるべきなのだろうか。企業データ・セキュリティの最新動向と企業が取り組むべき課題について、Check Point Software Technologiesの共同創業者が設立した情報セキュリティ専業ベンダーImpervaの日本法人(Imperva Japan)においてテクニカル・ディレクターを務める桜井勇亮氏に話を聞いた。

高度化するクラッキング攻撃

Impervaのリサーチ機関である「アプリケーション・ディフェンス・センター(ADC)」では、Webアプリケーションに対する攻撃に関するレポートを定期的に策定し、ホワイトペーパーとして公表している。

同レポートは、世界の30サイトのWebアプリケーションに観測装置を設置し、1,000万件に上るセキュリティ・イベントを分析、既知・未知の脆弱性、シグニチャ・パターンを解析した結果をまとめたものである。

定期的な攻撃の後、突然猛アタック

最新のレポートによると、最近の攻撃パターンは、「長期間」にわたり「少ない数」の攻撃が続いた後、「短期間」の「非常に多い数」の攻撃が実行される傾向があるという。

実際に、Webアプリケーション全体でみると、1時間当たり平均27回、つまり2分に1回の割合で攻撃にさらされており、ピーク時には2万7000件/時、毎秒7件の攻撃を受けているという衝撃的な結果が明らかにされている。

「長期間」にわたり「少ない数」の攻撃が続いた後、「短期間」の「非常に多い数」の攻撃が実行される傾向にある

この結果は、最近の攻撃が、だれでも容易に操作できるツールを主要なメンバーが開発・配布して組織的に行っている可能性が高いことを示している。そしてこのことは、企業の規模やサイトの規模に関係なく、どんな規模のサイトでも攻撃のターゲットになりうることを意味している。

主な攻撃手法は4種類、"探査"と"侵入"の2フェーズで展開

攻撃手法についてみると、その大半が、データベースをターゲットとした「SQL Injection」、ファイルをターゲットとした「Directory Traversal」、Webブラウザや検索エンジンの脆弱性をつく「Cross-site Scripting」、サーバを乗っ取ってボット化する「Remote File Inclusion(RFI)」の4つのタイプに分類できるという。

自動ツールを使った攻撃は通常、潜在的な脆弱性を発見し、攻撃対象候補を選定する「Scan(探査)」と、検出された脆弱性を利用して侵入する「Exploit(侵入)」という2つのフェーズで実行されるが、最近では、例えば、Directory TraversalとRFIなど、複数のタイプを組み合わせるかたちで攻撃を行うケースも増えているようだ。

主な攻撃は「SQL Injection」、「Directory Traversal」、「Cross-site Scripting」、「Remote File Inclusion(RFI)」の4つ。探査と侵入の2フェーズで展開される

凶悪化するクラッキング攻撃の実態について、Imperva Japanの桜井氏は、「従来の攻撃は、"売名"や"嫌がらせ"が主な目的であったが、最近では、"情報の転売"など金銭目的での攻撃が増えており、そういう意味で脅威のレベルが飛躍的に上がっている」と説明する。

実際に、盗み出した情報を"闇"で転売するショッピング・サイトも登場しており、こうしたブラック・マーケットの規模はすでに1兆ドルに上っているとする見方もある。

>> 次のページへ

―― 最新脅威動向レポート公開中――

皆さんのメールの署名をコピペするだけで入力項目が自動で埋まる
「カンタン入力」機能を設置しています。