シマンテックは9月25日、都内で「Webサイト攻撃の傾向と対策に関する記者説明会」を開催した。説明会では、シマンテックのTrust Servicesプロダクトマーケティング部上席部長の安達 徹也氏が、増え続けるWebサイト攻撃の手口と、対策としてクラウド型のWAF(ウェブアプリケーションファイアウォール)のレクチャーを行った。
|
シマンテック Trust Services プロダクトマーケティング部 上席部長 安達 徹也氏 |
安達氏によると、個人情報漏えい事件が多発しているものの、最近目にすることの多い内部犯行よりも、ハッカーによる外部犯行が多いという。そのため、「企業にとっては、外部からのWebアプリケーションに対する攻撃対策を再優先にすべき」と話す。
|
|
|
Webサイトへの攻撃は上のグラフのように年々増えている。理由はWebサイトが脆弱性を抱えているため。シマンテックの調べによれば、77%のWebサイトには何らかの脆弱性があり、そのうち8サイトに1サイトはパッチ未適用の重大な脆弱性があった。
犯人の攻撃の目的は、政治目的などの「ハクティビズム」、技術力のある人物による「愉快犯」もあるものの数は限られており、もっとも多いのは「金銭目的」となっている。
WAFによる攻撃検知
シマンテックでは、国内657サイトに設置したクラウド側WAF(ウェブアプリケーションファイアウォール)での攻撃データを分析している。
|
|
|
攻撃の手口は複数あるものの、いずれも2013年後半から攻撃数が上昇している。これは犯人側の狙いもあるだろうが、安達氏は「Webアプリが増えているのに対して、開発者は足りない状況。手が回らずに作りが甘いものがあり、結果として攻撃が多くなっているのかもしれない」と述べた。
犯人がWebサイトを改ざんする理由は、不正送金などのマルウェアを埋め込むため。脆弱性を突く攻撃で改ざんし、オンラインバンキングなどの不正送金マルウェアを埋め込む。
ドライブ・バイ・ダウンロードで被害者が感染し、オンラインバンキングが乗っ取られて不正送金されてしまう。安達氏は「Webサーバー側が被害を受けるだけでなく、閲覧者・利用者も被害を受ける。Webサーバー側が攻撃に加担することになるので、対策が重要だ」と述べた。
もっとも目立つのは「SQLインジェクション」と「PHP脆弱性」
Webサイト攻撃で、もっとも多いのは「SQLインジェクション攻撃」だ。SQLインジェクション攻撃とは、入力欄に特殊な構文を入れることで、本来見せてはいけない部分を見せてしまう脆弱性を狙ったもの。本来ではデータであるはずの文字列が、SQL文として認識されて、不正ログインが可能になってしまう。
|
|
|
SQLインジェクション攻撃は古くからある手法だが、Webアプリが増えたことからSQLインジェクション攻撃も増えている。データベースのすべて情報が漏れる可能性があり、顧客情報だけでなく、管理者情報(パスワード)を入れていた場合は、サーバー全体を乗っ取られる危険性もある。
犯人にとって、SQLインジェクション攻撃は効率的な攻撃方法だ。と言うのは、検索エンジンで脆弱性のあるサイトを探せるため。具体的にはPHPエラーメッセージを検索することで、脆弱性があるサイトかどうか推測できる。
エラーメッセージ自体は脆弱性ではないが、作りが甘いことがわかるために攻撃の手がかりとなってしまう。またSQLインジェクション攻撃のツールは、ネット上で配布されており、簡単に入手できることも攻撃が多い要因となっている。
|
|
次に目立つ手口は「PHP脆弱性」だ。Webページに特化したスクリプト言語・PHPの脆弱性を狙ったもので、古いバージョンが使われている、エラーメッセージが拾える、技術者レベルのばらつきが多いことなどが、狙われる理由となっている。PHPは世界中でで使われているため、日々新たな脆弱性が発見されていることも理由の一つだ。
この他、外部からファイル名を細工して攻撃する「ディレクトリトラバーサル」、データ入力時のパラメータに命令文を紛れ込ませる「コマンドインジェクション」などの攻撃を検知している。
|
|
Webアプリへの攻撃では、「Apache Strutsの脆弱性」を狙うものが、2014年4月以降増えている。安達氏は「お客様からの問い合わせでもっとも多いのが、『Apache Strutsの脆弱性は、WAFで対策できるのか?』というもの。Apache Strutsの脆弱性への対策に困っている担当者が多いようだ」と述べた。
Apache Strutsは、JavaでWebアプリケーションを開発する際に用いられるアプリケーション・フレームワーク。Webアプリの基盤となるものだけに、脆弱性の解消がとても難しくなっている。安達氏は「脆弱性を解消するのが難しい場合は、WAFによる対策が有効だ」と説明している。
WAFの利点は「設置が簡単で早い」「低コスト」
安達氏は「Webアプリケーションの改修には、予算取得が難しい、開発者確保が困難といった事情がある。そのため危険性の高い脆弱性でも放置されていることが多い」とした。IPAに調査によれば、脆弱性の修正に91日以上かかったサイトが、全体の3分の1にものぼっている。
|
|
|
そこでシマンテックが勧めているのが、クラウド型WAFの導入だ。
Webアプリケーションをそのままに、攻撃の検知・防御ができるため、サーバー側のシステムは変更する必要はない。また、短期間で導入が可能となっている。例えば、シマンテックのクラウド型WAFでは、DNSを書き換えて、すべての通信をシマンテックのセンターを通す形にする。この方法では、DNSを書き換えるだけで済むので短期間で導入できる。最短で1週間程度とのことだ。
また、WAFの運用や、不正な攻撃を検知するシグネチャ更新は、クラウド側で対応できるケースが多く、専任の運用担当者を置く必要がない。このメリットは、攻撃の検知・防御面でも生かされており、SQLインジェクションや、Apache Struts脆弱性、ディレクトリトラバーサル、XSS脆弱性やパスワードリスト攻撃といった多岐にわたる攻撃を検知・防御が可能となる。
クラウド型のメリットは、当然のことながらアプライアンス型のWAFよりもシンプル、低コストである点も挙げられる。クラウドサービスなどにサービス運用を分散させている場合でも、その手前にWAFを置くことになるためシンプルになる。
安達氏はこれらのクラウド型WAFのメリットを挙げた上で、「Webアプリケーションの開発者が枯渇しているため、開発者をセキュリティ対策に向けられないという事情がある。クラウド側WAFを入れれば、開発者を動かさずにセキュリティ対策ができる」とした。
改ざんされた「はとバス」はクラウド型WAF導入により17日で復旧
クラウド型WAFの利用事例がいくつか紹介された。その中で注目すべき点は「はとバス」の事例だ。
はとバスのWebサイトは、3月にサイト改ざんの被害を受け、閲覧者にウイル感染被害が出た。はとバスではサイトを閉鎖し、早急なセキュリティ対策を検討する中で、シマンテックのクラウド型WAFを導入した。
|
|
|
このクラウド型WAFによって、はとバスのWebサイトは17日後に再開している。短期間で導入できるクラウド型WAF導入によって、サイト閉鎖での収益低下を抑えることができた。
この他、自由民主党のWebサイトは、2013年6月のネット選挙解禁での参議院選挙に向けてクラウド型WAFを導入している。
またスマートフォンアプリ大手の株式会社エムティーアイでもクラウド型WAFを導入。1ヶ月未満で50サイトの対策を行うという厳しい物だったが対応できている。
安達氏は最後に「日本の企業は『うちは大丈夫』という根拠のない自信を持っているところが多い。これがWebアプリケーションの甘さの原因となっている。脆弱性と攻撃の手口を理解した上で、クラウド側WAFでしっかり守ってほしい。クラウド型WAFは、ハードウェアのWAFよりもコストを抑えられるので中小企業にも向いている」と語った。
