サイバー犯罪者はWeb攻撃の事前調査が当たり前に - ペンタセキュリティ調査

ペンタセキュリティシステムズはこのほど、「Webアプリケーション脅威解析報告書：2014年下半期版」を公開した。

報告書は、同社のWebハッキング遮断システム「WAPPLES」を活用し、ネット上でのありとあらゆる攻撃行動を収集し、独自のシステムで分析してまとめたもの。該当期間は2014年07月01日～2014年12月31日。

初めに、検知数(WAPPLES基準)は「インクルードインジェクション(Include Injection)」が最も多く22.4%であった。続いて、「エクステンションフィルタリング(Extension Filtering)」が15.4%、「バッファオーバーフロー(Buffer Overflow)」が14.1%の順となった。

インクルードインジェクションは、攻撃者が悪意のあるコードをアップロード後、関数でコードを実行し、別のWebサイトや内部のファイルへ埋め込むという攻撃手法。通常のテキスト形式のファイルに見せかけたWebshellをアップロードし、管理者権限を取得することもできる。

エクステンションフィルタリングは、ハッキングしたWebサーバーを動作不能状態に陥れる攻撃で、脆弱性のある拡張子(dll,conf,iniなど)にアクセスする。

バッファ オーバーフローは、攻撃者がサーバーを乗っ取り、メモリーサイズを遥かに超えるデータ量を送り込むこと。メモリーの保存容量がパンク状態となり、システム側がメモリーアクセスエラーを引き起こす恐れがある。

OWASP(Open Web Application Security Project)2013基準のWeb攻撃類型は、「インジェクション」が最も頻度の高く22.7%。インジェクションは、テキストを基盤とし、ほぼ全てのデータソースを経路として活用できることから、簡単に攻撃を実行できる。

企業がインジェクション攻撃を受けた場合、機密情報が漏えいするなどの被害を受ける恐れがある。そうなった場合、ビジネス的な損失、企業イメージの悪化、法的責任など、企業が負うダメージは計り知れない。

インジェクション以外では、「機密データの露出」が19.6%、「安全ではないオブジェクトの直接参照」が17.2%、「機能レベルのアクセスコントロールの欠落」が14.4%と高い値を示した。

Web攻撃の発信国は、韓国が91.9%と他国と大差を付ける形となった。同ランキングで韓国が1位となるのは2014年上半期に続いてのこと。アメリカが4.7%、中国が2.2%、日本とフランスが0.6%という結果となった。韓国からの攻撃は約3億件増加したのに対し、アメリカ、中国、日本からの攻撃関数は大きな変化はなく、横ばい状態であったという。

同社は、韓国からの攻撃数が異常に多い理由について、報告書の解析対象が韓国国内のサーバーを保護するWAPPLESに限定されているためと説明している。このデータは、全世界の攻撃動向が反映されているわけではない。

Web攻撃の目的は、「脆弱性スキャン」が最も高く27.7%。「Webサイト改ざん」「サーバ運用妨害」「金銭的損害」「情報漏洩」「悪意あるコードの挿入」と続く結果となった。

脆弱性スキャンは、自動化されたツールを使い、今後の攻撃活動のための事前調査をすること。手法は複数あり、HTTP定義ではない不正なリクエストおよびレスポンスを返す、RFC定義ではない不正なURIをリクエストする、Webサイトのディレクトリ構造を漏洩する、意図的にエラーメッセージを表示させるなどが挙げられる。

Webサイト改ざんは、本来は権限のないユーザーがWebサイトの内容を不正に変更すること。主な手法は、SQLサーバにて実行されるコードに悪意あるコードを挿入し、権限のないユーザが情報を取得し操作をする、Webサーバにて実行可能な.exe, .jsp, .phpなどのファイルをWebサーバにアップロードする、悪意あるスクリプト、ファイル、コードを挿入するなどがある。

サーバ運用妨害は、Webサーバーの運用を妨害することで、不正な実行コードにより内部のバッファを超えるようにする、リクエストにて必要以上のメソッドおよびヘッダを送り付けるなどがある。

金銭的損害は、コマンドメカニズムを迂回するためにクッキーの内容を改ざんし攻撃を行うことで、他のユーザ情報を取得し、そのユーザになりすます、不正なパラメータを挿入しアプリケーション動作を妨害するなどでユーザーに対し金銭的損害を与えること。

情報漏洩は、Webサイトに対し、住民登録番号(韓国)やクレジットカード番号のような個人情報の入力および漏洩する、個人情報の含まれているファイルをアップロードするなど、ユーザの個人情報を不正に取得すること。

悪意あるコード挿入は、悪意あるスクリプトコードを挿入することによってユーザ情報を出力させるサーバ側ーにスクリプトを挿入し悪意あるコマンドを実行し情報を取得する、不正なアクセスにて悪意あるコードを送り付けるなどの試み。

WAPPLESルールごとの危険度別を4段階に分類している。今回は「緊急」が31%、「高」が21.1%。「中」が38.2%、「脆弱性の下調べ」が9.8%となった。

2014年7月～12月のWeb攻撃の月別推移で、インクルード インジェクションは月ごとの増減があったものの、毎月最も多いという結果となった。続いて、バッファオーバーフロー、プライバシー アウトプット フィルタリングと続いた。