Webサイトの脆弱性はなぜ速やかに修正されないのか

WebサイトやWebアプリケーションサーバの脆弱性を突いて、攻撃をしかけ、ホームページの改ざんや大量の顧客情報を盗みとる事件が頻発している。そこで利用されている手法の多くが、SQLインジェクションやクロスサイトスクリプティングといった、どちらかと言えば旧知の攻撃手法であることに、驚かれる方も少なくないだろう。

ジェイピー・セキュアの取締役 技術部長、齊藤和男氏。11月22日(火)に開催する本誌主催のセミナー「2011 Webセキュリティセミナー」でWAFの効果的な活用法を解説する予定。

例えばApacheやIISといったWebサーバソフトウェアの脆弱性であれば、開発元から提供されるパッチの適用やバージョンアップにより、大抵のケースは被害を未然に防止することができる。同様に、旧知の攻撃手法であって対策が明らかにされているのならば、その対策を行えばいいだけだと思うのが普通だろう。そういったことから、名の通った大企業が、なぜ、SQLインジェクションなどへの対策を施していなかったのか、と驚くわけだ。

IPAが今年5月に公表した『Web Appication Firewall (WAF) 読本』には、その実態が数字データとして記載されている。IPAでは、Webサイトの脆弱性情報が届けられると、Webサイト運営者に対して、脆弱性の修正を依頼する。修正までに何日かかったかについても記録をとっており、0日で修正できた脆弱性は何件、4-5日で修正できた脆弱性は何件といったデータをグラフにしている。

それによると、2010年10-12月の期間で、最も多く修正された脆弱性はSQLインジェクションで、550件だった。ほか、多い順にDNS情報の設定不備が517件、HTTPレスポンス分割が94件、ファイルの誤った公開が89件などだ。ここで注目できるのは、修正に要した時間だ。全体の53%が修正までに31日以上を要しており、その内訳を見ても半分程度はSQLインジェクションが占めている。つまり、SQLインジェクションのようなよく知られた危険な脆弱性であっても、発見から修正までに1カ月以上かかるものであり、逆に言えば、危険性を認識していても、一ヶ月間はなかば放置されているケースがあるということだ。

このWAF読本の制作にも協力したジェイピー・セキュアの取締役 技術部長、齊藤和男氏は、「Webアプリケーションの脆弱性を認識できても、既に運用中のWebサイトでは設計レベルからの見直しや対策が困難なことも多く、適切な対策が行えなかったり、対応の遅れにつながったりしている実状がある」と指摘する。WAF読本では、そうした現状を受けて、WAFが有効なケースや導入のポイントなどを事例を交えて、分かりやすく説明している。だが、齊藤氏によると、「WAFという名前こそ知られてきたが、どういった有効性があるのかは、まだ広く知られていない状況にある」という。

WAFが求められるワケ

そもそもWAFとはどのようなものであり、なぜ必要になってきたのか。WAFは、Webアプリケーションの脆弱性を悪用した攻撃を検出し、それを防御するためのソフトウェア、またはハードウェアだ。名称にファイアウォールという言葉が含まれるが、動作は、一般的なファイアウォールとは大きく異なる。

「違いとしては、まず、ファイアウォールが基本的にIPアドレスやポート番号等をもとにアクセス制御するのに対し、WAFは、httpとhttpsの検査に特化し、Webアクセスの通信内容を検査します。Webアクセスの通信内容を検査することで、データベースを不正操作するSQLインジェクション攻撃などの特徴的なパターンが含まれていた場合に、通信を遮断するといった対策が可能です。」(齊藤氏)

Web上では現在、メール、ファイル共有、ドキュメント作成、チャット、電話など、あらゆるアプリケーションが動くような状況だ。従来のファイアウォールでは、どのWebアプリケーションがどんな挙動をしているかを知ることはできない。Webアプリケーションの脆弱性を突いて不正なアクセスを試みる攻撃者に対してほとんど何もできないのだ。

また、IPS(Intrusion Prevention System) との違いとしては、対象範囲と検知の精度が挙げられる。IPSは、OSやミドルウェア、Web、メールなど対象範囲が広いが、WAFはWeb(http, https)だけを対象とする。検知の精度としても、IPSがシグネチャのパターンマッチングによる検出を回避するような巧妙に作り込まれた攻撃を見逃すことがあるのに対し、WAFは、プロトコル解析をした上でヘッダやリクエストの内容までをチェックするため、それらを検出することができる。

簡単に言えば、従来のファイアウォールやIPSでは防ぎ切れない攻撃が増えており、そのためにWebに特化したWAFが求められるようなってきたということだ。

WAFは使いにくいのか

齊藤氏によると、こうした背景のもと、WAFを導入する企業は増えてきている。だが、実際に導入しようとする場合、どういう機能があるのか、運用が難しいのではないか、どうチューニングすれば効果がでるのかがわかりにくいといった声が少なくないという。

では、WAFを利用する場合、具体的に何に気をつけて運用していけばいいのか。また、SQLインジェクションのように、Webサイト上の危険な脆弱性を認識しながら、対応が難しいケースでどのような効果をもたらしてくれるのか。

マイナビが11月22日に開催する「2011 Webセキリュティセミナー」 では、齊藤氏がWAFをとりまく現状やWAFの有効性をわかりやすく解説する予定だ。WAFの必要性を感じながらも、いまひとつ情報が不足しているという方にとって、齊藤氏の講演は、おおいに役立つはずだ。ぜひ足を運んでいただきたい。