ブログ、ECサイト、ネットバンク等、現在のWebサイトでは、様々なサービスを提供するため数多くのWebアプリケーションを利用している。それに伴い、近年ではWebアプリケーションの脆弱性を狙ったサイバー攻撃が急増している。そして、この対策として最も有効な手段がWAFである。

今回、日本国内においてWAFの出荷台数ナンバーワン(*)を誇る「バラクーダネットワークスジャパン株式会社」のシニアセールス エンジニアである佐藤 栄治氏(以下 佐藤氏)に近年のサイバー攻撃におけるトレンドと、WAFの有効性について解説をいただいた。

*富士キメラ総研:「2013ネットワークセキュリティビジネス調査総覧<上巻:市場編>」より

Webアプリケーションの脆弱性を狙った攻撃は、今がまさに旬

バラクーダネットワークスジャパン株式会社 シニアセールス エンジニア 佐藤 栄治氏

「今、最も多い攻撃は、ログインの仕組みを持つWebアプリケーションを狙った、パスワードリスト攻撃です」と佐藤氏は語る。

これは、パスワードリストを使って様々な文字列の組み合わせ、それを総当たりして突破しようとする、まさにBrute Force(ブルートフォース/力づく)の攻撃の一種である。 一般的なブルートフォースアタックによる不正侵入は、アプリケーションレベルで行われることが多い。Webページへのアクセスには不正な点がないため、ネットワークレベルで不正侵入を防ぐファイアーウォールやIPSなどの手段では対応する事ができない。そのため、Webアプリケーションへの攻撃を防ぐためには、別の手段が必要となる。


ツールによって無差別に行われる攻撃。もはや他人事では済まされない

ブルートフォースアタックは、特定のターゲットを狙う場合もあるが、その一方でツールによって無差別に攻撃を仕掛けてくるケースも多い。その場合、企業規模の大小や製品の内容などお構いなしである。

パスワードの突破により辿り着いた先は、個人情報の宝庫である。実際に情報が流出しなかった場合であっても、そこに侵入を許しただけで、企業としての信用と信頼を大きく失ってしまう。それを防ぐためにも、緊急なWebアプリケーションへの脆弱性対策が必要である。

現在、この対策として考えられる方法は主に二つある。

一つは、セキュアなプログラミングによって脆弱性をつぶし、アプリケーションの質を高める方法である。本来であれば、これが最も適切な手段である。だがアプリケーションの質は開発者のスキルに依るところが大きい。また、既存のアプリケーションに対策を行う場合、まず脆弱性のある部分を発見するところから始まるため、膨大な時間とコストが掛かってしまう。対策の遅れによって生じる被害の大きさなど考えると、とても現実的な手段とは言えない。そこで注目されているものが、もう一つの手段であるWAFの導入である。

Webアプリケーションに対する様々な攻撃をブロック

WAF(Web Application Firewall)は名前の通り、Webアプリケーションを管理し不正侵入を防ぐファイアーウォールである。アプライアンスとして提供されているケースが多く、設置するだけでWebアプリケーションの脆弱性対策となる。

例えば、バラクーダネットワークスが提供するWAFでは、ブルートフォースアタックに対する手段として、同じIPから一定数のリクエストを受けた際には、CAPTCHA認証(*)を求める、という設定が可能である。これは、ツールを使った総当たり攻撃には非常に有効な手段となる。勿論、SQLインジェクションやクロスサイトスプリクティングなど、アプリケーションの脆弱性を狙った様々な攻撃にも対応できる。

万が一、Webアプリケーションに脆弱性が発見された場合、プログラミングで対処しようとすると数週間から数ヶ月掛かってしまう。だがWAFであれば設置するだけですぐに対処できる。特にバラクーダネットワークのWAFは、分かりやすい日本語インターフェースのお陰で、箱から出して30分以内に稼動させることが可能とのことだ。

「多くの場合、プログラミングによって脆弱性を修正するよりも、WAFを導入する方が、コストは低く抑えられるはずです」(佐藤氏)

*CAPTCHA認証:Webページなどのログイン時において、人であることを証明させるために、加工した文字や数字の画像を表示し、それを入力させる方法。

インターフェースは、日本オフィスの翻訳専任スタッフによって完全に日本語化されている

全世界15万台からもたらされた情報が、攻撃をブロック

バラクーダネットワークス社は、もともとはアンチスパム&ウイルスサービスを提供する企業として有名である。そこで培われた技術と実績は、同社が提供するWAFにも十分に活かされている。

例えば、不正な送信元からのアクセスを拒否するIPレピュテーションは、同社が全世界で販売し稼動している15万台のスパムメール対策アプライアンス(Barracuda Spam & Virus Firewall)からの情報が生かされている。スパムを送るボットとWeb攻撃に利用されるボットが共通であるため、スパムの送信元DB情報をそのままWAF転用した。この機能は機械的な攻撃やDDoS攻撃の抑止に有効だ。

IPレビュテーションによるボットネット通信のブロック効果(バラクーダネットワークスジャパン Webサイトにおける評価結果)

「公開しているWebサイトは、まず間違いなく攻撃を受けていると考えるべきです」と佐藤氏は警告する。

バラクーダネットワークス社では、評価用としてWAF製品の一ヶ月間無償貸し出しサービスを実施している。佐藤氏によると、ログに表示される結果を見て、ほとんどの人が驚きの声を上げるとのことである。攻撃を受けていないのではない。攻撃を受けていても気が付かないだけ。実は既に、被害が発生している可能性も十分にあり得るのが現在の状況なのだ。

あらゆる場面で利用されているWebアプリケーション。これらの脆弱性全てについて、セキュアプログラミングで対処することは、事実上不可能である。今後、Webサイトのセキュリティにおいて、手間と時間を掛けずに対策を実行できるWAFは、その存在感を更に増していくことだろう。

なお、バラクーダネットワークスのホームページでは、WAFの有効性について分かりやすく説明したマンガが公開中である。内容は実査に起こった事例に基づいて描かれたものなので、多くの方々にとって参考になることだろう。