いま知りたいWAF特集 第2回 WEBアプリケーションの脅威動向 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.16(土)

いま知りたいWAF特集 第2回 WEBアプリケーションの脅威動向

特集 特集

最近、Apache Struts2やWordPressなどのCMSに対する攻撃、Webサイトのパスワードリスト攻撃などWebサイトに対する攻撃は増える一方だ。その攻撃に対する有効な防御手段としてWAF(Web Application Firewall)が注目され、導入している企業も多くなってきている。そこで以前からWAFの評価や導入に広く携わっている、HASHコンサルティング株式会社の徳丸浩氏にWAFについてのお話を伺った。

※本記事は有料版メールマガジンに全文を掲載しました

──最近のWebを狙った攻撃についてをどう見ていますか

割と狙われやすい脆弱性というものがありまして、Struts2とか、少し前のRuby on Railsといったフレームワークの脆弱性、それから今回のロリポップでもWordPressのプラグインの脆弱性が狙われたといわれておりますが、WordPress、Movable Type、Joomla!、などのCMS本体やプラグインが、昔から狙われやすいですね。

なぜかというと、原因ははっきりしていて、どういうソフトウェアが使われているかがわかれば、どう攻撃すればいいかがわかってしまうからです。攻撃の中でも、相手がどこでもいいという攻撃がありまして、わりとそういう場合は手軽に狙われてしまうということがあります。

あまり表沙汰にはならないんですけど、JPCERT/CCとかの資料、注意喚起でも出ていますし、攻撃を受けた会社がJPCERT/CCに相談した結果の集積がそういう注意喚起になっているとすれば、実際にたくさん狙われているだろうと推測することができます。

最近のWAFは、シグネチャタイプのものが大半なので、シグネチャがあるかないか次第なんですが、よく狙われる攻撃については一般的にはシグネチャが用意されているでしょうから、多くの場合防御が期待できると思います。すごく新しいものは難しいですけど。

──SQLインジェクション攻撃も多く行われていますが

私は格差社会って言葉を2008年くらいから使っているんですけど、強固なサイトと弱いサイトの格差がどんどん広がる一方なんですね、これはもう縮まるというのはまだ今のところ兆候がなくて、強固なサイトと弱いサイトの差がどんどん広がると。

狙いたいのは実は強固なサイトで、そこに価値のある情報、例えばオンラインゲームだとすると、いろんなアイテムとかが得られるのに、そこは対策済みであると。一方で、弱いサイトがあるので、そちらの弱い方にSQLインジェクション攻撃をかけて、IDとパスワードを大量に盗んで、強い方のサイトに試してみるという、そういう状況なんだろうなと想像しています。

WAFはSQLインジェクションについては、かなりの割合で防御が期待ができるのではないかと思っております。以前、他誌の企画で調査をさせていただいたときも、○○はイマイチだったんですけど、他に関してはおおむねシグネチャでちゃんと守るということが確認できました。

意外なことに、会社名は伏せていただくかもしれませんが、△▽とか×○とか当時ホワイトリストといってたWAFもですね、シグネチャが別にできが悪いわけでは決してなくて、よくできていました。いずれにせよ、SQLインジェクションに対する防御能力はかなり高いといえるでしょう。

──最近はパスワードリスト攻撃というものをよく聞きます

最近ではパスワードリスト攻撃というのが非常に多いのですが、いくつかのWAFがパスワードリスト攻撃対応ということを謳っていますね。私の確認した範囲では、○◎、○△、あとちょっと微妙なのが、□□(笑)他の奴は確認してないんですけど、特に○◎と○△はパスワードリスト攻撃対応と謳ってやってるようですね。

これは必ず防げるというものではなくて、ログインページにアクセスが集中したとかなどの条件を付けて、その場合に、SMSによる認証とか、○△は面白いことにCAPTCHAを出しますと言ってました。まあ、多くの場合自動化されたツールによる攻撃なのでCAPTCHAは突破できないだろうという想定だと思いますが、これは面白い機能だな、と思っております。

──その他の最近のWAFについて

最近のWAFの動向として、CSRF対応のWAFが増えてきたことがありますね。○◎、○○は実装してたんじゃなかったかな、あと□□も実装したっていってましたね、ちょっと他は確認してないですけど。

例のなりすまし犯行予告事件でCSRFが使われたこともあって、CSRF対応に一定の需要はあるのかな、と思ってます。CSRFの場合はシグネチャではなくて、トークンを埋め込むページと確認するページを指定するというものなので設定が必要なんですけども、設定を行えば確実に防げるだろうと思います。

あとは、マルウェアが管理者パスワードを盗むっていうのは相変わらずあるようですが、これはWAFではたぶんどうしようもないかなあと、まあ、総合的な施策の中では手立てはありますけど、WAFはとりあえず該当しないような気がします。防げないタイプの攻撃は結構ありますが、そんなに今は目立ってないので、出てきたら考えるのかな、と、いうかんじですね。

というのが最近の脅威動向かな、というように思っております。

(聞き手・文:山本洋介山)

※本記事は有料版メールマガジンに全文を掲載しました
《》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  2. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  3. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

    [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  6. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  7. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第12回「社長面談」

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×