いま知りたいWAF特集 第3回 レンタルサーバーとWAF | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.17(火)

いま知りたいWAF特集 第3回 レンタルサーバーとWAF

特集 特集

最近、Apache Struts2やWordPressなどのCMSに対する攻撃、Webサイトのパスワードリスト攻撃などWebサイトに対する攻撃は増える一方だ。その攻撃に対する有効な防御手段としてWAF(Web Application Firewall)が注目され、導入している企業も多くなってきている。そこで以前からWAFの評価や導入に広く携わっている、HASHコンサルティング株式会社の徳丸浩氏にWAFについてのお話を伺った。


──「ロリポップ!」のWordPressサイトが8月末から攻撃を受けてましたが、その対応としてWAFをONにするよう書かれていました

WAF機能はもともと付いていました。昨年ですね、CGIPHPという脆弱性があって、phpをCGIで動かすときだけスクリプト実行ができるという脆弱性だったんですけど、でもphpをCGIで動かすなんてことはあまりないよなあと思っていたんですよ。

そうしたらレンタルサーバー大手の社員の方がですね、徳丸さん、レンタルサーバーではほとんどphpはCGIで動かしますよって。1つのサーバーにユーザーが、何百人とか入ってて、その個別のユーザーでphpを動かさないといけないんで、それにはCGIとしてphpを動かさないと難しいっていうんです。

そうすると攻撃が発表されてから2~3日後にはどんどんレンタルサーバーに攻撃がわーっと押し寄せる、という状況になりました。そこで「ロリポップ!」は結構やられちゃったみたいですね。あの脆弱性でやられましたという発表はないんですけど、利用者のブログ、とか「ロリポップ!」側の対応の履歴が残っているんで。

結局、抜本対応が遅れちゃったんですよ。パラメータに「?-s」を付けるとソースが見えるとかいう発表が当初あったんで、これを防いでおけばいいのかという対策になってて、その後、それじゃ対策にならんだろうという突っ込みがあって、3週間くらいかかって対策をして、その間にもうやられちゃったんですね。

そういうことがあって、WAFを導入したみたいですけど、WordPressなどを導入すると誤検知がどうしてもあるというので、オフにしている人が多かったようですね。CMSとかだとhtmlタグを入力したり、テーマを入れたりするときにそれを誤検知しちゃうっていうんで、デフォルトオンなんですけど、ロリポップ入れるとまずWAFをオフにする、みたいな手順があったようです。

──誤検知の多いWAFを使っているのですか?

誤検知は割と少ない、いいWAFなんですが、htmlタグの入力などは攻撃と区別が付かない入力なので、そこはちょっとチューニングというか、別の方法で守るようにする必要があります。

例えばですね、私のお客さんでも、phpmyadminを使っているお客さんがいるんですけど、もろパラメータでSQL文が流れるわけなんですよ。するとどうしても誤検知してしまいます。そういうところはちょっと外部からはその画面は使えないよう、ネットワーク的な制限をかけたうえでWAFはオフにするとか、そういうことはどうしても必要なんですね。

──自分のIPアドレスだけはWAF検知させないようにするとか

そうそう。管理者のIPですね。それと同じようなことがあったんですけど、私、昨年末にロリポップでWAFを誤検知させない方法みたいな、タイトルでブログ書いたのですが、あまり読まれなくてですね、今回の事件があったんで、タイトルひっくり返してロリポップのWordPressをWAFで防御する方法って書いたらすごくアクセスがありました。ロリポップ側も強制的にオンの方に戻しちゃったみたいですね。あの、どの範囲かわかりませんけど。

──プラグインの脆弱性は残っているままみたいですが

私プラグインの脆弱性の攻撃ルートを見てないんですけど、ファイルアップロードが使われたようなリリースが出てるので、脆弱性のシグネチャがあれば止まるんですけど、そこはちょっと微妙な感じですよね。だからまあ、ダッシュボードをまめに見て古くなってたらアップデートするとか、しなきゃいけないんでしょうけど、それ一般の利用者がするかなあって、ていうのはちょっと。

──WordPressアップデートがあったらダッシュボードに出てきますよね

そうです。見さえすればいいんです。見てボタン押せば大丈夫なんですけど、CMSとして使っているところも多いだろうから、そうすると更新がないと見ないとか。

だからもうちょっとああいうのは、脆弱性管理とかはしてくれるけどコンテンツは自由に設定して使ってくださいみたいなサービスが広まるといいなと思うんですけどね。導入から脆弱性管理まで一般のユーザーにさせるのはちょっと酷な気がしますね。ましてやこういってはなんですが、「ロリポップ!」のユーザーだと難しいんじゃないですかね。

──そんな気がします。結構ほったらかしのところもありそうですしね

実はレンタルサーバーにWAFって結構入ってまして、さくらも入ってますし。だからうまく活用していただければ、あとSQLインジェクションくらいは止めてくれると思うんで、それだけでもだいぶ違いますよね、あと、php系の脆弱性、リモートファイルインクルージョンなども止めてくれますよね。あとシェルコードもある程度は止めてくれるかもしれないですね。シェルの中身そのものでシグネチャが作動するかもしれないです。

──スクリプトを使ったどこでもいい攻撃も止めてくれる

ターゲットがどこでもいい攻撃の場合はちょっとでも失敗して、次いってくれたらそれでもうオッケーなわけなんです。完全に防ぎきらなくても途中でちょっとコケて、攻撃側もちょっと直せば突破できるんだけど、そこまでは面倒だからしないっていうのはわりと多そうなんで、他よりは少し安全にしておくだけでもかなり攻撃に遭いにくくはなりますよね。まあ執拗に狙われたらダメですけど。

──WAFが入ってるってわかった時点で他に行こうという気になりそうです

そこで燃える人とよそ行く人がいると思うんですけど、どこでもいい攻撃はよそに行きますね。そこで燃えても得るものが少ないですからね。

(聞き手・文:山本洋介山)
《》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  2. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第2回 「二重帳簿」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×