いま知りたいWAF特集 第2回 WEBアプリケーションの脅威動向 | ScanNetSecurity
2024.03.29(金)

いま知りたいWAF特集 第2回 WEBアプリケーションの脅威動向

「私は格差社会って言葉を2008年くらいから使っているんですけど、強固なサイトと弱いサイトの格差がどんどん広がる一方なんですね、これはもう縮まるというのはまだ今のところ兆候がなくて、強固なサイトと弱いサイトの差がどんどん広がると」

特集 特集
「強固なサイトと弱いサイトの格差がどんどん広がる一方です」 HASHコンサルティング株式会社 代表取締役 徳丸浩氏
「強固なサイトと弱いサイトの格差がどんどん広がる一方です」 HASHコンサルティング株式会社 代表取締役 徳丸浩氏 全 1 枚 拡大写真
最近、Apache Struts2やWordPressなどのCMSに対する攻撃、Webサイトのパスワードリスト攻撃などWebサイトに対する攻撃は増える一方だ。その攻撃に対する有効な防御手段としてWAF(Web Application Firewall)が注目され、導入している企業も多くなってきている。そこで以前からWAFの評価や導入に広く携わっている、HASHコンサルティング株式会社の徳丸浩氏にWAFについてのお話を伺った。

※本記事は有料版メールマガジンに全文を掲載しました

──最近のWebを狙った攻撃についてをどう見ていますか

割と狙われやすい脆弱性というものがありまして、Struts2とか、少し前のRuby on Railsといったフレームワークの脆弱性、それから今回のロリポップでもWordPressのプラグインの脆弱性が狙われたといわれておりますが、WordPress、Movable Type、Joomla!、などのCMS本体やプラグインが、昔から狙われやすいですね。

なぜかというと、原因ははっきりしていて、どういうソフトウェアが使われているかがわかれば、どう攻撃すればいいかがわかってしまうからです。攻撃の中でも、相手がどこでもいいという攻撃がありまして、わりとそういう場合は手軽に狙われてしまうということがあります。

あまり表沙汰にはならないんですけど、JPCERT/CCとかの資料、注意喚起でも出ていますし、攻撃を受けた会社がJPCERT/CCに相談した結果の集積がそういう注意喚起になっているとすれば、実際にたくさん狙われているだろうと推測することができます。

最近のWAFは、シグネチャタイプのものが大半なので、シグネチャがあるかないか次第なんですが、よく狙われる攻撃については一般的にはシグネチャが用意されているでしょうから、多くの場合防御が期待できると思います。すごく新しいものは難しいですけど。

──SQLインジェクション攻撃も多く行われていますが

私は格差社会って言葉を2008年くらいから使っているんですけど、強固なサイトと弱いサイトの格差がどんどん広がる一方なんですね、これはもう縮まるというのはまだ今のところ兆候がなくて、強固なサイトと弱いサイトの差がどんどん広がると。

狙いたいのは実は強固なサイトで、そこに価値のある情報、例えばオンラインゲームだとすると、いろんなアイテムとかが得られるのに、そこは対策済みであると。一方で、弱いサイトがあるので、そちらの弱い方にSQLインジェクション攻撃をかけて、IDとパスワードを大量に盗んで、強い方のサイトに試してみるという、そういう状況なんだろうなと想像しています。

WAFはSQLインジェクションについては、かなりの割合で防御が期待ができるのではないかと思っております。以前、他誌の企画で調査をさせていただいたときも、○○はイマイチだったんですけど、他に関してはおおむねシグネチャでちゃんと守るということが確認できました。

意外なことに、会社名は伏せていただくかもしれませんが、△▽とか×○とか当時ホワイトリストといってたWAFもですね、シグネチャが別にできが悪いわけでは決してなくて、よくできていました。いずれにせよ、SQLインジェクションに対する防御能力はかなり高いといえるでしょう。

──最近はパスワードリスト攻撃というものをよく聞きます

最近ではパスワードリスト攻撃というのが非常に多いのですが、いくつかのWAFがパスワードリスト攻撃対応ということを謳っていますね。私の確認した範囲では、○◎、○△、あとちょっと微妙なのが、□□(笑)他の奴は確認してないんですけど、特に○◎と○△はパスワードリスト攻撃対応と謳ってやってるようですね。

これは必ず防げるというものではなくて、ログインページにアクセスが集中したとかなどの条件を付けて、その場合に、SMSによる認証とか、○△は面白いことにCAPTCHAを出しますと言ってました。まあ、多くの場合自動化されたツールによる攻撃なのでCAPTCHAは突破できないだろうという想定だと思いますが、これは面白い機能だな、と思っております。

──その他の最近のWAFについて

最近のWAFの動向として、CSRF対応のWAFが増えてきたことがありますね。○◎、○○は実装してたんじゃなかったかな、あと□□も実装したっていってましたね、ちょっと他は確認してないですけど。

例のなりすまし犯行予告事件でCSRFが使われたこともあって、CSRF対応に一定の需要はあるのかな、と思ってます。CSRFの場合はシグネチャではなくて、トークンを埋め込むページと確認するページを指定するというものなので設定が必要なんですけども、設定を行えば確実に防げるだろうと思います。

あとは、マルウェアが管理者パスワードを盗むっていうのは相変わらずあるようですが、これはWAFではたぶんどうしようもないかなあと、まあ、総合的な施策の中では手立てはありますけど、WAFはとりあえず該当しないような気がします。防げないタイプの攻撃は結構ありますが、そんなに今は目立ってないので、出てきたら考えるのかな、と、いうかんじですね。

というのが最近の脅威動向かな、というように思っております。

(聞き手・文:山本洋介山)

※本記事は有料版メールマガジンに全文を掲載しました

《》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  4. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  5. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  6. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  7. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  8. 早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

    早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

  9. Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

    Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

  10. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

ランキングをもっと見る