いま知りたいWAF特集第2回 WEBアプリケーションの脅威動向

最近、Apache Struts2やWordPressなどのCMSに対する攻撃、Webサイトのパスワードリスト攻撃などWebサイトに対する攻撃は増える一方だ。その攻撃に対する有効な防御手段としてWAF(Web Application Firewall)が注目され、導入している企業も多くなってきている。そこで以前からWAFの評価や導入に広く携わっている、HASHコンサルティング株式会社の徳丸浩氏にWAFについてのお話を伺った。

※本記事は有料版メールマガジンに全文を掲載しました

──最近のWebを狙った攻撃についてをどう見ていますか

割と狙われやすい脆弱性というものがありまして、Struts2とか、少し前のRuby on Railsといったフレームワークの脆弱性、それから今回のロリポップでもWordPressのプラグインの脆弱性が狙われたといわれておりますが、WordPress、Movable Type、Joomla!、などのCMS本体やプラグインが、昔から狙われやすいですね。

なぜかというと、原因ははっきりしていて、どういうソフトウェアが使われているかがわかれば、どう攻撃すればいいかがわかってしまうからです。攻撃の中でも、相手がどこでもいいという攻撃がありまして、わりとそういう場合は手軽に狙われてしまうということがあります。

あまり表沙汰にはならないんですけど、JPCERT/CCとかの資料、注意喚起でも出ていますし、攻撃を受けた会社がJPCERT/CCに相談した結果の集積がそういう注意喚起になっているとすれば、実際にたくさん狙われているだろうと推測することができます。

最近のWAFは、シグネチャタイプのものが大半なので、シグネチャがあるかないか次第なんですが、よく狙われる攻撃については一般的にはシグネチャが用意されているでしょうから、多くの場合防御が期待できると思います。すごく新しいものは難しいですけど。

──SQLインジェクション攻撃も多く行われていますが

私は格差社会って言葉を2008年くらいから使っているんですけど、強固なサイトと弱いサイトの格差がどんどん広がる一方なんですね、これはもう縮まるというのはまだ今のところ兆候がなくて、強固なサイトと弱いサイトの差がどんどん広がると。

狙いたいのは実は強固なサイトで、そこに価値のある情報、例えばオンラインゲームだとすると、いろんなアイテムとかが得られるのに、そこは対策済みであると。一方で、弱いサイトがあるので、そちらの弱い方にSQLインジェクション攻撃をかけて、IDとパスワードを大量に盗んで、強い方のサイトに試してみるという、そういう状況なんだろうなと想像しています。

WAFはSQLインジェクションについては、かなりの割合で防御が期待ができるのではないかと思っております。以前、他誌の企画で調査をさせていただいたときも、○○はイマイチだったんですけど、他に関してはおおむねシグネチャでちゃんと守るということが確認できました。

意外なことに、会社名は伏せていただくかもしれませんが、△▽とか×○とか当時ホワイトリストといってたWAFもですね、シグネチャが別にできが悪いわけでは決してなくて、よくできていました。いずれにせよ、SQLインジェクションに対する防御能力はかなり高いといえるでしょう。

──最近はパスワードリスト攻撃というものをよく聞きます

最近ではパスワードリスト攻撃というのが非常に多いのですが、いくつかのWAFがパスワードリスト攻撃対応ということを謳っていますね。私の確認した範囲では、○◎、○△、あとちょっと微妙なのが、□□（笑）他の奴は確認してないんですけど、特に○◎と○△はパスワードリスト攻撃対応と謳ってやってるようですね。

これは必ず防げるというものではなくて、ログインページにアクセスが集中したとかなどの条件を付けて、その場合に、SMSによる認証とか、○△は面白いことにCAPTCHAを出しますと言ってました。まあ、多くの場合自動化されたツールによる攻撃なのでCAPTCHAは突破できないだろうという想定だと思いますが、これは面白い機能だな、と思っております。

──その他の最近のWAFについて

最近のWAFの動向として、CSRF対応のWAFが増えてきたことがありますね。○◎、○○は実装してたんじゃなかったかな、あと□□も実装したっていってましたね、ちょっと他は確認してないですけど。

例のなりすまし犯行予告事件でCSRFが使われたこともあって、CSRF対応に一定の需要はあるのかな、と思ってます。CSRFの場合はシグネチャではなくて、トークンを埋め込むページと確認するページを指定するというものなので設定が必要なんですけども、設定を行えば確実に防げるだろうと思います。

あとは、マルウェアが管理者パスワードを盗むっていうのは相変わらずあるようですが、これはWAFではたぶんどうしようもないかなあと、まあ、総合的な施策の中では手立てはありますけど、WAFはとりあえず該当しないような気がします。防げないタイプの攻撃は結構ありますが、そんなに今は目立ってないので、出てきたら考えるのかな、と、いうかんじですね。

というのが最近の脅威動向かな、というように思っております。

(聞き手・文：山本洋介山)

※本記事は有料版メールマガジンに全文を掲載しました