いま知りたいWAF特集 第2回 WEBアプリケーションの脅威動向 | ScanNetSecurity
2024.05.17(金)

いま知りたいWAF特集 第2回 WEBアプリケーションの脅威動向

「私は格差社会って言葉を2008年くらいから使っているんですけど、強固なサイトと弱いサイトの格差がどんどん広がる一方なんですね、これはもう縮まるというのはまだ今のところ兆候がなくて、強固なサイトと弱いサイトの差がどんどん広がると」

特集 特集
facebookLINE
「強固なサイトと弱いサイトの格差がどんどん広がる一方です」 HASHコンサルティング株式会社 代表取締役 徳丸浩氏
「強固なサイトと弱いサイトの格差がどんどん広がる一方です」 HASHコンサルティング株式会社 代表取締役 徳丸浩氏 全 1 枚 拡大写真
最近、Apache Struts2やWordPressなどのCMSに対する攻撃、Webサイトのパスワードリスト攻撃などWebサイトに対する攻撃は増える一方だ。その攻撃に対する有効な防御手段としてWAF(Web Application Firewall)が注目され、導入している企業も多くなってきている。そこで以前からWAFの評価や導入に広く携わっている、HASHコンサルティング株式会社の徳丸浩氏にWAFについてのお話を伺った。

※本記事は有料版メールマガジンに全文を掲載しました

──最近のWebを狙った攻撃についてをどう見ていますか

割と狙われやすい脆弱性というものがありまして、Struts2とか、少し前のRuby on Railsといったフレームワークの脆弱性、それから今回のロリポップでもWordPressのプラグインの脆弱性が狙われたといわれておりますが、WordPress、Movable Type、Joomla!、などのCMS本体やプラグインが、昔から狙われやすいですね。

なぜかというと、原因ははっきりしていて、どういうソフトウェアが使われているかがわかれば、どう攻撃すればいいかがわかってしまうからです。攻撃の中でも、相手がどこでもいいという攻撃がありまして、わりとそういう場合は手軽に狙われてしまうということがあります。

あまり表沙汰にはならないんですけど、JPCERT/CCとかの資料、注意喚起でも出ていますし、攻撃を受けた会社がJPCERT/CCに相談した結果の集積がそういう注意喚起になっているとすれば、実際にたくさん狙われているだろうと推測することができます。

最近のWAFは、シグネチャタイプのものが大半なので、シグネチャがあるかないか次第なんですが、よく狙われる攻撃については一般的にはシグネチャが用意されているでしょうから、多くの場合防御が期待できると思います。すごく新しいものは難しいですけど。

──SQLインジェクション攻撃も多く行われていますが

私は格差社会って言葉を2008年くらいから使っているんですけど、強固なサイトと弱いサイトの格差がどんどん広がる一方なんですね、これはもう縮まるというのはまだ今のところ兆候がなくて、強固なサイトと弱いサイトの差がどんどん広がると。

狙いたいのは実は強固なサイトで、そこに価値のある情報、例えばオンラインゲームだとすると、いろんなアイテムとかが得られるのに、そこは対策済みであると。一方で、弱いサイトがあるので、そちらの弱い方にSQLインジェクション攻撃をかけて、IDとパスワードを大量に盗んで、強い方のサイトに試してみるという、そういう状況なんだろうなと想像しています。

WAFはSQLインジェクションについては、かなりの割合で防御が期待ができるのではないかと思っております。以前、他誌の企画で調査をさせていただいたときも、○○はイマイチだったんですけど、他に関してはおおむねシグネチャでちゃんと守るということが確認できました。

意外なことに、会社名は伏せていただくかもしれませんが、△▽とか×○とか当時ホワイトリストといってたWAFもですね、シグネチャが別にできが悪いわけでは決してなくて、よくできていました。いずれにせよ、SQLインジェクションに対する防御能力はかなり高いといえるでしょう。

──最近はパスワードリスト攻撃というものをよく聞きます

最近ではパスワードリスト攻撃というのが非常に多いのですが、いくつかのWAFがパスワードリスト攻撃対応ということを謳っていますね。私の確認した範囲では、○◎、○△、あとちょっと微妙なのが、□□(笑)他の奴は確認してないんですけど、特に○◎と○△はパスワードリスト攻撃対応と謳ってやってるようですね。

これは必ず防げるというものではなくて、ログインページにアクセスが集中したとかなどの条件を付けて、その場合に、SMSによる認証とか、○△は面白いことにCAPTCHAを出しますと言ってました。まあ、多くの場合自動化されたツールによる攻撃なのでCAPTCHAは突破できないだろうという想定だと思いますが、これは面白い機能だな、と思っております。

──その他の最近のWAFについて

最近のWAFの動向として、CSRF対応のWAFが増えてきたことがありますね。○◎、○○は実装してたんじゃなかったかな、あと□□も実装したっていってましたね、ちょっと他は確認してないですけど。

例のなりすまし犯行予告事件でCSRFが使われたこともあって、CSRF対応に一定の需要はあるのかな、と思ってます。CSRFの場合はシグネチャではなくて、トークンを埋め込むページと確認するページを指定するというものなので設定が必要なんですけども、設定を行えば確実に防げるだろうと思います。

あとは、マルウェアが管理者パスワードを盗むっていうのは相変わらずあるようですが、これはWAFではたぶんどうしようもないかなあと、まあ、総合的な施策の中では手立てはありますけど、WAFはとりあえず該当しないような気がします。防げないタイプの攻撃は結構ありますが、そんなに今は目立ってないので、出てきたら考えるのかな、と、いうかんじですね。

というのが最近の脅威動向かな、というように思っております。

(聞き手・文:山本洋介山)

※本記事は有料版メールマガジンに全文を掲載しました

《》

関連記事

この記事の写真

/

関連リンク

特集

PageTop

アクセスランキング

  1. ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

    ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

  2. 範を示す ~ MITRE がサイバー攻撃被害公表

    範を示す ~ MITRE がサイバー攻撃被害公表

  3. 東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

    東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

  4. 個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕

    個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕

  5. 検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃

    検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃

  6. 認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とは

    認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とはPR

  7. 脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得

    脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得

  8. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  9. 「マルカワみそ公式サイト」に不正アクセス、カード情報に加えログイン用パスワードも漏えい

    「マルカワみそ公式サイト」に不正アクセス、カード情報に加えログイン用パスワードも漏えい

  10. スマートフォンアプリ「OfferBox」に秘密鍵がハードコードされている問題

    スマートフォンアプリ「OfferBox」に秘密鍵がハードコードされている問題

ランキングをもっと見る
ホーム 特集 特集 記事
TOP