いま知りたいWAF特集第3回レンタルサーバーとWAF

最近、Apache Struts2やWordPressなどのCMSに対する攻撃、Webサイトのパスワードリスト攻撃などWebサイトに対する攻撃は増える一方だ。その攻撃に対する有効な防御手段としてWAF(Web Application Firewall)が注目され、導入している企業も多くなってきている。そこで以前からWAFの評価や導入に広く携わっている、HASHコンサルティング株式会社の徳丸浩氏にWAFについてのお話を伺った。

──「ロリポップ！」のWordPressサイトが8月末から攻撃を受けてましたが、その対応としてWAFをONにするよう書かれていました

WAF機能はもともと付いていました。昨年ですね、CGIPHPという脆弱性があって、phpをCGIで動かすときだけスクリプト実行ができるという脆弱性だったんですけど、でもphpをCGIで動かすなんてことはあまりないよなあと思っていたんですよ。

そうしたらレンタルサーバー大手の社員の方がですね、徳丸さん、レンタルサーバーではほとんどphpはCGIで動かしますよって。1つのサーバーにユーザーが、何百人とか入ってて、その個別のユーザーでphpを動かさないといけないんで、それにはCGIとしてphpを動かさないと難しいっていうんです。

そうすると攻撃が発表されてから2～3日後にはどんどんレンタルサーバーに攻撃がわーっと押し寄せる、という状況になりました。そこで「ロリポップ！」は結構やられちゃったみたいですね。あの脆弱性でやられましたという発表はないんですけど、利用者のブログ、とか「ロリポップ！」側の対応の履歴が残っているんで。

結局、抜本対応が遅れちゃったんですよ。パラメータに「?-s」を付けるとソースが見えるとかいう発表が当初あったんで、これを防いでおけばいいのかという対策になってて、その後、それじゃ対策にならんだろうという突っ込みがあって、3週間くらいかかって対策をして、その間にもうやられちゃったんですね。

そういうことがあって、WAFを導入したみたいですけど、WordPressなどを導入すると誤検知がどうしてもあるというので、オフにしている人が多かったようですね。CMSとかだとhtmlタグを入力したり、テーマを入れたりするときにそれを誤検知しちゃうっていうんで、デフォルトオンなんですけど、ロリポップ入れるとまずWAFをオフにする、みたいな手順があったようです。

──誤検知の多いWAFを使っているのですか？

誤検知は割と少ない、いいWAFなんですが、htmlタグの入力などは攻撃と区別が付かない入力なので、そこはちょっとチューニングというか、別の方法で守るようにする必要があります。

例えばですね、私のお客さんでも、phpmyadminを使っているお客さんがいるんですけど、もろパラメータでSQL文が流れるわけなんですよ。するとどうしても誤検知してしまいます。そういうところはちょっと外部からはその画面は使えないよう、ネットワーク的な制限をかけたうえでWAFはオフにするとか、そういうことはどうしても必要なんですね。

──自分のIPアドレスだけはWAF検知させないようにするとか

そうそう。管理者のIPですね。それと同じようなことがあったんですけど、私、昨年末にロリポップでWAFを誤検知させない方法みたいな、タイトルでブログ書いたのですが、あまり読まれなくてですね、今回の事件があったんで、タイトルひっくり返してロリポップのWordPressをWAFで防御する方法って書いたらすごくアクセスがありました。ロリポップ側も強制的にオンの方に戻しちゃったみたいですね。あの、どの範囲かわかりませんけど。

──プラグインの脆弱性は残っているままみたいですが

私プラグインの脆弱性の攻撃ルートを見てないんですけど、ファイルアップロードが使われたようなリリースが出てるので、脆弱性のシグネチャがあれば止まるんですけど、そこはちょっと微妙な感じですよね。だからまあ、ダッシュボードをまめに見て古くなってたらアップデートするとか、しなきゃいけないんでしょうけど、それ一般の利用者がするかなあって、ていうのはちょっと。

──WordPressアップデートがあったらダッシュボードに出てきますよね

そうです。見さえすればいいんです。見てボタン押せば大丈夫なんですけど、CMSとして使っているところも多いだろうから、そうすると更新がないと見ないとか。

だからもうちょっとああいうのは、脆弱性管理とかはしてくれるけどコンテンツは自由に設定して使ってくださいみたいなサービスが広まるといいなと思うんですけどね。導入から脆弱性管理まで一般のユーザーにさせるのはちょっと酷な気がしますね。ましてやこういってはなんですが、「ロリポップ！」のユーザーだと難しいんじゃないですかね。

──そんな気がします。結構ほったらかしのところもありそうですしね

実はレンタルサーバーにWAFって結構入ってまして、さくらも入ってますし。だからうまく活用していただければ、あとSQLインジェクションくらいは止めてくれると思うんで、それだけでもだいぶ違いますよね、あと、php系の脆弱性、リモートファイルインクルージョンなども止めてくれますよね。あとシェルコードもある程度は止めてくれるかもしれないですね。シェルの中身そのものでシグネチャが作動するかもしれないです。

──スクリプトを使ったどこでもいい攻撃も止めてくれる

ターゲットがどこでもいい攻撃の場合はちょっとでも失敗して、次いってくれたらそれでもうオッケーなわけなんです。完全に防ぎきらなくても途中でちょっとコケて、攻撃側もちょっと直せば突破できるんだけど、そこまでは面倒だからしないっていうのはわりと多そうなんで、他よりは少し安全にしておくだけでもかなり攻撃に遭いにくくはなりますよね。まあ執拗に狙われたらダメですけど。

──WAFが入ってるってわかった時点で他に行こうという気になりそうです

そこで燃える人とよそ行く人がいると思うんですけど、どこでもいい攻撃はよそに行きますね。そこで燃えても得るものが少ないですからね。

（聞き手・文：山本洋介山）