IPAなどの注意喚起情報では間に合わない～脆弱性を狙う攻撃とその対策（EGセキュアソリューションズ、ジェイピー・セキュア）

HASHコンサルティングとJP-Secureは、東京・新橋において「危険な脆弱性にいかに対処するか実践的ウェブサイト防衛」をテーマとした無料セミナーを4月26日に開催した。

研修・セミナー・カンファレンスセミナー・イベント

2017.5.22 Mon 8:15 PR

「丁寧な対策と高性能なWAFが有効」 EGセキュアソリューションズ株式会社代表取締役徳丸浩氏全 9 枚拡大写真

●丁寧な対策による時間稼ぎが非常に有効

こうした脆弱性の悪用被害を防ぐには、パッチの適用やアップデートが基本となる。一般的には、パッチは脆弱性や不具合の修正、アップデートは機能の追加というイメージだが、脆弱性悪用被害の軽減のために「機能追加を伴わないアップデート」も存在すると徳丸氏は指摘。この場合はそれまでの最新版を導入していないと適用されないケースがある。

CMSは数十個のプラグインを入れているケースが多く、本体のバージョンアップによりプラグインが動かなくなることもある。そのため検証が必要になるが、脆弱性対策は時間との闘いになる。そこで徳丸氏はWAFの有効性についても説明した。WAFにもさまざまなタイプがあるが、HASHコンサルティングでも扱っているソフトウェア型のWAF「SiteGuard（サイトガード）」は、S2-045のアドバイザリ公開直後にシグネチャが配信されている。これまで紹介した事例も、高性能なWAFを導入していれば防げたかも知れないと徳丸氏は話す。

もちろん、WAFだけ導入すれば対策できるというものではない。徳丸氏は、日本テレビが被害を受けた際の第三者報告書が素晴らしいと絶賛した。報告書では3段階で行われた攻撃のひとつに「ケータイキット最新版におけるOSコマンドインジェクションの未知の脆弱性を利用し、本件システムへ遠隔操作プログラムを設置」を挙げているが、「もっとも、未知の脆弱性という点を措いても、その他の情報セキュリティ施策が有効に機能していれば避けられた事故であったともいえる」と書かれている。

徳丸氏は、セキュリティ対策機器の設定はもちろん、プログラム言語において不要な呼び出し関数の実行制限をすることや、Webサーバのアカウントのアクセス権の制限、不要なファイルの設置を検出する仕組み、重要なデータの暗号化など、できる対策は数多くあり、これらを丁寧に行うことで、攻撃を完全に防ぐことはできなくても時間を稼ぐことができ、それは対策として有効であるとした。また、日頃から情報収集を欠かさないことも重要であるとした。

セミナーでは徳丸氏の講演のほか、SiteGuardを提供するJP-Secureの矢次弘志氏による「ウェブサイトを守る『SiteGuardシリーズ』のご紹介」も行われた。SiteGuardはソフトウェア型のWAFであるためインフラを問わず、性能はハードウェアにより向上できることが特長。また、初期設定が容易なため半日での導入が可能だ。さらに、独自のラボやラック社との技術提携によって、IPAなどの注意喚起情報よりも早くシグネチャが配信される。脆弱性対策に有効なソリューションとなっている。