IPAなどの注意喚起情報では間に合わない~脆弱性を狙う攻撃とその対策(EGセキュアソリューションズ、ジェイピー・セキュア) 3ページ目 | ScanNetSecurity
2024.06.26(水)

IPAなどの注意喚起情報では間に合わない~脆弱性を狙う攻撃とその対策(EGセキュアソリューションズ、ジェイピー・セキュア)

HASHコンサルティングとJP-Secureは、東京・新橋において「危険な脆弱性にいかに対処するか 実践的ウェブサイト防衛」をテーマとした無料セミナーを4月26日に開催した。

研修・セミナー・カンファレンス セミナー・イベント
PR
「丁寧な対策と高性能なWAFが有効」 EGセキュアソリューションズ株式会社 代表取締役 徳丸 浩 氏
「丁寧な対策と高性能なWAFが有効」 EGセキュアソリューションズ株式会社 代表取締役 徳丸 浩 氏 全 9 枚 拡大写真
●丁寧な対策による時間稼ぎが非常に有効

こうした脆弱性の悪用被害を防ぐには、パッチの適用やアップデートが基本となる。一般的には、パッチは脆弱性や不具合の修正、アップデートは機能の追加というイメージだが、脆弱性悪用被害の軽減のために「機能追加を伴わないアップデート」も存在すると徳丸氏は指摘。この場合はそれまでの最新版を導入していないと適用されないケースがある。

CMSは数十個のプラグインを入れているケースが多く、本体のバージョンアップによりプラグインが動かなくなることもある。そのため検証が必要になるが、脆弱性対策は時間との闘いになる。そこで徳丸氏はWAFの有効性についても説明した。WAFにもさまざまなタイプがあるが、HASHコンサルティングでも扱っているソフトウェア型のWAF「SiteGuard(サイトガード)」は、S2-045のアドバイザリ公開直後にシグネチャが配信されている。これまで紹介した事例も、高性能なWAFを導入していれば防げたかも知れないと徳丸氏は話す。

もちろん、WAFだけ導入すれば対策できるというものではない。徳丸氏は、日本テレビが被害を受けた際の第三者報告書が素晴らしいと絶賛した。報告書では3段階で行われた攻撃のひとつに「ケータイキット最新版におけるOSコマンドインジェクションの未知の脆弱性を利用し、本件システムへ遠隔操作プログラムを設置」を挙げているが、「もっとも、未知の脆弱性という点を措いても、その他の情報セキュリティ施策が有効に機能していれば避けられた事故であったともいえる」と書かれている。

徳丸氏は、セキュリティ対策機器の設定はもちろん、プログラム言語において不要な呼び出し関数の実行制限をすることや、Webサーバのアカウントのアクセス権の制限、不要なファイルの設置を検出する仕組み、重要なデータの暗号化など、できる対策は数多くあり、これらを丁寧に行うことで、攻撃を完全に防ぐことはできなくても時間を稼ぐことができ、それは対策として有効であるとした。また、日頃から情報収集を欠かさないことも重要であるとした。

セミナーでは徳丸氏の講演のほか、SiteGuardを提供するJP-Secureの矢次弘志氏による「ウェブサイトを守る『SiteGuardシリーズ』のご紹介」も行われた。SiteGuardはソフトウェア型のWAFであるためインフラを問わず、性能はハードウェアにより向上できることが特長。また、初期設定が容易なため半日での導入が可能だ。さらに、独自のラボやラック社との技術提携によって、IPAなどの注意喚起情報よりも早くシグネチャが配信される。脆弱性対策に有効なソリューションとなっている。
  1. «
  2. 1
  3. 2
  4. 3

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 発覚後も繰り返し攻撃が行われる ~ KADOKAWA グループへのランサムウェア攻撃

    発覚後も繰り返し攻撃が行われる ~ KADOKAWA グループへのランサムウェア攻撃

  2. 大田区の委託先にランサムウェア攻撃、がん検診受診券の画像データが流出した可能性

    大田区の委託先にランサムウェア攻撃、がん検診受診券の画像データが流出した可能性

  3. ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性

    ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性

  4. 今日もどこかで情報漏えい 第25回「2024年5月の情報漏えい」“いたずらに混乱” しているのは誰

    今日もどこかで情報漏えい 第25回「2024年5月の情報漏えい」“いたずらに混乱” しているのは誰

  5. 「プレミアムバンダイ」会員情報漏えいの可能性、委託先従業員が私物ハードディスクを使用

    「プレミアムバンダイ」会員情報漏えいの可能性、委託先従業員が私物ハードディスクを使用

  6. ダイセルのフランス法人にランサムウェア攻撃、現時点で情報流出確認されず

    ダイセルのフランス法人にランサムウェア攻撃、現時点で情報流出確認されず

  7. グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

    グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

  8. 複数のトレンドマイクロ製品に複数の脆弱性

    複数のトレンドマイクロ製品に複数の脆弱性

  9. 東京都の再委託先がフォームを誤設定、スマホサポーターの個人情報が閲覧可能に

    東京都の再委託先がフォームを誤設定、スマホサポーターの個人情報が閲覧可能に

  10. WordPress用プラグイン SiteGuard WP Plugin に変更したログインパスが漏えいする脆弱性

    WordPress用プラグイン SiteGuard WP Plugin に変更したログインパスが漏えいする脆弱性

ランキングをもっと見る