セキュリティとストレージのリーディングカンパニー|バラクーダ > ブログ > Web Application Firewall > アプリケーションセキュリティの最新情報

アプリケーションセキュリティの最新情報
TUSHAR RICHABADAS

2016年09月15日

100年分に近い『TIME』誌が無料公開

「情報の自由化を訴える活動家が、100年分に近い『TIME』誌を有料のデジタルアーカイブからダウンロードし、誰でも無料で読めるようにオンラインで公開しました。」

活動家であるBest氏は、『TIME』誌のアーカイブである「The Vault」を閲覧した際、URLが発行日とページ番号というシンプルな形式であることに気付きました。Best氏はこの情報から各号とページのURLを探し出し、DownThemAllというツールを使ってページのスクレイピングを行ったのです。

 ポーランドの通信会社であるNetiaで大規模なデータ流出が発生し、30万人の顧客情報が漏えい

ポーランド第2位の規模を誇る通信会社Netiaにおいて、深刻なデータ流出が発生しました。30万人を超える顧客の個人情報が漏えいしたとみられています。

Netia社は7月7日、公式Webサイトがハッカー攻撃を受け、顧客からの問い合わせや新規サービスのオンライン契約に使用されるオンラインフォーム2種類が悪用されました。

Webフォームの脆弱性を突いたハッカーは、顧客アカウントに関連付けられているセッションIDが記録されているログファイルにアクセスした模様です。セッションIDを使用すれば、ユーザ認証なしでNetiaのSQLデータベースにアクセスできます。

BMW Webポータルがゼロデイ攻撃の標的になり、顧客の車両設定が改ざん

BMWの車には、ConnectedDriveというインフォテイメントシステムが搭載されています。このシステムは車内での使用はもちろん、さまざまなモバイルアプリを接続することで、モバイルデバイスから車両設定を管理できます。さらには、モバイルアプリだけでなくWebからも使用できます。

第1の問題は、セッションの脆弱性により、他人のVIN(車両ID番号)にアクセスできるという点です。

第2の問題は、ポータルのパスワードリセットページにXSS(クロスサイトスクリプティング)のバグが存在するという点です。

このXSSのバグを悪用することにより、ブラウザCookieの窃取、CSRF攻撃、フィッシングといったWeb攻撃へとつながる恐れがあります。

現在、Webアプリケーション攻撃が増加しています。今月は、さまざまな業界を対象に、さまざまな動機で仕掛けられた攻撃について解説しましょう。『Time』誌の攻撃は、有料サイトに反対する活動家が行いました。Netia社の事件は、データを販売したい人物によるハッキングでした。BMWの脆弱性は、リサーチャが発見し、3つのうち2つは悪意のある攻撃でした。これらはすべて、十分な時間とリソースを割いてテストとパッチの適用を継続して行っていれば防げた攻撃ではありますが、時間とリソースにはコストがかかるのも事実です。

Web、モバイル、APIアプリケーションで継続的に脆弱性をチェックする作業は簡単ではありません。Netia社の事件からわかるように、サイトはセキュリティ保護されていたにもかかわらず、Webフォームに脆弱性があったため、機密性の高いデータが窃取されてしまいました。Barracuda Web Application Firewallは、Web、モバイル、APIアプリケーションのセキュリティ保護作業を簡素化します。サーバの前面に配置することで、すべてのトラフィックを検査し、あらゆるアプリケーション攻撃を阻止します。URL暗号化により、機密性の高いURLはサイト閲覧者に公開されません。これにより、『Time』誌のようなハッキングを回避できます。Webフォームを保護し、セッションIDを暗号化して、XSSスクリプティングなどのOWASP攻撃をブロックします。

ところが、Webアプリケーションを簡単にセキュリティ保護できる方法があります。Barracuda Web Application Firewallがあれば、Webアプリケーションを簡単に保護し、安心して運用できます。WebアプリケーションをBarracuda Web Application Firewallで保護すれば、HTTPSフロントエンドを簡単にセットアップでき、完全なアプリケーションセキュリティが実現します。Barracuda Web Application Firewallの完全なセキュリティ保護機能は、あらゆるWeb攻撃(DDoSやWebスクレイピングなど)に対抗できます。また、物理アプライアンス、仮想アプライアンス、Azure、AWS、vCloud Airをはじめ、複数の導入オプションが用意されています。お客様の環境で30日間無料でお試しいただけます。

今年の初め、バラクーダネットワークスはBarracuda Vulnerability Managerのリリースを発表しました。これはWebサイトやアプリケーションに存在する脆弱性を評価するツールであり、Barracuda Web Application Firewallと簡単に統合できます。このツールは、バラクーダネットワークスのお客様と認定リセラーを対象に、期間限定で無償で提供されます。今すぐ、Barracuda Cloud Controlでお試しいただけます。


タッシャー・リチャバダス(Tushar Richabadas)は、Barracuda Web Application Firewallチームのプロダクトマネージャであり、インドオフィスで働いています。タッシャーにつながりたい方は、LinkedInからどうぞ。

※本内容はBarracuda Product Blog 2016年8月1Application Security Newsを翻訳したものです。


コラム(バラクーダブログ)一覧へ

お問い合わせ

CONTACT