セキュリティとストレージのリーディングカンパニー|バラクーダ > ブログ > Web Application Firewall > アプリケーションセキュリティの最新情報 - 8月

アプリケーションセキュリティの最新情報 - 8月
Tushar Richabadas

2016年10月24日

IRC制御を使ったWordPressボットネットの背後にドイツ人男性

WordPress Webサイトをボットネットに接続しIRCチャネルを使って制御していた一連の事件について、犯人はドイツ人男性だった可能性が高くなりました。

現在のところ、Webサイトの攻撃の詳細はわかっていません。WordFence(WordPress向けのセキュリティ製品を提供するベンダ)によると、このハッカーはWebサイトへのアクセス権限を手に入れ、25,000行のコードを含むPHPファイルをすべてのWebサイトに追加したようです。

PHPファイルはボットクライアントであり、IRC(Internet Relay Chat)サーバに接続した後、メインチャットに投稿されるコマンドをリッスンします。ボットネットの所有者がログインしてコマンドを実行すると、感染Webサイトすべてがそれを実行します。

WordFenceはボットクライアントの技術的な機能について詳細を明らかにしていませんが、ボットネットを使ったDDoS攻撃、ブルートフォース攻撃、SEOスパムの挿入、感染サーバからのスパムメールの送信などに悪用できる可能性があるとのことです。

・・・


Webサイトへのハッキングに気付いた後、Webマスターはパスワードのクラッキングを試みますが、ほとんどが無駄に終わります。Google検索によると、このような要求は2012年12月から始まっているので、攻撃用ボットネットはほぼ4年前に登場したことになります。

LinkedInが匿名データスクレイパーを告訴

LinkedInは匿名スクレイパーを告訴しています。このようなスクレイパーには、大規模ボットネットの構築を目的にしたものや、サードパーティによるプロフィール収集を防止するためにLinkedInが適用している制限の迂回を行うものがあります。

訴訟では、LinkedInが提供するデータ自動収集ツールの詳細が明らかになっています。Dubbed FUSE、Quicksand、Sentinelといったツールは、LinkedInユーザのWebトラフィックを監視し、ユーザが閲覧できるプロフィール数、プロフィールを閲覧する速度などを制限します。このようなトラッキング機能は、偽のLinkedInプロフィールを登録して大量のデータを収集しようとするスクレイパーを阻止することが目的です。また、Org Blockというツールは、スクレイピングが疑われるIPアドレスをブロックし、Member and Guest Request Scoringを使ってページ要求をトラッキングします。

一方でLinkedInは、スクレイピングを全面的に禁止するつもりはありません。Googleをはじめとする検索エンジンはボットを使ってWebサイトのインデックスを作成しているので、このようなタイプのスクレイピングは許可したいのです。

・・・

Craigslistと3Tapsの裁判FacebookとPower Venturesの裁判のように、CFAAの訴訟では原告が有利になるので、LinkedInがスクレイパーを撃退できる可能性は大いにあります。この夏には、Twitchがview-botsを相手取ってCFAA訴訟を起こしました。このライブストリームサイトはTwitchの「保護対象コンピュータ」に不正アクセスし、チャネルの視聴数を不当に釣り上げていたのです。これ以外にも、Twitchの訴えには商標の侵害なども含まれています。

企業が一部のボットを撲滅したいと考えていることは明白です。一方で、検索エンジンや、Wayback MachineなどのWebアーカイブサービスによるスクレイピングは歓迎したいのです。このような2極化は競争を制限するビジネス環境につながるのではないか、と電子フロンティア財団(Electronic Frontier Foundation)は論じています。

出典:DarkReading:Hacking Lunch

8月は、Webセキュリティに関する興味深いニュースが多い月でした。たとえば、オーストラリアの国勢調査Webサイトの攻撃、LinkedInをターゲットにしたWebスクレイパー攻撃、SWEET32 openSSLの脆弱性、ダークWebマーケットプレイスに16ほどのゼロデイ攻撃が追加されていることが判明した調査などがあります。Webアプリケーションを標的にした攻撃は、Webサイト、モバイルアプリケーション、APIアプリケーションを問わず増加を続けています。攻撃者はWebアプリケーションを攻撃する新たな方法を研究し、利益を得ようとしています。パッチや修正を適用し、アプリケーションを攻撃から保護する作業は、ますます難しくなっています。

Webアプリケーションの保護は、手間のかかる作業です。OSとWebアプリケーションソフトウェア両方について、ソフトウェアバグの最新情報をチェックし、アップデートがリリースされたら、できるだけ早急にテストして導入しなければなりません。また、アップデートをサイトに適用できない場合は、元に戻し、問題の修正とアップデートが完了するまでサイトを監視しなければなりません。

ところが、Webアプリケーションを簡単にセキュリティ保護できる方法があります。Barracuda Web Application Firewallがあれば、Webアプリケーションを簡単に保護し、安心して運用できます。WebアプリケーションをBarracuda Web Application Firewallで保護すれば、HTTPSフロントエンドを簡単にセットアップでき、完全なアプリケーションセキュリティが実現します。Barracuda Web Application Firewallの完全なセキュリティ保護機能は、あらゆるWeb攻撃DDoSWebスクレイピングなど)に対抗できます(PDF)。また、物理アプライアンス、仮想アプライアンス、Azure、AWS、vCloud Airをはじめ、複数の導入オプションが用意されています。お客様の環境で30日間無料でお試しいただけます。


タッシャー・リチャバダス(Tushar Richabadas)は、Barracuda Web Application Firewallチームのプロダクトマネージャであり、インドオフィスで働いています。タッシャーにつながりたい方は、LinkedInからどうぞ。

※本内容はBarracuda Product Blog 2016年8月26日Application Security News for Augustを翻訳したものです。


コラム(バラクーダブログ)一覧へ

お問い合わせ

CONTACT