終わりが見えないソフトウェア脆弱性

セキュリティとストレージのリーディングカンパニー > ブログ > バラクーダネットワークス > 終わりが見えないソフトウェア脆弱性

終わりが見えないソフトウェア脆弱性
Tushar Richabadas

2017年08月22日

下の図は、2014年にHeartbleed脆弱性の存在が報告/修正されたサーバの台数です。ここで問題なのは、2017年7月現在でも、このようなサーバがインターネットに接続されているという点です。

2016年10月、アンドレイ・レオノフ(Andrey Leonov)氏はFacebookへの侵入に成功したことを報告しました。ImageTragick脆弱性を悪用したコマンドインジェクションにより、侵害に必要な情報が入手可能であることを実証しています。これに対してFacebookはパッチを適用し、アンドレイに報酬を支払いました。ImageTragickは2016年5月に修正されていますが、その5ヵ月後に悪用されたことになります。

2015年9月24日、Shellshock脆弱性のスキャン件数の増大を警告する報告が公開されました。レポートが発表された2015年9年24日当時、この脆弱性が修復されてから丸2年が経過していました。

ほとんどのWebサイトハッキングは、パッチが適用されていない古いソフトウェアを悪用します。ソフトウェアの脆弱性、特にゼロデイ脆弱性は、ほぼ即時の攻撃が可能です。脆弱性を発見したユーザは、攻撃で利益を得ようとする攻撃者に脆弱性情報を「販売」します。攻撃者は、複数の脆弱性を自動攻撃できるキットを開発し、販売します。そしてこのキットを使って、大量のサーバスキャン、脆弱性の特定、ハッキングが行われるのです。また、将来にわたって悪用できるように、ウェブサイト上でバックドアが確保されます。

この1例が、最近急増しているWordPress Webサイトをターゲットにした攻撃です。攻撃を受け、WordPressは既知の脆弱性を修復するパッチをリリースしました。ところが、ツールキットの開発者はパッチをもとに、WordPress Webサイトに存在するあらゆる脆弱性をハッキングするツールキットをわずか数日で開発してしまったのです。また、2017年3月12日と13日、2つのカナダ政府機関サイトがハッキングされ、ダウンした例もあります。この攻撃ではApache Struts脆弱性が悪用されたのですが、この脆弱性はTalosによって3月8日に公開されたばかりでした。いずれの脆弱性を狙った攻撃も、増加を続けています。

パッチを適用していないWebサイト、ソフトウェア、アプリケーションは、必ず存在するものです。パッチやアップグレードによって、既存の機能に不具合が生じる恐れもあります。攻撃されたWordPressサイトでは、古くなってはいるものの、不可欠な機能だからといってプラグインをそのまま使用していた可能性があります。プラグインの開発者はメンテナンスを終了しており、過去2年間にリリースされていたWordPress環境では正常に動作しません。修正には、開発、テスト、導入を新たに行う必要があり、その間Webサイトは何度も危険にさらされることになります。また、小規模なシステム管理チームがIT作業を担当していた可能性もあります。新たにリリースされたパッチは、脆弱性の分析、パッチ適用が必要なシステムの特定、パッチのテストを行ってから、運用環境に適用する、という手順を踏まなければなりません。このような作業には時間と手間がかかるので、小さなチームでは対応しきれない可能性があります。

このようなセキュリティ侵害を簡単に阻止する方法として、Web Application Firewallなどの脆弱性スキャナの使用をお勧めします。Barracuda WAFのようなWeb Application Firewallは、フロントエンドのセキュリティを強化することで、大量の一斉型攻撃であるDDoSとは異なるアプリケーションDDoS攻撃など、あらゆるアプリケーション攻撃を阻止します。脆弱性スキャナは、アプリケーションとWAF構成に存在する脆弱性を検出します。スキャナのレポートをWAFに読み込むことで、あらゆる設定ミスを修正し、Webアプリケーションを完全に保護できます。

現在、ワンクリックで無数のサイトをハッキングできる攻撃キットが販売されています。キットを購入した犯罪者は、恐喝行為、マルウェア感染、さらなる攻撃の踏み台としてWebサイトを悪用します。こういった攻撃の標的になれば、経済的な損失はもちろん、風評被害や企業イメージの低下につながりかねません。ところが、脆弱性にパッチを確実に適用する作業には非常に時間がかかります。Web Application Firewallへの投資には、あらゆる攻撃への対策を簡単に講じることができるだけでなく、浮いた時間と労力をビジネスの成長に投入できるというメリットがあります。

Barracuda Web Application Firewallは、Web、モバイル、APIアプリケーションをあらゆるWeb攻撃から守る最先端Webアプリケーションファイアウォールです。あらゆる攻撃を阻止できる誤検出や検出漏れ対策はもちろん、既知の脆弱性への対策も万全です。

Web Application Firewallの機能をさらに強化するのが、BVRS(Barracuda Vulnerability Remediation Service)です。WAFユーザは、WAFの保護対象となるアプリケーションをBVRSでスキャンします。作成されたスキャンレポートをもとに、WAFのアクティブ構成が生成されます。以上で、WAFの導入と構成プロセスは完了します。

クラウド対応は万全ですか?Barracuda NextGen FirewallBarracuda Web Application Firewall は、Amazon Web Services(AWS)Microsoft Azureで90日間無料で使用できます。


タッシャー・リチャバダス(Tushar Richabadas)は、Barracuda Web Application Firewallチームのプロダクトマネージャであり、インドオフィスで働いています。

タッシャーにつながりたい方は、LinkedInからどうぞ。


*本内容はBarracuda Product Blog 2017年 7月25日 Software vulnerabilities: The gifts that keep on giving を翻訳したものです。


コラム(バラクーダブログ)一覧へ

お役立ち情報満載の資料ダウンロード|機能詳細、導入構成、モデル一覧などお役立ち情報が満載です。

お問い合わせはこちら

03-5436-6235 受付時間 平日9:00〜17:00

Webからのお問い合わせはこちら