「Equifaxの大規模データ流出をWAFが阻止」になるはずが、そうならなかった理由

セキュリティとストレージのリーディングカンパニー > ブログ > バラクーダネットワークス > 「Equifaxの大規模データ流出をWAFが阻止」になるはずが、そうならなかった理由

「Equifaxの大規模データ流出をWAFが阻止」になるはずが、そうならなかった理由
Tushar Richabadas

2017年11月09日

ハッキングの被害に遭ったことのない50%のアメリカ人にとって、Equifaxの事件は、毎日報道されるニュースやスキャンダルの中で特に目を引くものではありません。

Equifaxが最初にハッキングの被害に遭ったのは、3月の初旬でした。現在明らかになっている詳細情報によると、攻撃の対象となったのは、銀行などの金融機関がEquifaxとのインタラクションに使用していたAPIでした。ところが、被害の範囲はわずか数人と小規模でした。その後、5月中旬と6月29日に大規模なハッキングが発生します。このハッキングにより、およそ1億4,300万件のレコードが流出したのです。ハッキングに気付いたEquifaxは社外組織と対応にあたり、9月8日にデータ流出を発表しました。

データ流出の後、事態をさらに悪化させる問題が複数浮上したのです。

最初に問題となったのは、ハッキングの有無を特定するためにEquifaxが立ち上げたサイトです。このサイトのドメイン名は、フィッシングサイトのURL(equifaxsecurity2017.com)に類似していました。これは平凡なWordPressサイトであり、管理者ユーザデータベースは広く公開されています。このサイトでは、ユーザのSSNの末尾9桁と姓を収集していました。最初の3桁がエリア番号だとすると、このデータも窃取されている場合には、サイトの使用には注意が必要です。このサイトではCloudflareが無料で提供するSSL証明書が使用されていたのですが、フィッシングサイトであるとしてOpenDNSにブロックされ、その後しばらくたって修正が行われました。

9月9日、EquifaxのWebサイト上にあるStrustsフレームワークに脆弱性が存在し、攻撃の対象となったことが明らかになりました。ところがこの脆弱性は3月に発見されたものであり、修正されていたのです。ハッキングの前にパッチが提供されていたとすると、パッチのテストと適用を迅速に行っていれば、このハッキング事件は回避できたかもしれません。

発表の3日後、Credit Freezeプロセスで新たな問題が発覚しました。というのは、Credit Freezeの設定のためにシステムが生成するPINは、単なるタイムスタンプだったのです。ハッキングの発生後わずか3日ですから、PINのブルートフォース攻撃を行えば、信用枠を凍結したユーザのクレジットレポートを簡単に取得できたはずです。

9月12日、事態はさらに悪化します。信用枠監視のセットアップに使用されているEquifaxのサイトで、反射型のクロスサイトスクリプティングの脆弱性が発見されたのです。この脆弱性を悪用することで、サイトにアクセスしたユーザの個人情報を簡単に窃取できます。

以上の問題はすべて、メインWebサイトに存在する1つの脆弱性が原因でした。Apache Strutsの脆弱性は修正されていますが、サイトにはパッチが適用されていなかったため、攻撃のターゲットとなったのです。そしてこれは、その後何度も問題になっています。つまり、Webサイトにパッチが適用されるまでしばらく時間がかかったため、何度もハッキングの被害に遭ったのです。しかもハッキングは巧妙になり、自動的に攻撃が仕掛けられるようになりました。たとえば、Coastal Credit Unionの事例を考えてみましょう。サイトがハッキングされ、バックドアが仕掛けられましたが、データ流出は起こりませんでした。というのは、ある攻撃者がすべてのサイトで脆弱性をスキャンする自動スクリプトを実行し、このサイトを見つけてハッキングし、後で使えるようにバックドアを残したからです。このような攻撃はますます増加しています。

パッチの適用は必須ですが、テストしてプロダクション環境に適用するまでには時間がかかります。最近のハッカーは、パッチがリリースされるのを待って攻撃を仕掛けます。というのは、リリースノートの内容から、ハッキングを自動化するツールを開発できるからです。この方法を使えば、無数のサイトをハッキングし、広範囲に感染を広げることができるのです。小さなサイトも攻撃対象になりますし、ターゲットは企業サイトだけではありません。Command & Controlサーバを構築し、Sathurbotのようなマルウェアを拡散しようとするハッカーも存在します。

古いソフトウェア脆弱性は、ハッカーにとっては金の成る木です。HeartBleedやShellShockなど、何年も前に修正された脆弱性をスキャンして悪用しようとするハッカーが現在も多数存在します。一方で、発見されたばかりの脆弱性のパッチを適用することは、高速で移動するターゲットを仕留めるようなものです。では、どうすればよいのでしょうか。この課題を解決するのが、Barracuda Web Application Firewallです。Barracuda Web Application Firewallは、Web、モバイル、APIベースのアプリケーションを、OWASPトップ10やアプリケーションDDoSなどあらゆるアプリケーション攻撃から保護します。ネガティブモデル(シグネチャベース)とポジティブモデル(アプリケーション学習ベース)の両方に対応することで、既知と未知の(ゼロデイ)攻撃に対抗します。導入と保守も簡単なこのソリューションがあれば、第2のEquifaxedになる危険を回避できます。

追加情報

Barracuda Vulnerability ManagerとBarracuda Vulnerability Remediation Service Barracuda Vulnerability Manager(BVM)は、WebサイトとWebアプリケーションに存在する脆弱性を簡単かつ迅速に検知するクラウドベースのソリューションです。Webサイトセキュリティに関する専門知識は必要なく、社内外に存在する脆弱性を的確に把握できます。

Barracuda Vulnerability Remediation Service(BVRS)は、Barracuda Web Application Firewallで無償で提供されるアドオンです。Webアプリケーションポリシーのスキャン、修正、メンテナンスを自動実行します。

Barracuda Cloud Readyイニシアティブ:ワークロード、アプリケーション、データをクラウドに移行することにより、ビジネスニーズへの迅速な対応と拡張が可能になります。バラクーダネットワークスの「Cloud Ready」イニシアティブは、クラウド移行の障害となる要素を排し、安心して迅速かつ経済的にクラウドへと移行できるように皆さまをサポートします。


タッシャー・リチャバダス(Tushar Richabadas)は、Barracuda Web Application Firewallチームのプロダクトマネージャであり、インドオフィスで働いています。

タッシャーにつながりたい方は、LinkedInからどうぞ


*本内容はBarracuda Product Blog 2017年 9月22日 “WAF Prevents Massive Data Breach at Equifax”… The headline that could have been, but wasn’t… を翻訳したものです。


コラム(バラクーダブログ)一覧へ

お役立ち情報満載の資料ダウンロード|機能詳細、導入構成、モデル一覧などお役立ち情報が満載です。

お問い合わせはこちら

03-5436-6235 受付時間 平日9:00〜17:00

Webからのお問い合わせはこちら