1. HOME
  2. Blog
  3. Blog
  4. 【コラム】情報漏えいやホームページ改ざんに「WAF」が有効な理由

Info.

お知らせ

Blog

【コラム】情報漏えいやホームページ改ざんに「WAF」が有効な理由

インターネットが一般的になった現在、ほとんどの企業や組織、団体などがホームページを持つようになりました。このホームページが、サイバー攻撃者の標的になっています。正確には、ホームページ用のファイルが格納されているWebサーバーへのサイバー攻撃が行われています。このサイバー攻撃によって、個人情報の漏えいやホームページの改ざん、DoS(あるいはDDoS)攻撃といった被害を受けてしまいます。ここでは、ホームページへのサイバー攻撃とその対策について紹介します。

ホームページへの代表的な3つの攻撃

情報漏えいは、ショッピングサイトやユーザー登録が必要なコンテンツを提供しているホームページ対象に、その裏にあるデータベースから個人情報などを抜き出すサイバー攻撃により発生します。この場合、漏えいした個人への損害賠償や、お詫び状の発送費用、新聞などへのお詫び広告の掲載、問い合わせ対応体制の整備、法律相談費用、原因の究明や再発防止のための費用、クレジットカードの再発行費用、さらにはサイトの停止による逸失利益など、多額の損害を被ることになってしまいます。

「うちのホームページは、単純に情報を公開しているだけ。個人情報などを収集していないので、情報漏えいの被害に遭わない」というケースもあるでしょう。しかし、ホームページの改ざんは、どのようなホームページでも被害に遭う可能性があります。改ざんといっても、以前のように怪しい画像に差し替えられたというような被害はほとんどなく、現在は改ざんされても見た目では全く変化がありません。

見た目は変わりませんが、ホームページを表示するプログラムに、短いスクリプトが書き加えられています。このスクリプトは、ホームページの訪問者のシステムに脆弱性がある場合、それを悪用してマルウェアをダウンロードさせたりします。サイバー攻撃者はスパムメールやフィッシングメールで、改ざんしたホームページに誘導し、マルウェアに感染させたりするわけです。このケースでも、被害者のはずのホームページが、マルウェアに感染させる攻撃者にされてしまうのです。

DoS(あるいはDDoS)攻撃は、特定のホームページに対して大量のリクエストを送りつけ、そのページを応答不能にしてしまうサイバー攻撃です。ショッピングサイトなどは営業が停止してしまいますし、サービスを提供している場合も同様です。そこでサイバー攻撃者は、攻撃をやめる代わりに金銭を要求するわけです。

サイバー攻撃はWebアプリケーションの脆弱性を狙う

これらのサイバー攻撃には、さまざまな手法があります。しかし、現在主流となっているのは、脆弱性を悪用する攻撃です。たとえば、Webサーバーで動作しているWebアプリケーションに「SQLインジェクション」の脆弱性があると、外部からデータベースを操作され、情報を盗み出されてしまいます。また、「認証回避」や「バッファオーバーフロー」などの脆弱性は、ホームページの改ざんに悪用されてしまいます。さらにDoS状態を引き起こされる脆弱性もあります。

Webアプリケーションには、多くの脆弱性が確認されています。特に、「WordPress」や「Joomla!」「Drupal」などの「CMS(Contents Management System)」の脆弱性が多くなっています。CMSは、もともとブログシステムを構築するためのアプリケーションでしたが、ホームページの更新や管理にも適しており、そのためのプラグインやアドオンも数多く提供されています。つまり、サイバー攻撃の対象となるWebアプリケーションが非常に多いわけです。

脆弱性が公表されると、開発元はその脆弱性を解消するためのパッチやアップデートを公開します。これらをすぐに適用すれば、脆弱性を解消できます。しかし、Webサーバーでは多くのWebアプリケーションが動作しており、複雑に影響し合っています。このため、パッチやアップデートによって他のアプリケーションに不具合が生じる可能性もあります。不具合を回避するには、テスト環境での検証が必要ですが、なかなか時間が取れないのが現状です。その結果、脆弱性が放置されることになってしまい、サイバー攻撃の被害に遭ってしまうわけです。

Webアプリケーションの保護に特化した「WAF」

日本では、企業などのほとんどがセキュリティ対策として、ファイアウォールやIDS/IPSを導入しています。しかし、これらはWebアプリケーションの層であるレイヤ7(L7)まではカバーできません。かといって、次々に公表される脆弱性にすぐに対応したいところですが事前に動作確認など必要となりすぐに対応することが難しい場合があります。そこで有効とされているのが「WAF(Webアプリケーション・ファイアウォール)」です。

WAFは、文字通りにWebアプリケーションに特化したセキュリティ対策機器で、その大きな特徴に「仮想パッチ」があります。脆弱性が発見されると、サイバー攻撃者はその脆弱性を悪用する「攻撃コード」を作成し、これをWebサーバーに送りつけることで攻撃を行います。WAFは、さまざまな脆弱性に対応する攻撃コードをシグネチャとして持っており、これに該当する攻撃が行われた際に、その通信を無効化します。

つまり、脆弱性が解消されていなくても、それを悪用しようとする攻撃を検知し無効にすることで、パッチをあてたことと同じ状態にするわけです。システム担当者などは、WAFで攻撃を防いでいる間に正式なパッチやアップデートのスケジュールを立て、検証を進めることができます。

WAFはこれまで高価であり、管理や運用にも専門知識が必要とされていました。しかし、クラウド型の登場でコストの面でも管理・運用の面でも企業などの負荷が大幅に軽減されました。WAFの機能がクラウド上のサービスとして提供されるので、機器の導入やネットワークの変更などの必要がなく、早期な導入が実現でき、シグネチャをはじめとする管理や運用もサービスの提供側が行います。サイバー攻撃により企業などが深刻なダメージを受けないためにも、WAFはセキュリティ対策に必要不可欠なものとなっていくと考えられます。

 

Related posts