WAFで防御できるWebシステムを狙ったサイバー攻撃16選
WAF(Web Application Firewall)はWebシステムを狙ったサイバー攻撃の防御に有効とされるセキュリティシステムです。近年高度なサイバー攻撃が実行され、ファイアーウォールやIPSといった他のセキュリティシステムでは防御が困難な手口が増えてきました。
WAFは他のセキュリティシステムと違ったレイヤーで防御をおこない、Webシステムを狙ったサイバー攻撃対策を強化するための解決策として導入がすすんでいます。
そこで今回はWAFで防御が期待できるWebシステムを狙ったサイバー攻撃を16選紹介します。
- 1. WAFの機能
- 1.1. ブロック機能
- 1.2. モニタリング機能
- 1.3. ログ機能
- 1.4. 特定URL除外機能
- 1.5. レポート機能
- 1.6. IPレピュテーション機能
- 2. WAFで防御できるWebシステムを狙ったサイバー攻撃
- 2.1. DoS攻撃
- 2.2. DDoS攻撃
- 2.3. ポートスキャン
- 2.4. 中間者攻撃
- 2.5. エクスプロイト攻撃
- 2.6. パスワードリスト攻撃
- 2.7. コマンドインジェクション
- 2.8. SQLインジェクション
- 2.9. XMLインジェクション
- 2.10. XPathインジェクション
- 2.11. ローカルファイルインクルージョン
- 2.12. リモートファイルインクルージョン
- 2.13. サーバーサイドインジェクション
- 2.14. CRLFインジェクション
- 2.15. HTMLインジェクション
- 2.16. 強制ブラウジング
- 3. まとめ
WAFの機能
WAFには、通信を監視・制御する以下の機能があります。
ブロック機能
WAFでは、Webシステムを狙ったサイバー攻撃の攻撃パターンを攻撃を検出するルールに記録し、攻撃パターン検出した場合は、通信をブロックします(ブラックリスト方式)。攻撃パターンは最新のサイバー攻撃に対応できるように更新します。
また、正当の通信パターンをシグネチャに記録し、正当のパターンのみを受信する(ホワイトリスト方式)こともできます。サイバー攻撃は次々に新しいパターンが生まれてきますので、ホワイトリスト方式は今までにない攻撃パターンに対抗する手段となります。
モニタリング機能
WAFでは、Webシステムを狙ったサイバー攻撃の攻撃パターンを記録し、不正な通信パターンを検出した場合、記録していく機能があります。
ログ機能
モニタリングされた不正な通信パターンは記録され、必要に応じて閲覧することができます。
特定URL除外機能
特定URL除外機能は、チェックが不要なURLを特定して、チェックから除外する機能です。WAFはブロック機能で通信の内容をチェックしますので、その分処理に時間がかかります。特定URL除外機能は、ブロック機能によるレーテンシーを改善します。
レポート機能
サイバー攻撃対策には記録と分析が重要です。WAFにはモニタリングとログ機能で記録されたサイバー攻撃の件数や攻撃内容(攻撃元・攻撃種類・攻撃がおよぼす影響など)を統計し、わかりやすく管理画面でレポートとしてまとめる機能をそなえているシステムがあります。
IPレピュテーション機能
IPレピュテーション機能は、攻撃で利用されているIPアドレスなど、評価の低いIPを収集して配信するものです。
WAFで防御できるWebシステムを狙ったサイバー攻撃
近年巧妙化するWebシステムを狙ったサイバー攻撃に対抗するためにWAFは効果的なセキュリティシステムとして導入が進んでいます。WAF製品は数多くのベンダーから提案されており、対応するサイバー攻撃は異なります。
ここでは、一般的にWAFによって防御が期待されるWebシステムを狙ったサイバー攻撃を紹介します。
DoS攻撃
DoS(Denial of Service)攻撃とは、悪意のある攻撃者が脆弱性のあるWebサイトやサーバに不正なデータを送りつけてエラーを起こしたり(脆弱性型)、大量なデータなどを送り付け、処理に大きな負担をかけ(フラッド型)、通常の稼働を妨害するサイバー攻撃です。
WAFは、DoS攻撃の不正なアクセスを感知しブロックし、攻撃による被害の拡大やデータの流失を防ぎます。
DDoS攻撃
DDoS(Distributed Denial of Service attack)攻撃とは、DoS攻撃のひとつで、悪意のある攻撃者が複数の機器から攻撃対象のサーバやネットワークにDoS攻撃を実行することで攻撃対象をかく乱させ、サービスの妨害を拡大するサイバー攻撃です。
DDoS攻撃では、悪意のある攻撃者が、無関係な個人のパソコンをウイルスに感染させ、そのパソコンを踏み台にして攻撃を仕掛ける手口が主流になっています。複数の無関係なパソコンから同時に攻撃がおこなわれるため、被害が拡大するとともに、悪意のある攻撃者が特定しにくい特徴があります。
DoS攻撃同様、WAFは、DDoS攻撃の不正なアクセスを感知しブロックし、攻撃による被害の拡大やデータの流失を防ぎます。
ポートスキャン
ポートスキャンとは、Webサイトへのサイバー攻撃やサイトへの侵入の前に、悪意のある攻撃者が行う、ターゲットにしているサイトの各ポートにおけるサービス状態の調査のことです。
ポートスキャンは、不正なアクセスを目的に設計された自動ツールによって実施され、数多くのホストネットワークサービスポートに順次アクセスされ、各ポートに対応するサービスにあるセキュリティ上の弱点を見つけ出します。
万が一、ポートスキャンを検出した場合は、発信源を特定して、悪意のある攻撃者からの攻撃が行われる前にWAFでブロックすることが重要です。
中間者攻撃
中間者攻撃とは、悪意のある攻撃者が、企業のシステムとサーバが行う通信の間に入り込み読み取りや改ざんをすることをさします。中間者攻撃が成功すると、企業はサーバに通信しているつもりでも、実は攻撃者に通信を中継されてしてしまうことになります。通信が変わらずおこなわれていることで企業にサーバと問題なく相互認証できていると思わせセキュリティを破ります。
中間攻撃は、社内ネットワークだけでなくWebアプリケーションの脆弱性が狙われるケースがあります。中間者攻撃の対策は暗号化ですので、強度の高い暗号キーやアルドリズムを採用しWAFを運用します。
エクスプロイト攻撃
エクスプロイトとは、ソフトウェアやネットワークなどの開発時において見逃して出来上がってしまったセキュリティ上の穴のようなものです。悪意のある攻撃者はこのエクスプロイトを利用してソフトウェアやネットワークに侵入して、エクスプロイトを窓口にシステム全体にアクセスして攻撃を拡大していきます。WAFを導入することで一般的なエクスプロイト攻撃からWebアプリケーションを防御できます。
パスワードリスト攻撃
パスワードリスト攻撃とは、悪意ある攻撃者がIDとパスワードを入手して、正規のルートからアクセスを行うサイバー攻撃です。IDとパスワードは、複数のサイトで共通のパスワードを使用している場合にセキュリティが脆弱なサイトのひとつから入手され、ターゲットとなるサイトにアクセスされてしまうケースが多くみられます。
WAFによって、パスワードリスト攻撃による被害を抑えることができます。たとえば、同一IPアドレスからのアクセスやログイン回数の感知などの機能があります。
コマンドインジェクション
コマンドインインジェクションとは、WebサーバのOSの脆弱性を悪用して不正にコマンドを実行させる攻撃です。具体的な手口は、外部からデータの入力がおこなわれるWebサイトの入力時のタイミングで、悪意のある攻撃者がシェル機能を操作する文字列を混入させOSを不正に操作します。WAFをコマンドインインジェクション防御のひとつとして活用することができます。
SQLインジェクション
SQLインジェクションとは、悪意のある攻撃者が脆弱性のあるWebサイトに、不正な内容を含むSQL(データベースを操作する代表的なデータベース言語)を注入し、データベースのデータの漏洩や改ざんを引き起こすサイバー攻撃です。脆弱性のあるWebサイトの検索フォームなどに、SQL文を入力して検索することで、SQLによって不正な操作が実行されてしまいます。
WAFは、SQLインジェクションを検出しWebサイトを保護します。
XMLインジェクション
XMLはデータの管理ややりとりをわかりやすくするために使用される代表的なマークアップ言語です。XMLインジェクションとは、悪意のある攻撃者がXMLドキュメントに特殊文字を挿入することで、ドキュメントを無効にしたり改ざんしたりする攻撃です。WAFはアプリケーションレベルでデータの中身を解析しXMLインジェクションを防御します。
XPathインジェクション
XPathインジェクションは、XMLドキュメントを参照するための言語に不正な入力により、不正なXpathクエリーを発行させる攻撃です。SQLインジェクションと同様にエスケープ処理の不備により発生する脆弱性をターゲットにします。WAFはアプリケーションレベルでデータの中身を解析しXPathインジェクションを防御します。
ローカルファイルインクルージョン
ローカルファイルインクルージョンでは、ターゲットとする脆弱性のあるシステム内で行われるファイルのインクルード(ファイル内容の取り込み)の際に正当なファイルではなく不正なファイルを読み込ませて、不正な処理やデータの窃取などをおこないます。WAFは、ローカルファイルインクルージョンからWebサイトを防御します。
リモートファイルインクルージョン
リモートファイルインクルージョンでは、ターゲットとする脆弱性のあるシステムが外部のファイルをインクルードする際に悪意のある攻撃者が作成した不正なファイルをインクロードさせ、不正な処理やデータの窃取などをおこないます。WAFは、リモートファイルインクルージョンからWebサイトを防御します。
サーバーサイドインジェクション
サーバーサイドインジェクションはサーバサイトを対象としたクロスサイトスクリプティング攻撃です。サーバを狙ったサイバー攻撃のため攻撃が実行されると大きな被害を受ける可能性があります。WAFは、サーバーサイドインジェクションからWebサイトを防御します。
CRLFインジェクション
CRLFインジェクションとは、HTTPレスポンスヘッダやメールヘッダーなどに、悪意のある攻撃者が改行コードなどの不正なコードを挿入することで、不正なヘッダーフィールドやボディを追加する攻撃です。
CRLFインジェクション対策では、外部から入力されたデータをサーバのレスポンスヘッダに入れなくて済むように仕様を見直すことがひとつの方法です。WAFによってセキュリティを向上させることも対応策になります。
HTMLインジェクション
HTMLインジェクションとは、悪意のある攻撃者が脆弱性のあるWebサイトに不正なデータを送りHTMLとして表示させることで、不正な内容を含む、データベースのデータの漏洩や改ざんを引き起こすサイバー攻撃です。
WAFによってセーフティネットを構築することで、HTMLインジェクション攻撃を受けた時の影響を低減できます。
強制ブラウジング
強制ブラウジングとは、悪意のある攻撃者がさまざまなURLを使ってターゲットにアクセスを実行して、認証をクリアしなければアクセスできない機密情報などのコンテンツにアクセスするサイバー攻撃です。強制ブラウジングは、WAFを活用することで防御しやすくなります。
まとめ
サイバー攻撃は巧妙化・多様化しており、完全な防御はいまだ難しいのが現状です。WAFについても同様で、今回紹介したWebシステムを狙ったサイバー攻撃を100%完璧に防御できるものではありません。
それぞれのサイバー攻撃に対して、できうる対策をおこない、なおかつ最新の情報をキャッチしながら、対策を更新していくことが重要です。WAFはファイアーウォールやIPSでは防御できない攻撃に対して対応できるため検討すべきセキュリティシステムといえるのではないでしょうか。