Webサイトは弱点だらけ!?「WAF」基礎解説

この記事をtweetする このエントリーをはてなブックマークに追加

製品の基礎をきちんと理解! IT製品解体新書

Webサイトは弱点だらけ!?「WAF」基礎解説

2010/03/15


 Webアプリケーションを狙う攻撃に対しては、WAF(Webアプリケーションファイアウォール)の導入がもっとも効果的である。ただし、WAFが登場した数年前の時点では、製品が高価でチューニングが難しかったことから、その導入は一部の企業に限られていた。しかし、最近になってWAFの低価格化が進み、運用も容易になってきたことから、一般企業の間でも導入が進むものと期待されるようになってきた。そこで今回はWAFの基礎知識から注目機能まで、最新製品がどこまで使いやすくなってきたのか、その全体像を詳しく紹介する。製品の選び方やSaaS型製品については「IT製品選び方ガイド」で紹介しているので、そちらも参考にしてほしい。

WAF

※「WAF/Webサイトは弱点だらけ!?「WAF」基礎解説」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「WAF/Webサイトは弱点だらけ!?「WAF」基礎解説」の記事全文がお読みいただけます。

会員登録はこちら(無料)

WAFの選び方ガイドへ
WAFシェア情報へ


1

WAFを解体しよう!

1-1

Webアプリケーションを狙った攻撃とは?

■Webサイト攻撃の実情

 Webアプリケーション(Webサイト)で個人情報や商品の売買を取り扱う機会が増えてきたことから、最近では決済処理や個人情報を扱うWebサイトを狙った攻撃が目立つようになってきた。Webサイトへの攻撃の現状を把握する情報源として、IPA(独立行政法人情報処理推進機構)では、同機構が無償で公開しているSQLインジェクション検出ツール「iLogScanner」を使った解析事例を公表している。それによると、2009年の1年間で、2008年頃から急増しているSQLインジェクション攻撃が46%、Webサーバのパスワードファイルや環境設定ファイルの情報を狙ったディレクトリ・トラバーサル攻撃が38%を占めている。このように、Webサイトを狙った攻撃が継続していることから、IPAではWebサイト管理者等へWebサーバのアクセスログ調査およびWebサイトの脆弱性検査、および脆弱性対策の早急な実施を推奨する注意喚起を行っている。

図1 SQLインジェクション検出ツール「iLogScanner」での解析事例
図1 SQLインジェクション検出ツール「iLogScanner」での解析事例
出典:ソフトウェア等の脆弱性関連情報に関する届出状況[2009年第4四半期(10月〜12月)]
資料提供:IPA

 また、IPAおよびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)が公表した2009年第4四半期(10月〜12月)の脆弱性関連情報によると、IPAに届出のあったWebサイトの脆弱性の種類は、クロスサイト・スクリプティングが54%、SQLインジェクションが13%で、この2種類だけで実に全体の67%を占めているというデータが示されている。

図2 Webサイトの脆弱性の種類(2009年4Q)
図2 Webサイトの脆弱性の種類(2009年4Q)
出典:ソフトウェア等の脆弱性関連情報に関する届出状況[2009年第4四半期(10月〜12月)]
資料提供:IPA

 Webサイトの情報が盗まれてしまう可能性のあるSQLインジェクションのように深刻度の高い脆弱性でもなかなか修正が行われないケースもある。そのため、次のような事件が数多く発生している。

<近年のWebサイトへの攻撃ニュース>
2008年
  4月 某楽器通販サイト 顧客情報流出
  6月 生活雑貨通販サイト 顧客情報流出
  8月 アウトドア商品通販サイト 個人情報流出
 10月 スポーツ雑誌Webサイト Webサイト改ざん
 11月 オープンソースのショッピングサイト構築システムに個人情報流出の可能性
 12月 東京都障害者サービス情報サイト SQLインジェクションによる改ざん
2009年
  2月 セキュリティベンダ SQLインジェクションによる公開用DB不正アクセス
  2月 セキュリティベンダ SQLインジェクションによるユーザの個人情報へアクセス
  4月 中古PC通販サイト Webサイト改ざん
  5月 大手製薬会社 Webサイト改ざん トロイの木馬感染被害
 10月 某公営ギャンブル関連法人 Webサイト改ざん GENOウイルス感染被害

 こうしたWebサイト攻撃で被害を受けた場合、次のような損失を被ることになる。

個人情報漏洩などの被害を受けた顧客への謝罪
(例えば、お詫びのしるしとして500円の商品券を14万8000人に郵送したケースがあり、この場合には8584万円の経費がかかった。)

セキュリティ会社のコンサルティング費用(数百万円)

Webサイト停止期間中の営業的損失(数百万円)

ブランドや信頼性の失墜(計り知れないほどの損失)

■おもなWebサイト攻撃パターン

 Webサイトの脆弱性対策を実施するには、敵の正体を把握する必要がある。そこで、前述したSQLインジェクションやクロスサイト・スクリプティングといった攻撃がどのような脆弱性を狙ったものなのか、その概要を紹介しておこう。

SQL インジェクション…
 データベースと連携したWebアプリケーションで、データベースへの命令文にパラメータとしてSQL文の断片を与えることにより、データベースの不正利用を行うことが可能になる。個人情報の漏洩、Webページの改ざん、パスワード変更などの被害が考えられる。

OS コマンドインジェクション…
 Webアプリケーションによっては、外部からの攻撃により、WebサーバのOSコマンドを不正に実行されてしまう可能性がある。重要情報の漏洩、設定ファイルの改ざん、OS のシャットダウン、ウイルス・ワーム・ボットなどへの感染が考えられる。

クロスサイト・スクリプティング…
 Webアプリケーションの中には、検索のキーワードの表示画面や個人情報登録時の確認画面、掲示板、Webのログ統計画面など、ユーザからの入力内容やHTTPヘッダの情報を処理し、Webページとして出力するものがある。Webページへの出力処理に問題がある場合、そのWebページにスクリプトなどを埋め込まれてしまう可能性がある。偽情報の流布による混乱、フィッシング詐欺による重要情報の漏洩、CookieにセッションIDが格納されている場合はユーザへの成りすましなどが起こる。

ディレクトリ・トラバーサル…
 外部からのパラメータにWebサーバ内のファイル名を直接指定している場合、ファイル名指定に問題があると、攻撃者に任意のファイルを指定され、Webアプリケーションが意図しない処理を行ってしまう可能性がある。重要情報の漏洩や設定ファイル・プログラムのソースコードなどの改ざんなどが考えられる。

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ
関連キーワード

WAF/Webサイトは弱点だらけ!?「WAF」基礎解説」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「WAF」関連情報をランダムに表示しています。

WAF」関連の製品

クラウド対応ソフトウェア型WAF InfoCage SiteShell 【NEC】 CLEARSWIFT SECURE Web Gateway 【日立ソリューションズ】 Barracuda Web Application Firewall 【バラクーダネットワークスジャパン】
WAF WAF WAF
InfoCage SiteShellはWebサーバにインストールするソフトウェア型とWAF専用サーバのネットワーク型のどちらの形態でも導入可能。クラウド環境(IaaS)にも対応。 Webセキュリティに必要なURLフィルタリング、ウイルス対策などの機能をオールインワンで提供。 ファイアウォールやIDS/IPSで保護できない、Webサイトへの外部からの不正アクセスを防御。SQLインジェクションやXSSなどによる顧客情報流出やWebサービス停止を確実に防止

WAF」関連の特集


モバイルデバイスの普及に伴い、柔軟なIT利用が可能になる一方で考慮しなければならないのが情報セキュリ…



後を絶たない情報漏洩事件。策は講じているのに、なぜ脆弱性は残るのか?その理由とセキュリティ診断の受診…



「大掛かりなWebサイトを運営しているわけではないし……」という企業にも、アプリケーションの脆弱性や…


WAF」関連のセミナー

ランサムウェアやビジネスメール詐欺への最適な対策とは? 【テクマトリックス/日本プルーフポイント】 締切間近 

開催日 12月9日(金)   開催地 大阪府   参加費 無料

90%以上の標的型攻撃はメールがきっかけとなっていることは周知の事実です。実際の被害は企業規模や地域に関係なく起きています。攻撃者は、取引先や同僚を装う巧みな文…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

WAF/ Webサイトは弱点だらけ!?「WAF」基礎解説」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「WAF/ Webサイトは弱点だらけ!?「WAF」基礎解説」の記事の続きがお読みいただけます。


Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30003451


IT・IT製品TOP > ネットワークセキュリティ > WAF > WAFのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ