Webサイトを狙うサイバー攻撃と入口対策

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

Webサイトを狙うサイバー攻撃と入口対策

2012/10/16


 国内外の政府機関に対する業務妨害や示威を目的とするWebサイト改ざんや、政府関連組織や企業からの機密情報窃取を狙った不正アクセス事件がたびたび報道されている。国家間の「サイバーテロ」や「サイバー戦争」と呼ばれるほど剣呑な攻撃が行われているその一方で、同じような手口で企業システムにも情報窃取とウイルス拡散を狙った攻撃が繰り返し行われている。被害事例が時折報道されるものの、その大半は個人情報漏洩が明らかになったケースで、それ以外の被害は表にはあまり出てこないものの、実際には氷山の一角なのではないかと考えられる。2009年末からしばらくの間猛威をふるった「ガンブラー」攻撃の際は脆弱性対策をとった企業が多いと思われるが、あれから約3年を経る中で脆弱性は多数発見されており、継続した対策がとれていない場合には、すでに防御体制が機能しなくなっているかもしれない。今回は、Webアプリケーション改修以外の防御方法として、WAF導入およびその他の対策を考えてみる。手を変え品を変えて襲ってくるサイバー攻撃には、たゆまず対策をアップデートしていく努力が必要だ。

サイバー攻撃

政治的主張、示威、情報窃取、業務妨害を行うサイバー攻撃

 今年9月11日の尖閣諸島国有化以降、中国「紅客連盟」掲示板などが日本の行政機関への攻撃を表明、日本の約300の組織が名指しで攻撃対象とされた。中国チャットサイトでは最大4000人が日本への攻撃に関連する書き込みを行ったという。攻撃対象となった組織のうち、少なくとも11のWebサイトが一定期間閲覧困難になり、裁判所や東北大学病院など少なくとも8つのWebサイトが、中国の国旗等の画像や「尖閣諸島は中国のものである」旨のメッセージが表示されるように改ざんされた(警察庁9月19日公表資料要約)。その後も文化庁「国指定文化財等データベース」や裁判所のWebサイトでも同様の改ざんが報道されている。
 この動きと連動しているかどうかは定かでないが、中国からの不正アクセス(ブラインドSQLインジェクション攻撃)件数は尖閣諸島国有化以降に急増している(図1)

図1 中国からのブラインドSQLインジェクション攻撃送信元アドレス数の推移
図1 中国からのブラインドSQLインジェクション攻撃送信元アドレス数の推移
出典:Tokyo SOC Report「中国を送信元とする攻撃検知件数の増加 [続報]」(Tokyo SOC調べ:2012年8月1日〜9月26日)
資料提供:Tokyo SOC(日本IBM)

 中国からの攻撃は9月16日にピークを迎えてその後収まったように見えるものの、Web改ざんなどの被害はその後も続いている。満州事変の発端となった柳条湖事件が9月18日であることから、例年この時期は中国から政治的な意図に基づく不正アクセスが増える時期だ。しかし今回はその始まりが早く、沈静化が遅い特徴がある。
 こうした報道に接していても、「政府関連の組織ではないから大丈夫」と考える企業もあるかもしれない。だが問題はこのサイバー攻撃事例に見られるように、攻撃手法や攻撃用ツールが簡単に人から人に伝えられるようになっており、攻撃用ツールによれば、多少のIT知識がある人はすぐに攻撃が実行できてしまうことだ。何らかのきっかけさえあれば攻撃の標的にされてしまう。それはシステムを持つ企業などに何かの「罪」があると考えられるケースばかりではない。「脆弱性対策が不十分」であることそのものが攻撃の原因になってしまうことがあるのだ。
 サイバー攻撃は、一見すると正常な通信の形を装ってやってくる。そのため外部に公開しているWebサイトはサイバー攻撃の到来を防ぐことができない。いったん企業システムにサイバー攻撃による被害が生じると、中堅・大手企業では直接/間接の被害を合わせて1億円を優に超える損害が生じる可能性がある。(IPA推定・2005年企業における情報セキュリティ事象被害額調査

 サイバー攻撃に有効な対策は、攻撃を受けても被害を生まないよう、「Webサイトに脆弱性をなくす」ことに尽きる。しかし、昨今のサイバー攻撃被害の頻発状況を見ると、これが言うは易く行うに難いというのが実情のようだ。昨年11月のこのコーナーでは「Webアプリから脆弱性をなくすコツは?」と題して主にWebアプリケーション改修による対策を記した。しかし、改修したくともできない状況の企業も多いことだろう。そこで今回は、アプリケーション改修を行わずに安全を確保する方策を考えてみる。


1

サイバー攻撃を入口で防ぐWAFの使い方

1-1

攻撃者からの不正な通信を排除し、正当な通信だけを処理する仕組みが必要

 サイバー攻撃は、正当な通信の形を装って攻撃用のデータを忍び込ませるのが常套手段。そこで攻撃用のデータをWebアプリケーションが見破り、処理をしないで捨てることが望ましい。しかし、アプリケーション開発時点であらかじめすべての“不正”通信を見越して開発することはほとんど不可能だ。そこで、次の対策が必要とされる。

自社開発アプリケーションの場合:脆弱性が発見されたら、その脆弱性をなくすようアプリケーションを改修する。

市販/オープンソースアプリケーションの場合:絶えずパッチ適用やバージョンアップなどを行い、最新の状態を維持する。

 しかし「自社開発」とは言っても、実際には開発を外注している場合も多く、社内にそのアプリケーションの構造を理解している人がいないこともある。外注先に改修を発注すればよいとはいえ、すでに業者がなくなっていたり、契約上にその旨の規定がないなどの理由で開発ドキュメントが失われ、開発者も退職していたりするケースは珍しくないようだ。
 市販/オープンソースアプリケーションの場合でも製品サポートが終了していることがあり、またカスタマイズをしている場合は単純なバージョンアップによってかえってトラブルが生じることもある。もちろん改修やアップデートに対応できる人材がいない、あるいはそのためのコストが捻出できないという場合もあるだろう。
 そこで、既存システムにできるだけ手を加えないでサイバー攻撃に耐えられる仕組みを考えてみよう。第1の有力候補が「WAF(Web Application Firewall)」だ。

セキュリティ情報局にご登録頂いた方限定で「Webサイトを狙うサイバー攻撃と入口対策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

サイバー攻撃/Webサイトを狙うサイバー攻撃と入口対策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「サイバー攻撃」関連情報をランダムに表示しています。

サイバー攻撃」関連の製品

法律家に聞いた!不正送金への対策と、被害に遭ったらすべきこと 【KDDI】 改ざん検知・瞬間復旧ソリューション WebARGUS(ウェブアルゴス) 【デジタル・インフォメーション・テクノロジー】 手間やコストを極力かけず、企業ITの認証環境を強化する 【エントラストジャパン】
認証 IPS 認証
法律の専門家に聞いてみた:もし不正送金されたらどうなる? Webサイトを常時監視し、サイバー攻撃・標的型攻撃によって万一改ざんされても、瞬時にそれを検知して1秒未満で元通りに自動修復できるセキュリティ対策ソフト。 サイバー攻撃の巧妙化、クラウド利用の拡大などによって、今まで以上に認証の重要度は増している。手間やコストを極力かけず、企業ITの認証環境を強化するための勘所とは?

サイバー攻撃」関連の特集


 前回はサイバー攻撃の脅威を防ぐためには、解消すべき隙(脆弱性)を認識し、対策することが必要であり、…



 2010年は、新しい時代に突入したことを感じる長い1年であった。2010年前半は、スマートフォンは…



盗撮に盗聴、ゆすりまで…アナタのプライベートがバラされる恐怖!端末をスパイ化する“クリープウェア”の…


サイバー攻撃」関連のセミナー

【岐阜開催】ITセキュリティセミナー標的型攻撃から守る対策 【デュプロ販売/SKY】  

開催日 7月13日(木)   開催地 岐阜県   参加費 無料

第1部(14:00〜14:50) ■標的型攻撃から組織を守るために必要な対策とは?近年、企業や組織が保有する個人情報や機密データなどを狙った標的型攻撃の手口は、…

感染後の二次被害対策!WannaCryもIoTセキュリティもこれ1台でOK 【ネットワールド/ハンドリームネット】 締切間近 

開催日 6月27日(火)   開催地 東京都   参加費 無料

セキュリティ + L2スイッチ + 監視 = 『SubGate』 すでに大きなニュースにもなっていますが、先日ランサムウェア「WannaCry」を用いた世界同時…

情報セキュリティセミナーin宮崎 【九州通信ネットワーク】  

開催日 7月5日(水)   開催地 宮崎県   参加費 無料

最近では、過去のばらまき型の愉快犯的なものから、標的型攻撃など、特定の企業の個人を狙い、 営利を目的としたサイバー攻撃がみられるようになっています。本セミナーで…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3 | 4


30005178


IT・IT製品TOP > ネットワークセキュリティ > WAF > WAFのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ