Webサイトを狙うサイバー攻撃と入口対策

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

Webサイトを狙うサイバー攻撃と入口対策

2012/10/16


 国内外の政府機関に対する業務妨害や示威を目的とするWebサイト改ざんや、政府関連組織や企業からの機密情報窃取を狙った不正アクセス事件がたびたび報道されている。国家間の「サイバーテロ」や「サイバー戦争」と呼ばれるほど剣呑な攻撃が行われているその一方で、同じような手口で企業システムにも情報窃取とウイルス拡散を狙った攻撃が繰り返し行われている。被害事例が時折報道されるものの、その大半は個人情報漏洩が明らかになったケースで、それ以外の被害は表にはあまり出てこないものの、実際には氷山の一角なのではないかと考えられる。2009年末からしばらくの間猛威をふるった「ガンブラー」攻撃の際は脆弱性対策をとった企業が多いと思われるが、あれから約3年を経る中で脆弱性は多数発見されており、継続した対策がとれていない場合には、すでに防御体制が機能しなくなっているかもしれない。今回は、Webアプリケーション改修以外の防御方法として、WAF導入およびその他の対策を考えてみる。手を変え品を変えて襲ってくるサイバー攻撃には、たゆまず対策をアップデートしていく努力が必要だ。

サイバー攻撃

政治的主張、示威、情報窃取、業務妨害を行うサイバー攻撃

 今年9月11日の尖閣諸島国有化以降、中国「紅客連盟」掲示板などが日本の行政機関への攻撃を表明、日本の約300の組織が名指しで攻撃対象とされた。中国チャットサイトでは最大4000人が日本への攻撃に関連する書き込みを行ったという。攻撃対象となった組織のうち、少なくとも11のWebサイトが一定期間閲覧困難になり、裁判所や東北大学病院など少なくとも8つのWebサイトが、中国の国旗等の画像や「尖閣諸島は中国のものである」旨のメッセージが表示されるように改ざんされた(警察庁9月19日公表資料要約)。その後も文化庁「国指定文化財等データベース」や裁判所のWebサイトでも同様の改ざんが報道されている。
 この動きと連動しているかどうかは定かでないが、中国からの不正アクセス(ブラインドSQLインジェクション攻撃)件数は尖閣諸島国有化以降に急増している(図1)

図1 中国からのブラインドSQLインジェクション攻撃送信元アドレス数の推移
図1 中国からのブラインドSQLインジェクション攻撃送信元アドレス数の推移
出典:Tokyo SOC Report「中国を送信元とする攻撃検知件数の増加 [続報]」(Tokyo SOC調べ:2012年8月1日〜9月26日)
資料提供:Tokyo SOC(日本IBM)

 中国からの攻撃は9月16日にピークを迎えてその後収まったように見えるものの、Web改ざんなどの被害はその後も続いている。満州事変の発端となった柳条湖事件が9月18日であることから、例年この時期は中国から政治的な意図に基づく不正アクセスが増える時期だ。しかし今回はその始まりが早く、沈静化が遅い特徴がある。
 こうした報道に接していても、「政府関連の組織ではないから大丈夫」と考える企業もあるかもしれない。だが問題はこのサイバー攻撃事例に見られるように、攻撃手法や攻撃用ツールが簡単に人から人に伝えられるようになっており、攻撃用ツールによれば、多少のIT知識がある人はすぐに攻撃が実行できてしまうことだ。何らかのきっかけさえあれば攻撃の標的にされてしまう。それはシステムを持つ企業などに何かの「罪」があると考えられるケースばかりではない。「脆弱性対策が不十分」であることそのものが攻撃の原因になってしまうことがあるのだ。
 サイバー攻撃は、一見すると正常な通信の形を装ってやってくる。そのため外部に公開しているWebサイトはサイバー攻撃の到来を防ぐことができない。いったん企業システムにサイバー攻撃による被害が生じると、中堅・大手企業では直接/間接の被害を合わせて1億円を優に超える損害が生じる可能性がある。(IPA推定・2005年企業における情報セキュリティ事象被害額調査

 サイバー攻撃に有効な対策は、攻撃を受けても被害を生まないよう、「Webサイトに脆弱性をなくす」ことに尽きる。しかし、昨今のサイバー攻撃被害の頻発状況を見ると、これが言うは易く行うに難いというのが実情のようだ。昨年11月のこのコーナーでは「Webアプリから脆弱性をなくすコツは?」と題して主にWebアプリケーション改修による対策を記した。しかし、改修したくともできない状況の企業も多いことだろう。そこで今回は、アプリケーション改修を行わずに安全を確保する方策を考えてみる。


1

サイバー攻撃を入口で防ぐWAFの使い方

1-1

攻撃者からの不正な通信を排除し、正当な通信だけを処理する仕組みが必要

 サイバー攻撃は、正当な通信の形を装って攻撃用のデータを忍び込ませるのが常套手段。そこで攻撃用のデータをWebアプリケーションが見破り、処理をしないで捨てることが望ましい。しかし、アプリケーション開発時点であらかじめすべての“不正”通信を見越して開発することはほとんど不可能だ。そこで、次の対策が必要とされる。

自社開発アプリケーションの場合:脆弱性が発見されたら、その脆弱性をなくすようアプリケーションを改修する。

市販/オープンソースアプリケーションの場合:絶えずパッチ適用やバージョンアップなどを行い、最新の状態を維持する。

 しかし「自社開発」とは言っても、実際には開発を外注している場合も多く、社内にそのアプリケーションの構造を理解している人がいないこともある。外注先に改修を発注すればよいとはいえ、すでに業者がなくなっていたり、契約上にその旨の規定がないなどの理由で開発ドキュメントが失われ、開発者も退職していたりするケースは珍しくないようだ。
 市販/オープンソースアプリケーションの場合でも製品サポートが終了していることがあり、またカスタマイズをしている場合は単純なバージョンアップによってかえってトラブルが生じることもある。もちろん改修やアップデートに対応できる人材がいない、あるいはそのためのコストが捻出できないという場合もあるだろう。
 そこで、既存システムにできるだけ手を加えないでサイバー攻撃に耐えられる仕組みを考えてみよう。第1の有力候補が「WAF(Web Application Firewall)」だ。

セキュリティ情報局にご登録頂いた方限定で「Webサイトを狙うサイバー攻撃と入口対策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

サイバー攻撃/Webサイトを狙うサイバー攻撃と入口対策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「サイバー攻撃」関連情報をランダムに表示しています。

サイバー攻撃」関連の製品

最小限の予算で最大限の安全を確保するセキュリティソリューションとは?  【GMOクラウド】 改ざん検知・瞬間復旧ソリューション WebARGUS(ウェブアルゴス) 【デジタル・インフォメーション・テクノロジー】 個人情報検出・暗号化ソリューション 【ネスコ】
セキュリティ診断 IPS 暗号化
最小限の予算で最大限の安全を確保するセキュリティソリューションとは?  Webサイトを常時監視し、サイバー攻撃・標的型攻撃によって万一改ざんされても、瞬時にそれを検知して1秒未満で元通りに自動修復できるセキュリティ対策ソフト。 マイナンバーや個人情報を検出する「P-Pointer」と、ハイレベルのセキュリティを実現するDRM製品「DataClasys」とを組み合わせたソリューション。

サイバー攻撃」関連の特集


昨今の重大な情報漏洩事件や被害事例に鑑み、システムには新しい脅威に対抗できる策が求められています。脅…



 連載最終回となる今回は、ワンクリックウェアに遭遇した時の対策を解説する。初期の頃に出現したユーザを…



2016年1月から始まるマイナンバー制度への対応に役立つ「マイナンバー支援サービス」。収集から管理ま…


サイバー攻撃」関連のセミナー

働き方の多様化とセキュリティ向上を両立するVDI実践セミナー 【ディーアイエスソリューション/日本ヒューレット・パッカード/ヴイエムウェア/ゲイトウェイ・コンピュータ】 注目 

開催日 8月29日(火)   開催地 東京都   参加費 無料

〜働き方改革の実践・最新の脅威に対し、有効なITシステムと運用の最適解をご提示します〜昨今、企業側には社員への多様な働き方の実現を強く求められる反面、情報漏えい…

辻伸弘氏が語る 最新のサイバー攻撃事情 【日立ソリューションズ】 注目 

開催日 9月12日(火)   開催地 東京都   参加費 無料

昨今、様々な企業・団体がマルウェアによる被害を受けており、その数は後を絶ちません。特に最近は、ランサムウェアが世界中で猛威を振るっています。高度化・巧妙化したマ…

ウェブとエンドポイントセキュリティを一気に解決!対策セミナー 【ペンタセキュリティシステムズ/大興電子通信】  

開催日 8月30日(水)   開催地 大阪府   参加費 無料

- 第一部:Endpoint Security 〜AppGuard Enterprise〜今話題の米国政府機関が採用する革新的エンドポイントセキュリティテクノロ…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3 | 4


30005178


IT・IT製品TOP > ネットワークセキュリティ > WAF > WAFのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ