Webサイトを狙うサイバー攻撃と入口対策

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

Webサイトを狙うサイバー攻撃と入口対策

2012/10/16


 国内外の政府機関に対する業務妨害や示威を目的とするWebサイト改ざんや、政府関連組織や企業からの機密情報窃取を狙った不正アクセス事件がたびたび報道されている。国家間の「サイバーテロ」や「サイバー戦争」と呼ばれるほど剣呑な攻撃が行われているその一方で、同じような手口で企業システムにも情報窃取とウイルス拡散を狙った攻撃が繰り返し行われている。被害事例が時折報道されるものの、その大半は個人情報漏洩が明らかになったケースで、それ以外の被害は表にはあまり出てこないものの、実際には氷山の一角なのではないかと考えられる。2009年末からしばらくの間猛威をふるった「ガンブラー」攻撃の際は脆弱性対策をとった企業が多いと思われるが、あれから約3年を経る中で脆弱性は多数発見されており、継続した対策がとれていない場合には、すでに防御体制が機能しなくなっているかもしれない。今回は、Webアプリケーション改修以外の防御方法として、WAF導入およびその他の対策を考えてみる。手を変え品を変えて襲ってくるサイバー攻撃には、たゆまず対策をアップデートしていく努力が必要だ。

サイバー攻撃

政治的主張、示威、情報窃取、業務妨害を行うサイバー攻撃

 今年9月11日の尖閣諸島国有化以降、中国「紅客連盟」掲示板などが日本の行政機関への攻撃を表明、日本の約300の組織が名指しで攻撃対象とされた。中国チャットサイトでは最大4000人が日本への攻撃に関連する書き込みを行ったという。攻撃対象となった組織のうち、少なくとも11のWebサイトが一定期間閲覧困難になり、裁判所や東北大学病院など少なくとも8つのWebサイトが、中国の国旗等の画像や「尖閣諸島は中国のものである」旨のメッセージが表示されるように改ざんされた(警察庁9月19日公表資料要約)。その後も文化庁「国指定文化財等データベース」や裁判所のWebサイトでも同様の改ざんが報道されている。
 この動きと連動しているかどうかは定かでないが、中国からの不正アクセス(ブラインドSQLインジェクション攻撃)件数は尖閣諸島国有化以降に急増している(図1)

図1 中国からのブラインドSQLインジェクション攻撃送信元アドレス数の推移
図1 中国からのブラインドSQLインジェクション攻撃送信元アドレス数の推移
出典:Tokyo SOC Report「中国を送信元とする攻撃検知件数の増加 [続報]」(Tokyo SOC調べ:2012年8月1日〜9月26日)
資料提供:Tokyo SOC(日本IBM)

 中国からの攻撃は9月16日にピークを迎えてその後収まったように見えるものの、Web改ざんなどの被害はその後も続いている。満州事変の発端となった柳条湖事件が9月18日であることから、例年この時期は中国から政治的な意図に基づく不正アクセスが増える時期だ。しかし今回はその始まりが早く、沈静化が遅い特徴がある。
 こうした報道に接していても、「政府関連の組織ではないから大丈夫」と考える企業もあるかもしれない。だが問題はこのサイバー攻撃事例に見られるように、攻撃手法や攻撃用ツールが簡単に人から人に伝えられるようになっており、攻撃用ツールによれば、多少のIT知識がある人はすぐに攻撃が実行できてしまうことだ。何らかのきっかけさえあれば攻撃の標的にされてしまう。それはシステムを持つ企業などに何かの「罪」があると考えられるケースばかりではない。「脆弱性対策が不十分」であることそのものが攻撃の原因になってしまうことがあるのだ。
 サイバー攻撃は、一見すると正常な通信の形を装ってやってくる。そのため外部に公開しているWebサイトはサイバー攻撃の到来を防ぐことができない。いったん企業システムにサイバー攻撃による被害が生じると、中堅・大手企業では直接/間接の被害を合わせて1億円を優に超える損害が生じる可能性がある。(IPA推定・2005年企業における情報セキュリティ事象被害額調査

 サイバー攻撃に有効な対策は、攻撃を受けても被害を生まないよう、「Webサイトに脆弱性をなくす」ことに尽きる。しかし、昨今のサイバー攻撃被害の頻発状況を見ると、これが言うは易く行うに難いというのが実情のようだ。昨年11月のこのコーナーでは「Webアプリから脆弱性をなくすコツは?」と題して主にWebアプリケーション改修による対策を記した。しかし、改修したくともできない状況の企業も多いことだろう。そこで今回は、アプリケーション改修を行わずに安全を確保する方策を考えてみる。


1

サイバー攻撃を入口で防ぐWAFの使い方

1-1

攻撃者からの不正な通信を排除し、正当な通信だけを処理する仕組みが必要

 サイバー攻撃は、正当な通信の形を装って攻撃用のデータを忍び込ませるのが常套手段。そこで攻撃用のデータをWebアプリケーションが見破り、処理をしないで捨てることが望ましい。しかし、アプリケーション開発時点であらかじめすべての“不正”通信を見越して開発することはほとんど不可能だ。そこで、次の対策が必要とされる。

自社開発アプリケーションの場合:脆弱性が発見されたら、その脆弱性をなくすようアプリケーションを改修する。

市販/オープンソースアプリケーションの場合:絶えずパッチ適用やバージョンアップなどを行い、最新の状態を維持する。

 しかし「自社開発」とは言っても、実際には開発を外注している場合も多く、社内にそのアプリケーションの構造を理解している人がいないこともある。外注先に改修を発注すればよいとはいえ、すでに業者がなくなっていたり、契約上にその旨の規定がないなどの理由で開発ドキュメントが失われ、開発者も退職していたりするケースは珍しくないようだ。
 市販/オープンソースアプリケーションの場合でも製品サポートが終了していることがあり、またカスタマイズをしている場合は単純なバージョンアップによってかえってトラブルが生じることもある。もちろん改修やアップデートに対応できる人材がいない、あるいはそのためのコストが捻出できないという場合もあるだろう。
 そこで、既存システムにできるだけ手を加えないでサイバー攻撃に耐えられる仕組みを考えてみよう。第1の有力候補が「WAF(Web Application Firewall)」だ。

セキュリティ情報局にご登録頂いた方限定で「Webサイトを狙うサイバー攻撃と入口対策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

サイバー攻撃/Webサイトを狙うサイバー攻撃と入口対策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「サイバー攻撃」関連情報をランダムに表示しています。

サイバー攻撃」関連の製品

NetRAPTOR 【トーテックアメニティ】 WAF/DDoS対策サービス TrustShelter/WAF 【NTTソフトウェア】 機密情報ファイルの漏洩対策 DataClasys(データクレシス) 【ネスコ】
フォレンジック WAF 暗号化
大容量データも逃さずキャプチャ。添付ファイルも含めた日本語全文検索、リアルタイム通知など、機能充実の国産ネットワークフォレンジックサーバ。 簡単かつ低コストにWebサイトセキュリティを強化できる、WAF/DDoS対策/CDNサービス。クラウド型WAFならすぐに導入でき、運用はお任せ。オンプレミス型WAFの提供も可能。 様々なファイルの暗号化・利用権限設定により、情報漏洩を防止するDRM・IRM製品。権限者は暗号化したまま通常操作で利用可能。海外拠点からの二次漏洩も防止できる。

サイバー攻撃」関連の特集


ファイアウォールやURLフィルタリング、IPS、VPN…個別に進化してきた製品を“ひとまとめ”にし、…



シマンテックでは、年に1回、世界全体におけるインターネット上の脅威活動について傾向をまとめた「シマン…



 本連載では、6月1日に発行された「情報セキュリティ白書2012」(※1)を通して、2011年度の国…


サイバー攻撃」関連のセミナー

ランサムウェア被害をAIを使ったエンドポイントで防御! 【エムオーテックス/Cylance Japan】 注目 

開催日 2月6日(月)   開催地 愛知県   参加費 無料

昨年発生した米連邦政府の人事管理局(OPM)から2150万人もの職員情報が流出した事件について、今年9月に報告書が公開されました。そこには流出を発見できた経緯と…

ランサムウェア被害をAIを使ったエンドポイントで防御! 【エムオーテックス/Cylance Japan】 注目 

開催日 2月3日(金)   開催地 福岡県   参加費 無料

昨年発生した米連邦政府の人事管理局(OPM)から2150万人もの職員情報が流出した事件について、今年9月に報告書が公開されました。そこには流出を発見できた経緯と…

ランサムウェア被害をAIを使ったエンドポイントで防御! 【エムオーテックス/Cylance Japan】 注目 

開催日 1月31日(火)   開催地 東京都   参加費 無料

昨年発生した米連邦政府の人事管理局(OPM)から2150万人もの職員情報が流出した事件について、今年9月に報告書が公開されました。そこには流出を発見できた経緯と…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3 | 4


30005178


IT・IT製品TOP > ネットワークセキュリティ > WAF > WAFのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ