安心安全なWebサイトの作り方 〜強制ブラウジングとACL設定〜

IT・IT製品TOP > Key Conductors > 佐藤 栄治(バラクーダネットワークスジャパン株式会社) > 安心安全なWebサイトの作り方 〜強制ブラウジングとACL設定〜
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

安心安全なWebサイトの作り方 〜強制ブラウジングとACL設定〜

ネットワークセキュリティ 2013/09/20

オープンソースアプリケーションと上手につきあう

 最近、WordPressの脆弱性を突いた事件が多く発生しております。たとえば、2013年8月末に某Webホスティング事業者で、WordPressのプラグインやテーマの脆弱性を利用した改ざん事件(詳細はHASHコンサルティングの徳丸先生のブログ参照)。また、2013年7月に公表されたWordPressにおけるクロスサイトスクリプティングの脆弱性(JVN25280162)など多岐にわたります。

 現在オープンソースのCMSアプリケーションは非常に質が高く高機能なため、米New York Times紙のWebサイトを初め多くの商用サイトにも利用されています。しかし、高機能であるだけにアプリケーションのコードも肥大化し、脆弱性が生まれやすくなります。また利用者が誤ったインストールや設定をしてしまうことで、脆弱性を作ってしまう可能性があります。 

 2012年秋、日本を含め多くの大学がハッカー集団「Ghost Shell」に攻撃され、情報漏洩や改ざん事件があったのをご存知でしょうか?
この被害に遭われた、とある大学の先生のご相談に乗る機会がありました。この大学ではWordPressのコンテンツが狙われたそうで、インストールしてから一度もアップデートをしていなかったとのこと。「失敗したな〜」と悔やんでおられました。

 なお、大学も履修システムやE-Learningなど、Webアプリが企業以上に多数有り、先進的な大学はWAFをどんどん導入されています。   札幌学院大学様ではハッカー被害は受けていなかったものの、この事件を機にWAFを導入されました(事例)。研究室で構築される勝手サーバのセキュリティ向上、そしてオープンソースのセキュリティレベルの底上げとして利用されており、実際にWordPressに対する攻撃も検出されたとのことでした。
 バラクーダネットワークスジャパンのWebサイトにも、弊社製WAFを導入していますが、存在しないはずのWordPressの管理URLに対してのアクセス痕跡があり、機械的に手当たり次第リクエストを投げていることが想定されます。このように、公開WebサイトからリンクされていないURL、秘密情報や管理者機能に直接アクセスする攻撃を「強制ブラウジング」といいます。

情報漏洩やサイト改ざん事件に向けて考えられる対策とは?

アップデート

 最新のバージョンにすぐにアップデートする事を心がけましょう。これにより、強制ブラウジングだけではなく、冒頭のクロスサイトスクリプティングなどの脆弱性を潰していくことが可能です。パッチの適用による動作弊害を恐れ、消極的になりがちですが、セキュリティリスクによる被害も重要課題としてとらえるべきです。失敗が許されないシステムであれば、パッチの検証を積極的に行えるよう、ステージング(検証)環境を用意することも検討すべきです。最近はCPUの高速化と相まって、PCなどでも簡単に仮想環境でステージング環境が作ることも可能です。

Webサーバ側の設定

 アプリのアクセス制限を過信しないということが重要です。たとえば、各アプリケーションで管理UIにアクセスできるIPを制限できる機能が備わっているかもしれません。しかし、アプリに脆弱性があれば、十分に機能を発揮できないこともしばしばです。
 このため、Apacheの[.htaccess]などで該当の管理ULディレクトリ丸ごと、特定のIPアドレスからのアクセスのみを許可するといったことも必要です。また、認証もアプリケーションの認証機能だけではなく、.htaccessのベーシック認証を使って2重に行うなどの対策も重要です。最近では選択肢に答えるだけで、.htaccessファイルを自動で作ってくれるWebサイトなども登場していますので、積極的に活用することをおすすめします。

WAFで対処する

 札幌学院大学様のように、WAFを導入するというのもよい選択肢です。但しすべてのWAFでアクセス制御や認証ができるわけではありません。たとえば、Barracuda WAFであれば、IP、クッキー、パラメータ情報などの情報を元に、URLごとにアクセス制限を制御可能です。また、認証機能も包括されていますので、ベーシック認証やクライアント証明書認証もWAF側で肩代わりすることもできます。
 もちろん冒頭のクロスサイトスクリプティング攻撃なども高性能シグネチャで検知、防御が可能です。

Barracuda WAFのACL設定画面例

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

Barracuda WAFのACL設定画面例

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30006603


IT・IT製品TOP > Key Conductors > 佐藤 栄治(バラクーダネットワークスジャパン株式会社) > 安心安全なWebサイトの作り方 〜強制ブラウジングとACL設定〜

このページの先頭へ

キーマンズネットとは
2009年 バラクーダネットワークスジャパン株式会社に入社。シニアプリセールスエンジニアとして、企業・ECサイト・銀行・ISP・官公庁や自治体などに多数のWebセキュリティ&アプリケーションデリバリソリューションを提案、導入。Webセキュリティに関する話題をわかりやすく解説します。

ページトップへ