お正月を楽しく迎えるために、Webの脅威対策を見直しませんか

IT・IT製品TOP > Key Conductors > 寺下 理恵(バラクーダネットワークスジャパン株式会社) > お正月を楽しく迎えるために、Webの脅威対策を見直しませんか
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

お正月を楽しく迎えるために、Webの脅威対策を見直しませんか

ネットワークセキュリティ 2014/12/05

毎年、年末年始の人員が手薄になるスキを狙ったWebサーバへの攻撃が増加するのをご存知でしょうか。2014年3月に発表した、IPA(独立行政法人情報処理推進機構)の情報セキュリティ10大脅威によると、社会的影響が大きかったセキュリティの脅威ランキング上位10件のうち、実に5件がWebサイトへの脅威に関連しています。

2014年版情報セキュリティの10大脅威のうち、5件がWebに関するもの

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

2014年版情報セキュリティの10大脅威のうち、5件がWebに関するもの

今回は、この5件の中でも特に国内で被害が深刻な3つのケースを取り上げ、事例と攻撃手法、さらにバラクーダネットワークスのBarracuda Web Application Firewallが提供する対策手法を例としてご紹介します。

第2位:不正ログイン・不正使用

2013年後半あたりから、不正ログイン事件の多くがパスワードリスト攻撃によるものであることをご存知ですか?パスワードリスト攻撃の手法は、過去の寄稿で詳しくご紹介しましたが、2014年の不正ログインが報告されたサイトは、その成功率が極めて高いのが特徴です。パスワードリスト攻撃は、ブルートフォース攻撃のひとつですが、ブルートフォース攻撃の成功率が約0.001%に対して、パスワードリスト攻撃は平均して0.6%程度の高い成功率が確認されています。

2014年 主な不正ログイン事件(パスワードリスト攻撃)

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

2014年 主な不正ログイン事件(パスワードリスト攻撃)

パスワードリスト攻撃対策には、サイト側対策として、携帯電話のSMSや外部認証システムなどによるプラスアルファの仕組みの導入、またはWebアプリケーションファイアウォールなどを利用した対策製品の導入が有効です。こちらについても安心・安全なWebサイトの作り方 〜なりすましログイン対策〜でご紹介しておりますので、こちらをご参照ください。

第4位:Webサービスからのユーザ情報の漏洩

大型情報漏洩事件として記憶に新しいのは、2013年5月に判明した海外用データ通信機器レンタル会社による情報漏洩で、約10万件にのぼるお客様情報(カード名義人名、カード番号、有効期限、お申込者住所等)が流出されたことが発表されました。この事例で使用された攻撃手法はSQLインジェクション。意図的に攻撃者がアプリケーションの想定しないSQL文を実行させることにより、データベースに不正アクセスされる手法です。SQLインジェクションは主にセキュリティ上の脆弱性を悪用した攻撃手法として認識されています。

SQLインジェクション攻撃

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

SQLインジェクション攻撃

SQLインジェクションに対する対策手法として、ファイアウォールやIPSでは保護することはできないことを安心安全なWebサイトの作り方〜WAFとIPS、Firewallの違い〜で説明しました。またBarracuda Web Application Firewallの場合、攻撃定義ファイルを利用して、SQL文の難読化された攻撃に対して正規化を行い、シグネチャマッチングすることで最新の攻撃からWebサーバを保護することができます。

攻撃定義ファイルによる防御

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

攻撃定義ファイルによる防御

第10位:サービス妨害

2013年頃から報告されているスロークライアントアタックは、コネクションのタイムアウトを避けながら低速で「HTTPヘッダ」や「POSTリクエスト」を大量に送りつけるDDoS攻撃により、Webサーバのリソースを枯渇させ、サービスダウンへと誘う手法です。

L7 DDoS Slow Client Attack

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

L7 DDoS Slow Client Attack

安心安全なWebサイトの作り方 〜スロークライアントアタック〜でご紹介した、Barracuda Web Application Firewallのアダプティブ・タイムアウトアルゴリズムは、Webサーバへの通信量を常に監視して送信元IPアドレスあたりの通信量の平均を判断し、想定した通信量よりも著しく少ない場合、リアルタイムで攻撃が実行されていると判断し、Barracuda WAFが強制的に通信を切断することで、WebサーバへのDDoS攻撃に対処します。

Slow Client 攻撃防御機能

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

Slow Client 攻撃防御機能

折角の年末年始の大型連休、セキュリティインシデントで緊急呼び出しをくらい、楽しいお正月で台無しにしないためにも、年内のうちにWebサーバに対するセキュリティ対策を見直してみませんか?

Barracuda Web Application Firewall 製品ページ: http://www.barracuda.co.jp/products/waf

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30007648


IT・IT製品TOP > Key Conductors > 寺下 理恵(バラクーダネットワークスジャパン株式会社) > お正月を楽しく迎えるために、Webの脅威対策を見直しませんか

このページの先頭へ

キーマンズネットとは
2008年バラクーダネットワークスジャパン株式会社に入社。シニアプリセールスエンジニアとして、企業・自治体を中心にネットワークセキュリティ・アプリケーションデリバリ・データ保護ソリューションを提案。2013年よりプロダクトマーケティングマネージャーに着任し、ソーシャルメディアマーケティングを担当。

ページトップへ