クラウドブック「リモートアクセスソリューション」

テレワーク導入を阻むセキュリティ課題をゼロトラスト視点で見直す

大東建託株式会社が今年9月に行ったテレワーク実施状況などに関するインターネット調査では、実施率は26.3%と依然4分の1以上の企業がテレワークを継続している状況です。コロナ過の長期化に伴い、テレワークで働く人が一定数いる状況は今後も続くと予想されますが、セキュリティ対策強化の困難さが問題として浮き上がっています。従来、業務用PCは物理的にIT部門の近くにあるため管理も比較的容易でしたが、テレワークにより設置場所が社員の自宅へと一気に拡散し、管理が複雑になることで、セキュリティリスクの上昇とともに、トラブル対応が増加し生産性の低下などを招く可能性も出ています。 今回はテレワークを推進するにあたっての、セキュリティ上の課題とその解決策をまとめていきたいと思います。

 

テレワークのセキュリティ課題

Wi-Fiからの情報漏えい

外出先でインターネットに接続して作業する際に、公共Wi-Fiを利用することがあるかもしれません。公共Wi-Fiは無料で利用できて便利です。しかし、公共のWi-Fiはどのようなセキュリティ対策が施されているかわかりません。万が一不備がある場合は、データの盗み見や詐欺サイトへの誘導など、第三者への情報漏えいの懸念があります。

また家庭用Wi-Fiもセキュリティに不備があると、ネットワークへの不正侵入や不正サイトへの誘導、ウイルス感染の可能性があります。社内ネットワークにアクセスする手段として、家庭内Wi-Fiが悪用される可能性もあるので注意が必要です。

セキュリティ対策のない私物端末の使用

テレワークで使用されるパソコンに、ウイルス対策ソフトなどのセキュリティ対策が施されていないと、万が一ウイルスに感染した際に対処できません。最悪の場合、パソコンからデータを抜き取られ、会社の情報漏えいにもつながります。

 

VPNの負荷と脆弱性

VPN(Virtual Private Network)接続とは、インターネット上に仮想の専用線を設定し、特定の人のみが利用できる専用ネットワークです。接続したい拠点(支社)に専用のルーターを設置し、相互通信を行うことができます。「トンネリング」「暗号化」「承認」を設定することで、セキュリティ上安全にデータのやり取りを行うことができるといわれていて、テレワーク下で多くの企業が利用しています。しかし、VPNアプリは決して万能ではありません。

実際にテレワークで使ってみると、VPNで会社につなげたくても、回線や機器の負荷が高すぎてつながらない」「重たくて仕事にならない」といった声があがっています。従来のアーキテクチャでは、従業員からの通信はVPNを利用していったん内部に集約されます。クラウドサービスの利用も、いったん企業のVPNゲートウェイを経由して行われます。ダイレクトにクラウドサービスを利用する場合に比べ、データセンターへの行ったり来たりが増えて帯域もセッション数も消費し、ボトルネックとなっています。

標的型攻撃や最近のランサムウェアといったサイバー攻撃の高度化も深刻な懸念材料になっています。RDP(Remote Desktop Protocol)やVPNといったリモートアクセス環境で弱いパスワードが設定されているアカウントを乗っ取ったり、脆弱性を悪用したりと、さまざまな手段で攻撃を仕掛けてきます。一旦内部に侵入されてしまえば、共有ファイルサーバやディレクトリサーバへのアクセスも可能になり、社内セキュリティは無防備にさらされます。ユーザがインターネットを利用している間に、ウイルス感染したサイトに誘導することもできるため、VPNの使用は慎重に行わなければなりません。

 

ゼロトラスト・セキュリティ

VPN接続の場合、ファイアウオールなどによるネットワークの「境界防御」が破られ、「安全な」ネットワークの内側に侵入されると、侵入者によって社内アプリケーションへ好き勝手にアクセスされてしまう問題があります。これまでのセキュリティ対策は、ITの世界を、信頼できる「内部」と、脅威が蔓延する危険な「外部」とに分け、外側から侵入を試みる不正アクセスやマルウェア、悪意あるメールなどを、境界で検知してブロックするという境界防御の考え方が主流でした。しかしIT環境の変化とサイバー攻撃の高度化により、もはやこの境界防御では防ぎきれない現実があります。また社内に置かれていたサーバがIaaSやSaaSといったクラウド環境にどんどん移行し、これまでは通信先も通信元も社内にあったのが、今はいずれも内部にあるとは限らず、内と外を分ける境界自体があやふやになっています。そのため、境界防御の考え方に代わって注目され始めたのが「ゼロトラスト・セキュリティ」です。場所にとらわれることなく常に認証やセキュリティ状態のチェックを行い、その結果に基づいて適切なリソースへのアクセスのみを許可していくというセキュリティの概念です。

実際米グーグルは従業員が在宅勤務をする際、VPNを一切使っていません。グーグルがVPNを使わなくなった背景には、いわゆる「ゼロトラスト・ネットワーク」の考え方があります。ゼロトラスト・ネットワークの考え方においては、どのような種類のネットワークであっても信頼しません。社内アプリケーションへのアクセスは、社内ネットワークからであっても社外からであっても必ず「アクセスプロキシー(認証サーバ)」を経由させ、社内アプリケーションの利用の可否を細かく制御しています。

 

Cloudbric Remote Access Solutionによる安全で簡単なテレワークセキュリティの実現

Cloudbric Remote Access Solution(クラウドブリック・リモートアクセス・ソリューション)は、境界防御にとらわれない企業専用ソリューションです。クラウド基盤で提供されるため、専用線やVPNを構築せず安全なリモートアクセス環境を提供します。VPNは一般のインターネット回線を使用してユーザとサーバを接続するため、安全性が低い場合もあります。例えば、ハッカーがネットワークに侵入した場合、これを防ぐ手立てがありません。 Cloudbricが提供するRemote Access Solutionは、権限のないユーザのアクセスを遮断し、プライベートネットワークに向かうすべてのトラフィックをリアルタイムでモニタリングするセキュリティ機能を提供します。

インストールや複雑な設置が不要

既存のVPNソリューションとは異なり、複雑なインストールが不要でWebブラウザ環境からログインするだけで、社内ネットワークにアクセスできます。テレワーク体制が必要な企業だけでなく、様々なオンラインサービスなどを行わなければならない教育機関や公共機関でも簡単に導入することができます。またユーザにプライベートネットワーク(Private Network)にあるWebサーバ、サーバ内のデータ、あるいはアプリケーションにリモートアクセスできるクラウドベースのセキュリティのみならず、ハッキングやの侵入、DDoS攻撃まですべて防御できるセキュリティ機能も提供します。

特徴

  • 拠点間ゲートウェイの設置不要
  • 追加ソフトウェアのインストール不要
  • DNS情報の変更だけですぐに利用可能
  • Webブラウザからログインするだけで遠隔地からも業務を進められる
  • モバイル、タブレットなど様々な端末から社内環境へアクセス可能

リモートアクセス環境を安全に保護

3つのセキュリティ対策を通じて、あらゆる方向からのサイバー攻撃を事前に防御します。様々なWeb脅威を防御し、送受信されるすべてのトラフィックへの安全性を確保しつつ、いつ、どこでも社内ネットワークに安全にアクセスすることができます。すべてのセキュリティ機能には、別途インストールが必要なく、ユーザとサーバ間のトラフィックが基本的に暗号化されて転送されます。

3-Layer Security

  • Traffic Monitoring(トラフィックのモニタリング)
  • User Authentication(ユーザ認証)
  • Hack Prevention(ハッキング対策)

新型コロナウイルス感染症はいまだ終息が見えません。セキュリティ面から導入を取りやめる企業もでているテレワークは、経営課題である人手不足への有効な対応策にもなり得るメリットもあり、今後積極的に活用できるかどうかで企業の人事戦略に大きく影響がでてくることも予想されます。セキュリティの構築が面倒、VPNでは防御しきれないとあきらめる前に、導入も簡単で、高精度なセキュリティを実現するRemote Access Solutionをご検討ください。

Cloudbric RAS

DDoS対策

さらに巧妙化し進化を遂げるDDoS攻撃に対する有効な防御手段について徹底解説

DDoS(Distributed Denial of Service)攻撃は、件数の増加とともに規模が拡大する傾向にあります。IPAが公表する『情報セキュリティ10大脅威 2020』にもランクインしている「サービス妨害攻撃によるサービスの停止」も、DDoS攻撃によりサーバに大量の処理要求を送信し高負荷状態にする手口として紹介されています。インターネット上の公開サーバに複数のコンピューターから一斉に大量のデータを送り付け、ネットワークやシステムを飽和させて利用できないようにするDDoS攻撃の脅威がここ数年、急激に高まっています。昔からある攻撃ですが、近年はさらに巧妙化し防御が難しくなっているとも言われています。そこで今回はDDsoS攻撃について詳しくまとめ、進化する攻撃に対する有効な防御手段『Advanced DDoS Protection』についても紹介していきたいと思います。

 

DDos攻撃とは

ネットワークを介してインターネット上で多くのサービスが提供されています。攻撃者はそういったウェブサイトや組織で利用しているサーバに対して大量の処理要求を送ります。処理が追い付かなくなるほどの処理要求を受けたウェブサイトやサーバは、閲覧ができなくなったり、処理が遅くなったりするなど、サービスの提供が正常に行えなくなります。こうした攻撃は、DoS攻撃(Denial of Service attack)やDDoS攻撃(Distributed Denial of Service attack)と呼ばれる攻撃によって引き起こされます。Dos攻撃は単一のコンピューターからの攻撃ですが、DDos攻撃は複数のコンピューターからの攻撃です。Dos攻撃もDDos攻撃も最終的な目的は同じですが、ターゲットにされたサーバの処理が停止し、次のような『サービス妨害攻撃によるサービスの停止』に陥ります。

  • 企業のホームページが閲覧できなくなる
  • ECサイト、イベントチケットの販売等、ネット販売サービスの提供ができなくなる
  • 動画配信サイトのサービスが停止する

こうしてDDoS攻撃の標的になってしまうと、企業は正常なサービスの提供ができなくなり、企業としての信頼性を損ねたり、営業機会の損失により莫大な金銭的被害を被ったりします。

Security Magazineのレポートによると、2020年第1四半期の DDoS 攻撃は、2019年第1四半期と比較して278% 増加し、2019年第4四半期と比較すると524%の増加になったとも報告されています。

 

DDos攻撃の対策

DoS攻撃は、標的となるWebサーバにリクエストを送りつける攻撃と、Webサーバの脆弱性を悪用する攻撃の2種類に分けることができます。前者には、大量のリクエストを送りつける「フラッド(洪水)攻撃」や、ホームページがデータのやりとりをする仕組みを悪用する「スロー攻撃」などがあり、DDoS攻撃はこの2種類の発展型といえます。サイバー犯罪者は、パソコンをボットウイルスに感染させ、遠隔操作を可能にすることで、数千台、数万台のパソコンからDoS攻撃を行えるようにしました。ボットウイルスに感染したパソコンから、発信元を攻撃先のWebサイトに偽装したリクエストを送りつけ効率よく攻撃します。一般的な対策として、IPS・IDS、WAF製品による防御がとられています。

IPS(Intrusion Prevention System)

IPSは不正侵入防御システムと呼ばれ、すべてのトラフィックを監視し、洗浄することで正常な通信のみをサーバに送るという役割を果たしています。そのため、DDoS攻撃もIPSによって検知され、洗浄されます。大規模なDDoS攻撃は、IDS(不正侵入検知システム)などで検知することができますが、小規模なDDoS攻撃は、企業が一般的に検知できるレベルを下回るため、攻撃を受けていることに気づきにくいデメリットがあります。しかも、最近は小規模かつ隠密性が高いDDoS攻撃が増えているとも報告されていてやっかいです。最近の小規模DDoS攻撃では、サーバを停止させずに、サーバのパフォーマンスを長期間にわたって下げることを目的にしています。こうした攻撃が長期にわたって行われることで、知らず知らずのうちに大きな被害を受けることにつながる危惧があります。

WAF(Web Application Firewall)

Webサーバの脆弱性を悪用しようとするDoS攻撃には、WAF(Web Application Firewall)も効果的な対策となります。WAFは、アプリケーションレイヤーで不正な通信を遮断し、脆弱性を悪用しようとする攻撃を検知してブロックするため、たとえ脆弱性が存在したままでもDoS攻撃を防ぐことができます。WAFではIPS・IDSが対処できないWebアプリケーションへの攻撃、SQLインジェクション、クロスサイトスクリプティングといった攻撃にも対応することが可能です。

DDos攻撃の対策にはどちらの対策のほうがより効果があるということではなく、それぞれ防御するレイヤーが異なるので組み合わせていくことがより効果的な防御につながります。さらには、近年の巧妙化するDDoS攻撃には、こうした一般的なIPS・IDS、WAF製品だけでは物足りない状況も発生しています。攻撃側の進化に伴い、防御にはより高速でリアルタイムに処理できる技術が今求められているからです。そのひとつのソリューションとして、エッジコンピューティングを活用したクラウドブリック(Cloudbric)の『Advanced DDoS Protection』をご紹介します。

 

『Advanced DDoS Protection』のアドバンテージ

エッジコンピューティングを活用した高速処理

クラウドブリック(Cloudbric)の『Advanced DDoS Protection』はエッジコンピューティング技術を活用し、より確実に防御を実現しています。

エッジコンピューティングとは

エッジとは、モバイル機器などのデバイスや、無線基地局、局舎などネットワークのユーザ側終端ことを指します。こうしたエッジ上の機器でデータ処理を行うことを「エッジコンピューティング」と呼ばれています。エッジコンピューティングでは、大量のデータ処理を、多数のエッジ、クラウドにまたがって実行します。エッジコンピューティングでは、ユーザ側機器で発生する膨大なデータをクラウドですべて処理するのではなく、生成元であるエッジ上で処理することで、処理を分散するアーキテクチャに変化してきています。エッジ側でデータ処理を行うことでリアルタイム性の確保、セキュリティリスクの低減、通信量の削減を実現できるテクノロジーです。あらゆるモノがネットワークに繋がるIoT時代で特に求められている技術で、クラウドとエッジで適切な機能配置を行うアーキテクチャが今後主流になるといわれています。

Advanced DDoS Protectionはこのエッジコンピューティングを活用し、保護対象と物理的に近い場所にあるエッジロケーションを通じてワークロードを分散させ、安定的なリクエスト送信を行います。それによって、DDoS攻撃が発生した際に効率的な作業及び即時対応が可能になります。待ち時間が60%短縮されたエッジコンピューティングと、エッジロケーション間の専用ネットワーク構築により、DDoS攻撃に対し従来に比べ10倍以上の速さで快速に対応できます。

この高速処理により、1秒当たり最大65テラバイト(Tbps)規模の攻撃まで防御可能です。大量のトラフィックによる大規模で高度なDDoS攻撃に対する緩和機能を提供できるので、最大規模の攻撃にしっかり対応できます。

 

Advanced DDoS Protectionの機能

リアルタイムネットワーク保護

インフラへの攻撃に対しリアルタイム検知・分析及び遮断を行います。また、インラインで遮断されたトラフィックはグロバール・ファイバーバックボーンを通じて分散されます。

様々な種類の攻撃にしっかり対応

UDP、SYN、HTTP Floodなど、ネットワーク層(L3,4)からアプリケーション層(L7) まで、様々なDDoS攻撃に対し、最善のセキュリティ対策を提供します。

脅威を自動検知するインテリジェント機能搭載

悪性のDDoSトラフィックをインテリジェントにルーティングするために開発された「フィルタリング・アルゴリズム」により、許可、遮断に関するルールが自動的に作成されるため、どんな攻撃にも迅速に対処できます。

DDoS攻撃は年々巧妙化・複雑化し、進化を続けています。従来のセキュリティ対策では防ぎきれないため、新たな脅威に対する備えが必要です。頻繁に行われる従来型DDoS攻撃から、マルチベクトル型攻撃やアプリケーション攻撃などまで、全範囲におけるDDoS対策サービスを提供するのが、Cloudbric ADDoSです。

Cloudbric ADDoSの詳細はこちら

Cloudbric ADDoS

クラウドサーバー・サービス

クラウドコンピューティング時代に注目されるVPSとは?

2010年頃から時代は「クラウドコンピューティング」期を迎え、今や右肩上がりで、世界中で活用されています。インターネット上で超大容量のデータを保管するデータサーバを集めたデータセンターと、そこへアクセスするためのサービス展開を軸にしたサービス技術です。現在は企業がクラウド上の仮想サーバを利用して自由な拡張性や柔軟性でサーバを持つのが主流となっています。クラウドは今注目されているインターネットと接続されていなかったセンサや機器をネットでつなぐIoTとも親和性が高いといわれています。さらに、自社サーバを設立するよりも低コストでIoTを構築することが可能であるため、IoTのデータ受信先はクラウドのデータセンターである場合がほとんどです。こうして今やクラウドサービスの利用は常識となりつつありますが、改めてクラウドサービスは何か、そして最近注目を集めているVPSについて紹介し、自社にとってベストなソリューションを提供してくれるプロバイダーの選び方等を解説していきたいと思います。

 

クラウドとは

クラウドはクラウドコンピューティング(cloud computing)の略語で、インターネットなどのコンピュータネットワークを経由して、コンピュータ資源をサービスの形で提供する利用形態です。「ユーザがインフラやソフトウェアを持たなくても、インターネットを通じて、サービスを必要な時に必要な分だけ利用する考え方」のことです。

クラウドコンピューティングは、1台の物理サーバに複数台のサーバを仮想的に立てることができるハイパーバイザー(仮想化技術)により実現したものです。このようなサーバは「仮想サーバ」と呼ばれ、物理サーバに近い環境が仮想的に作られています。この仮想サーバの登場により、スペースは今までと変わらない物理サーバ1台分のスペースで複数の仮想サーバを運用することができるようになりました。データーセンターの集約にもつながることから、クラウドコンピューティングは、サーバの統合にふさわしいとされています。また仮想化により、サーバ(インフラ)をユーザが好きなときに好きな分だけ利用できるクラウドサービスの提供も可能になったのです。

 

VPSとは

VPSも仮想化技術を使って、仮想サーバをクライアントに提供しています。 VPS(Virtual Private Server、仮想専用サーバ)では、1台の物理サーバ上に 契約者それぞれに仮想サーバが割り当てられ、複数の仮想サーバが構築できます。1台の物理サーバを共有することではなく、契約者それぞれに独立した空間に異なるOSをインストールし利用することが可能です。独立した環境が実現できるため、同じサーバ内で運用されている他のサイトに障害が起きたり、多くのアクセスが発生したりしても自社のサイトに影響を受けないし、導入や運用に自由度が高く、カスタマイズが容易にできることが特徴です。

 

VPSとクラウドの違い

VPSの特徴

  • 低価格で仮想サーバ1台を利用できる
  • 完全月額固定料金
  • あらかじめ決められたプランのリソースを選択する
  • 急なアクセス負荷時等に、リソースを増減できない
  • 1契約で複数台の仮想サーバを構築できない
  • サーバの削除は契約を解約する必要がある

クラウドの特徴

  • 1契約で複数台の仮想サーバを構築できる(台数制限無し)
  • 用途に応じた仮想サーバが構築することができる
  • 外部アクセス、内部アクセスとネットワークを分けて安全なサイト運用が可能
  • 急なアクセス負荷時等に、リソースを増減できる
  • 検証・開発環境から本番環境へスムーズな切り替え運用ができる
  • サーバ環境を丸ごとテンプレート化し、異なる仮想サーバに適用できる
  • ロードバランサーやバックアップ機能が標準装備
  • 専用セグメント(VLAN)やVPNなど高セキュリティな運用ができる
  • 月額固定料金もしくは従量課金

 

クラウドサーバプロバイダーの選び方

サーバ(インフラ)を提供するクラウドサービスのIaaS( Infrastructure as a Service)を代表的な例としてはAWS(Amazon Web Services)やLinodeなどが挙げられます。

AWSのシェア拡大と低下する質の問題

現在、日本国内のクラウドサービスのシェアはAmazonの「Amazon Web Services(AWS)」が約5割を占め、トップシェアを誇っています。次いで「Microsoft Azure(MA)」が約3割、業界3位に国内メーカでもある富士通の「FUJITSU Cloud Services」が1割のシェアを獲得している状況です。これまではクラウドコンピューティング=AWSというイメージも強い物でしたが、果たしてAWSにはそれほどのアドバンテージやメリットが存在するのでしょうか?大きくなったデータセンターに障害や災害による被害があるとその影響は大きく、昨年、日本時間2019年8月23日に業界トップのAWSのサーバに数時間の障害があり、アクセス不能となっただけでも、その障害の影響力の大きさは大々的に報じられました。つい先日の10月22日にも、AWSの東京リージョンで障害が発生しモバイル決済サービス「PayPay」や一部のスマートフォンゲームなどが利用しづらい状態になりました。

こうしてデータセンターに障害が起こった場合、自社サービスに影響が及ばないのか、丁寧なサポートは受けられるのかといった疑問が生じます。AWSのシェアの拡大と同時に、安定稼働の問題、サポートの質の低下、割高な料金、ほとんどが使用されない複雑なアプリケーション構成…といった問題が膨らんでいます。そんな中、多くの開発者がAWSに替わった別のソリューションを提唱しています。

Linodeクラウドサーバ・サービス

AWSの代替としてお勧めしたいのがLinodeクラウドコンピューティングを利用したクラウドサーバ・サービスです。LinodeはアマゾンのAWSの3年前の2003年に設立されたクラウドプロバイダーです。

  • コストとパフォーマンスの最適化
  • クラウド料金のコスト削減を実現
  • オープンクラウド (ベンダーロックインなし)
  • リアルカスタマーサービス
  • 100%独立したオープンクラウド
  • シンプル
  • 非競合

LinodeではAWSとは異なるこれらのアドバンテージを掲げ、現在世界中で800000人の利用者と開発者に選ばれています。
Amazon がインドで大きくなればなるほど、カスタマーサービスは悪化します。メールやチャットでの人的サポートは不可能で、電話では非常に難しいです。さらにすべての問題を解決するためには2、3回の電話が必要です。

こうした苦言が散見される中、Linodeは専門家によるサポート体制を強化し、適切な価格で実証済みのグローバルネットワークを構築してきました。さらにシンプルかつ予測可能な料金設定で、クラウド費用を簡単にコントロール可能でコストパフォーマンスにも優れています。クラウドインフラをよりシンプルに、最大の独立オープンクラウドプロバイダーとして、クラウドコンピューティングを簡素化し、リーズナブルな価格提供を実現します。

この度、クラウドブリックは、Linodeの日本パートナーとして、日本市場におけるLinodeクラウドサーバ・サービスを開始致します。Linodeクラウドサーバ・サービスの導入・運用・サポート、決済代行まで、これまで積み重ねてきたノウハウを踏まえ、クラウドブリック熟練した専門家による手厚いサポートを実現致します。 詳細は以下のページよりご覧ください。

securiy report

今でも続くWebアプリケーションへの攻撃!JPCERT/CCの最新レポートから読み解く攻撃手法を解析

10月15日、一般社団法人 JPCERTコーディネーションセンター(JPCERT/CC)が、2020年第2四半期のインシデント報告対応レポートを発表しました。国内外で発生するコンピューターセキュリティインシデントの報告をとりまとめたもので、今回は2020年7月1日~9月30日までの間に受け付けたインシデント報告の統計および事例について紹介されています。それによると、今期のインシデント件数は8386件で、前四半期の約1.2倍へと拡大しています。またフィッシング攻撃やWebサイトの改ざん、マルウェアサイトなどで増加が見られたということです。今回はこのレポートを基に、今危機感を持つべきWebサイトへの攻撃への高まりとは具体的に何か、その対処法はあるのかを重点においてお届けしていきたいと思います。

 

インシデント報告対応レポート統計

JPCERT/CCは、インターネット利用組織におけるインシデントの認知と対処、インシデントによる被害拡大の抑止に貢献することを目的として活動しています。今回発表されたレポートの統計についてまとめてみました。

インシデント報告関連件数

引用:JPCERT/CC

 こちらの図に示されているWebフォーム、メール、FAX等でJPCERT/CCに寄せられた報告の総件数は13,831件で、前四半期の1万416件から33%増加しています。JPCERT/CC が国内外の関連するサイトとの調整を行った件数は 4,807件で、前年比で調整件数は14%増加しました。

インシデントのカテゴリーごとの内訳

引用:JPCERT/CC

 インシデントの内訳を見ると、「フィッシングサイト」が5845件で前四半期から11%増加しています。7月は1842件、8月は1849件、9月は2154件と後半にかけて増加傾向が見られます。今期気になるのは、「サイト改ざん」と「スキャン」行為といったWebサイトを狙った攻撃の増加です。「サイト改ざん」は374件で、前四半期の291件から増加、「スキャン」行為も1380件で、前四半期の982件から拡大しています。その他「マルウェアサイト(158件)」「標的型攻撃(16件)」といった攻撃も前期を上回っています。

 

Webサイトを狙った攻撃の増加

JPCERT/CCのレポートに基づいたWebサイトを狙った攻撃の増加には主に、「サイト改ざん」と「スキャン」がありました。これらについて具体的に解説していきたいと思います。

サイト改ざん

Webサイト改ざんとは、企業などが運営する正規Webサイト内のコンテンツやシステムが、攻撃者によって意図しない状態に変更されてしまう攻撃です。攻撃者がWebサイトを改ざんする際の攻撃手法としては主に脆弱性攻撃による改ざん、管理用アカウントの乗っ取りによる改ざん、パスワードリスト攻撃の3種類があります。

1. 脆弱性攻撃による改ざん

  • Webサーバ上の脆弱性を攻撃することにより、最終的に改ざんを実現します。
  • 脆弱性の利用方法として、SQLインジェクション、Stored XSS、などの脆弱性攻撃により直接コンテンツの改ざんを行う方法と、脆弱性攻撃によりバックドアを設置するなどして遠隔操作で改ざんを行う方法の2つがあります。
  • 主に、サーバOS、Webサーバ、CMS、管理ツールなどのミドルウェアの脆弱性が狙われます。

改ざんの手口のうち、サーバーソフトウェアの脆弱性攻撃は、サーバ上で動いているCMS(コンテンツマネジメントシステム)やサービスの脆弱性を狙われるものです。例えばブログや簡易な企業サイトで使われているWordPress、Joomla!、Movable Type、XOOPSといったCMSの脆弱性がよく狙われています。

また「SQLインジェクション」攻撃もよく使われる手法です。セキュリティの対策が十分でないウェブサイトに、サイト内を任意のキーワードで検索できるフォームがあるとします。攻撃者がそのフォームへ不正な内容を盛り込んだSQL文を入力し検索を行うことで、そのSQL文の内容が実行されてしまうのです。これにより、本来は隠されているはずのデータが奪われてしまったり、ウェブサイトが改ざんされてしまったりします。攻撃者がウェブサイトに対してSQLインジェクション攻撃をしかけることで、不正なSQLの命令が実行されてしまい、ウェブサイトを利用者するユーザーのID・パスワード・クレジットカードの番号をはじめとした個人情報がすべて奪われてしまう可能性があります。

2. 管理用アカウントの乗っ取りによる改ざん

  • Webサーバにリモートアクセス可能な管理用アカウントの情報を窃取して乗っ取り、正規の方法でWebサイト操作を行って改ざんします。
  • 正規のWebサイト操作方法により改ざんが行われるため、被害に気づきにくい特徴があります。

正規のWebサイトに攻撃を仕掛け、中身を改ざんする手法ですが、その目的は、Webサイトにコンピューターウイルスを仕込んで閲覧者に感染させることです。以前は、いたずら目的でのWebサイトの改ざんが多く見られましたが、最近では、金銭が目的の被害が増えています。自社のサイトがこのような改ざん被害にあって、逆に顧客に被害を与える「加害者」になれば失墜する信頼は計り知れないものとなるでしょう。

3. パスワードリスト攻撃

  • パスワードリスト攻撃とは、攻撃対象となるWebサイトではない別のWebサイトから搾取したユーザー情報を使い、攻撃対象となるWebサイトで不正ログインを試みるサイバー攻撃です。
  • アカウントIDやパスワードをすべて別々に管理することが面倒なため、管理者PCや複数のWebサイトで同じアカウントIDやパスワードを使用しているケースがあります。

パスワードリスト攻撃とは、オンラインサービス等への不正ログインを狙った不正アクセス攻撃の一です。不正ログインのためにIDとパスワードがセットになったリストを利用することから本名称となっています。パスワードリスト攻撃を受けたとなると、Webサービスに対するユーザーからの印象が著しく低下します。「リスト型攻撃は他のウェブサービスから入手したアカウントとパスワードを使って不正アクセスする攻撃だ。ユーザーのアカウントとパスワードの管理の問題だ。」という見解の方もいらっしゃるでしょう。しかし、ユーザーの視点では「不正アクセスを許して個人情報の流出があったサービス」のように見えてしまうのです。

スキャン

スキャン攻撃とは、サイバー攻撃者が、攻撃先を探すために行うポートスキャンです。脆弱性の探索や侵入、感染の試行などを検知した件数が今回のレポートで増加し、警告されています。ポートスキャン自体は、サーバなどに対して稼働しているサービスを探り、開放されているポートを調べる行為で違法なものではありません。しかし、攻撃の事前準備として行われることが多いため、日常から適切な対処が必要となります。サイバー攻撃の手口は年々巧妙化していますが、システムの脆弱性を突くのが攻撃の基本となります。その脆弱性を見つけ出すためにポートスキャンは使われるのです。例えば、空いているポートがわかれば、そのポートを侵入経路として利用することができます。またサーバのOSやバージョンがわかれば、OSに依存する脆弱性を突くことができるのです。ポートスキャンも同様に、これ自体はサイバー攻撃ではなくても、これから被害が発生するかもしれないサイバー攻撃の予兆としてとらえることが重要です。

 

WAFで防御できること

こうした警鐘をならされているWebサービスへの攻撃の増加に対し、有効なのがWAFを用いた防御システムです。例えばWAFで防御できることには以下の様な項目があります。

  • SQLインジェクション
  • クロスサイトスクリプティング(XSS)
  • クロスサイトリクエストフォージェリ(CSRF)
  • OSコマンドインジェクション
  • ディレクトリリスティング
  • メールヘッダインジェクション
  • パス名のパラメータの未チェック/ディレクトリトラバーサル
  • 意図しないリダイレクト
  • HTTPヘッダインジェクション
  • 認証とセッション管理の不備
  • 認可制御の不備、欠落
  • クローラへの耐性

Webアプリケーションに関する脅威をブロックできるのが「WAF」です。WAFを使えばWebアプリケーションに脆弱性があったとしても安全に保護することができます。最近となっては、システムのクラウドへの移行という傾向もあり、クラウド型WAFが注目を集めています。従来のアプライアンス型WAFと比べ、専門の機器の導入やセキュリティ担当者による運用が必要ありません。そのため、リーズナブルな価格で短期間で導入できるといったメリットがあります。クラウド型セキュリティ・プラットフォーム・サービス「クラウドブリック(Cloudbric)」はWAF(Web Applicaion Firewall)サービスに加え、DDoS攻撃対策、SSL証明書、脅威情報データベースに基づく脅威IP遮断サービス、ディープラーニング(AI)エンジンによるWebトラフィック特性学習サービス、といったWebアプリケーションを守るトータル・セキュリティサービスを提供します。

Webアプリケーションを業務で利用するときは、セキュリティ上の脆弱性に注意しなくてはいけません。アプリケーションの開発者がセキュリティ対策を行っていても、人の手で作成されているため、脆弱性を完全になくすのは難しいでしょう。WAFはWebアプリケーションを保護する専用のファイアウォールのため、導入することでWebアプリケーションを安全に利用できます。
今現在、JPCERTのレポートからもわかるようにWebアプリケーションやサービスへの攻撃は劣えてはいません。それらの攻撃に備え、防御するにはWAFを導入することが望ましいといえます。
クラウド型セキュリティ・プラットフォーム・サービス「クラウドブリック(Cloudbric)」につきまして、詳しくは下記リンク先をご確認ください。

https://www.cloudbric.jp/cloudbric-security-platform/

Remote Access Thumbnail

テレワーク導入に向け、セキュリティ対策を徹底比較!

テレワークに関する情報流出事故が後を絶たず起こっています。特に最近は三菱重工業(記事のリンク)を皮切りに、よく知られている大企業でも発生し危機感を与えています。しかし、コロナウイルスの影響で在宅勤務を進める必要がある中、単純に社員のセキュリティ意識に全てを任すには無理があります。そんな悩みを持っている方のために、今回はテレワークのためのセキュリティ・ソリューションを徹底比較します。

 

ログ管理システム

ログ管理システムは主に従業員の勤怠管理のため使われます。個人の機器に設置され、ログを管理・確認し業務が随行されているのかを確認することが第一の目標です。また、近年には社内データの流出や不法コピーなどを早期に発見する機能を持つ製品が多数リリースされています。そのためテレワークのセキュリティ対策として使われることもありますが、本来の目的がセキュリティの確保ではないため、優れた性能を発揮するとは言い難い部分があります。

 

VPN

VPNとは「Virtual Private Network」の略称です。ネットワーク上に仮想の通路を作り通信できるようにするサービスです。社外から社内ネットワークへ安全に接続する目的でよく使われています。サーバ(ネットワーク)とデバイス(ノートパソコンなど)の間に暗号化された通路を作りますが、利用するにはソフトウェアの設置や設定の変更などを必要とします。

VPNを利用する場合のメリットは、「従業員が社内で勤務するときと同じように、社内ネットワークに存在するデータを利用できる」点です。しかしその一方では、ビジネス用VPNを利用している多数の企業が利用者が接続状況の不具合に対する不満を漏らしています。そのため、次のような機能が備わっているのかを確認する必要があるでしょう。

  • 専用サーバ: 共有サーバに接続する方式の場合、トラフィック量が増加するにつれ接続速度が低下する恐れがあります。そのため、専用サーバを保有しているのかを確認する必要があります。
  • 管理者機能: システム管理者が従業員の接続を制御し、全体的な設定をコントロールできるのかを確認する必要があります。
  • 拡張性: テレワークに当たる従業員が急に増加するなど、急変する状況に合わせ規模を流動的に調整できる必要があります。

 

リモートデスクトップ・ソリューション

企業用のリモートデスクトップ・ソリューションはその名の通り「企業内部にあるデスクトップを遠隔操作」できるようにするサービスです。個人が接続できる範囲が限られるので、システム管理者が社内ネットワークを的確に制御できるようになります。

VPNと同じく、リモートデスクトップ・ソリューションは一般的に事前設定やインストール等を必要とします。従業員が業務用PCに接続できるようテレワーク環境を整えるため、RDP(リモートデスクトッププロトコル)やTeamViewerなどが使われます。設定が終われば、ユーザはほぼ全てのデバイスでビジネス用アプリケーションを使ったり、必要なデータを利用できるようになります。つまり、物心両面で会社のPCの前に座っているようになるのです。しかし、次のようなデメリットが存在することを忘れてはいけません。

  • システムを構築するにあたり大量のリソースを必要とする
  • VPNを利用しない限り、ネットワークの面では安全だと言えない
  • ユーザが多数存在する環境の場合、複雑な設定が必要で、比較的多くの費用がかかる

 

リモートアクセスソリューション

最近COVID-19の影響で、急いでテレワークを導入する企業も増えていると思います。そのような企業には、クラウド型のサービスで提供されるリモートアクセスソリューションをお勧めします。クラウド基盤なので、利用形態や企業のシステム環境に合わせ、通信の暗号化やハイレベルの認証方式を提供することができます。また、追加的なセキュリティ対策を含んでいる場合も存在します。先ほど紹介した三つのソリューションに共通して現れるデメリットは「設定や設置などの過程で相当なリソースが消耗される恐れがある」という部分ですが、クラウド型の場合には設置を要しないという点も大きなメリットとなります。

クラウドブリックの「Remote Access Solution」も同じく、企業内部のネットワークに安全に接続する用途のソリューションです。クラウド型サービスですので、登録するだけですぐさまサービスを利用でき、ユーザもログインするだけで済むので、リソースの無駄を省きます。また、「ハッキング防止」、「2要素認証」、「リアルタイムでのモニタリング」という三つの機能を通じ、内部ネットワークを狙う脅威に対処します。

 

さいごに

テレワークを含む在宅勤務がもはや必須となった中、「セキュリティ」が企業が解決すべき最優先課題に浮かび上がっています。全てのセキュリティソリューションには一長一短があるため、状況にあったものを選ぶ必要があるでしょう。そして、その中でも「限られたリソースを最大限有効活用したい」という方には、クラウドブリックの「Remote Access Solution」をお勧めします。10月8日(木)までお申し込みをいただいた場合、3か月無料で利用いただけるキャンペーンを実施しております。リンクを通じお申し込みください。

thumbnail

WAF、シグネチャー方式とロジックベースの違いとは?

会員制サイトの登録機能からオンライン決済機能まで、もはやWebアプリケーションが使用されていないWebサイトを探す方が難しくなった時代です。様々の情報が蓄積されるゆえ、さらに厳重なセキュリティ対策が必要となっています。Webアプリケーションファイアーウォール(WAF)はその代表例として有名であり、実際、様々なWAF製品やサービスが市場に出回っています。しかし、専門知識が必要で導入に時間やコストなどがかかるなど、セキュリティ対策を選定する、という事は決して容易ではありません。市場に多数の製品が並んでいれば、その難易度はなおさら上がります。そこで本日は、WAFの導入を検討するシステム担当者の役に立つようにWAFを選ぶ際のチェックポイントを紹介したいと思います。WAFは大きく「シグネチャー方式」と「ロジックベース方式」に分けられますが、特にそれについて詳しく説明したいと思います。

 

名簿を見て判断する、シグネチャー方式のWAF

現在販売されている大半のWAFは「シグネチャー」に従い攻撃を検知・遮断します。簡単に説明すると、「名簿を見て判断する」形だと言えます。各シグネチャーには既に知れた攻撃の構成要素である「パターン」が含まれています。WAFは全てのリクエストとサーバの応答をシグネチャーと比較し、一致するかを確認します。そして一致するパターンが確認された場合、予め設定されたセキュリティポリシーに従って警告を行ったり、トラフィックを完全に遮断するなどの措置を取ります。

シグネチャー方式のメリット

シグネチャー方式の場合、ベンダーが新たに発見された攻撃に対して迅速にアップデートを行えるというメリットを持ちます。一般的に、一つのシグネチャーは一つの攻撃に含まれる特定のパターンを定義します。そのため運営メカニズムが比較的簡単であり、ユーザが「特定の位置で特定の攻撃だけを遮断」しようとする場合に効果的です。また、特定の攻撃パターンのみを定義するため、誤検知率が比較的低いという特徴を持ちます。

 

シグネチャー方式のデメリット

新たな攻撃が発見される度にシグネチャーを追加しなければいけない、というのがシグネチャー方式の一番のデメリットです。つまり、頻繁なアップデートが必要になるという事です。最近には一刻ごとに新たな攻撃が発見されており、多数のシグネチャーが必要となります。しかし、全ての攻撃を記録し、WAFに適用するのは事実上不可能です。莫大なサーバのリソースを占領するとともに、Webアプリケーションの性能を大きく落とす結果につながるからです。また、シグネチャーが作成されていない「ゼロデイ攻撃」など、未知の攻撃に対応できないというデメリットにも注目する必要があります。

他にも、不要なシグネチャーの数が増えるにつれ、正常なトラフィックを遮断する恐れが増えるというデメリットも存在します。これは誤検知率の上昇に繋がります。そのため、必要なシグネチャーのみを維持する必要があるでしょう。しかし、各シグネチャーの必要性を全て判断し適用できるのか、という部分が疑問として残ります。このような問題を解決するため、一部のベンダーは初期に数週間の機械学習過程を進め、アプリケーション環境を研究したりもします。しかし残念ながら、いつも最適な結果が導き出されるわけではなく、コストの上昇という悪影響を及ぼしたりもします。

 

ルールをベースに、知能的に検知するロジックベースのWAF

ロジックベースのWAFは「事前に定めたルール、つまりロジックをベースに攻撃を検知する方法」です。シグネチャー方式に比べさらにテクノロジーに依存し、人手はほとんど必要としません。一般的にシグネチャーは攻撃のソースコードで構成されますが、ルール基盤検知を活用するWAFは攻撃パターンを記録せず稼働されます。その代わり、様々な攻撃パターンからルールを導き出すのです。ロジックベースの検知エンジンを通じソースコードのパターンを分析し、主に含まれているコードを探し出します。そのため、たった一つのルールだけでも数百のシグネチャーが含む多数の攻撃を定義することが出来るのです。つまり、ルールは「パターンのパターン」だと言えます。

ロジックベースWAFのメリット

Webアプリケーションの環境によりますが、シグネチャー方式は2,000から8,000個以上までのシグネチャーを必要とします。しかしロジックベースWAFの場合、同じ量の攻撃を検知するのにわずか数十個のルールのみを要します。そのため、より速い処理速度と高い性能を保証できる点が最大のメリットとなります。

ペンタセキュリティの研究チームが行った一連のテストによると、27個のルールを使用したロジックベースのWAFは攻撃の95%を遮断するのに成功しました。これは8,000個のシグネチャーを適用したものと同様の結果です。また、何も設置されていない場合と比べ、ロジックベースWAFの場合は処理速度が20%ダウンした半面、シグネチャー方式の場合は50%ダウンしたといいます。

ロジックベースのWAFが持つもう一つの特徴は、シグネチャー方式のWAFに比べ維持・管理に要するリソースが極めて低いという点です。最初にルールが一通り設定されたら、以後追加アップデートをほぼ要しません。ベンダーは極めて必要とされる場合だけ既存のルールをアップデートし、新たなルールを追加します。またシグネチャーではなくルールで攻撃を検知するため、ゼロデイ攻撃などの未知の攻撃からも対応できます。

 

ロジックベースWAFのデメリット

一部の人たちは、介入する余地があるということでシグネチャー方式のWAFを好む場合があります。また、ロジックベースのWAFは人工知能に対する依存度が比較的高いという特徴を持ちますが、そのためコントロールするのが難しいという意見もあります。その他にも、膨大なシグネチャーリストを確認するのに慣れすぎて、「少ないルールだけでもしっかりとセキュリティ対策を取れるのか」と疑う意見もあります。まとめると、人工知能に対する不安や不信のみがロジックベースWAFのデメリットです。

 

まとめ

各企業の状況は違えど、セキュリティ対策を求められているという部分は変わりません。ハッカーの手口が進化を続けている中、セキュリティ対策もまた迅速に進化する必要があるでしょう。しかし、企業がリソースを注ぐべき分野はますます増えており、状況にあったものを選ぶ必要があります。その中で、いったん設置すればリソースをほぼ要しないロジックベースWAFもまた、有効な選択肢となるでしょう。Clourbricはロジックベース検知エンジンを搭載しながらも、手軽に運用できるクラウド型WAFです。高レベルのセキュリティ技術と合理的な価格、そして利便性までを満たします。ぜひ無償トライアルでCloudbricをご体験ください。

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

VPN thumbnail

VPN関連事故多発!企業の情報に迫る脅威と対策

2020年8月下旬、犯罪サイトに全世界900個以上の企業のVPN情報が流出されたというニュースが大きく報道されました。この中には38個の日本企業も含まれており、大きな衝撃を与えています。VPNは外部から企業の内部ネットワークに接続する用途で使われており、新型コロナウイルスの蔓延に従ってテレワークが拡大されるにつれ、その使用量を増しています。そしてテレワークの日常化が進んでいる今時、その必須的な手段と呼ばれるVPNがハッキングされたという事実は、かなりの意味を含んでいるのです。

 

多数の企業が被害を受けた、VPNによる新たな脅威が台頭

今回発生した大規模ハッキングは、米パルスセキュア社のVPNサービスを利用している企業をターゲットにした事件です。実は2019年、対象となったVPNに脆弱性が存在していることがすでに把握され、パルスセキュアにより修正用パッチを配布されました。また、2020年4月には、アメリカ政府及び関連機関も該当サービスを利用する企業に対しハッキングの脅威を警告し続けてきました。しかし、それから数か月しか過ぎてないにも関わらず、今回の事件が発生したのです。被害を受けた平田機工は、情報流出の原因を次のように明かしました。

VPNパスワード流出、原因は「テレワーク用に急きょ稼働させた旧VPN装置に脆弱性」 平田機工
2020年8月26日
4月から始めたテレワークの負荷分散のため旧VPNシステムを急きょ稼働させたところ、最近発見された脆弱性を突かれて、社員24人とVPNシステム管理用のユーザーIDとパスワードが抜き取られたという。社内ネットワークに侵入された形跡はなかったとしている。
同社は4月後半からテレワークを実施。その負荷に現VPNシステムでは対処しきれなくなったため急きょ、前年度に交換した旧VPNシステムを4月22日から稼働させて負荷を分散させた。
だが旧VPN装置には最近発見された脆弱性があり、社員24人とVPNシステム管理用のユーザーIDとパスワードが6月25日に抜き取られ、その後、ダークウェブ上で2週間アクセス可能になっていたという。
引用: ITmedia NEWS

在宅勤務が必要になったため、VPNを急に利用した結果、このような問題が発生したとのことです。幸い、大きな被害が発生してはないとのことですが、いつ被害が発生してもおかしくはない、という状況であることも確かです。例えば奪取されたVPNの認証情報が利用され、企業の内部ネットワークやサーバに無断侵入されるケースが考えられます。

このような状況を鑑みると、今回の事件の責任は適時に最新パッチを適用しなかった企業にあると言えます。しかし、VPNに存在するすべての脆弱性が発表され、対応パッチが配布されるわけではないため、今後もいくらでもVPNによる事故が発生しかねないという事です。

 

VPNによって発生する情報流出事故の原因と対策

今回の事件によって発覚した最も大きな問題は、「VPNさえ使えば安全だ」という思い込みです。VPNは外部から内部ネットワークに接続できるよう、ブラウザとサーバ間に暗号化されたトンネルを設け、そこからの通信のみを許容します。「ネットワークに境界線を作り、内部への侵入を防ぐための対策」だと言えますが、そのトンネルが安全だと断言できるのでしょうか。

三菱電機で起こった事件が代表的な反例です。機密情報や個人情報が流出し、大きな話題になりましたが、その始まりがVPNに対する攻撃だったのです。

三菱電機へのサイバー攻撃、VPN装置にハッキングか
2020年5月2日
三菱電機への大規模なサイバー攻撃で、不正アクセスの起点が「仮想プライベートネットワーク(VPN)」と呼ばれる通信機器へのハッキングだった可能性が高いことが複数の関係者への取材で分かった。ネットワークに侵入した中国系ハッカー集団「BlackTech(ブラックテック)」が、防衛に関する機密や個人情報を流出させたとされる。…
同社の複数の関係者によると、中国拠点のPCで外部との不審な通信がないか調べたところ、中国国内にあるデータセンターに設置されたVPN装置に不正アクセスの痕跡が見つかったという。装置は中国など海外の拠点と日本の拠点をネット回線を介して互いにつなげる役割がある。この装置へのハッキングが社内ネットワークへの侵入のきっかけだったとみている。
引用: 朝日新聞

ハッカーはVPN装置に対する攻撃を起点に社内ネットワークへ侵入し、大規模なサイバー攻撃を仕掛け、その結果情報が流出されました。つまり、「VPNさえ使えば安全だ」という前提がこれ以上有効ではないのです。

また、VPN自体が安全だと仮定しても、それを利用するデバイスが安全だとは言えません。テレワークの際に個人のPCが攻撃され、認証情報が奪取された場合を想定してみましょう。VPNは普通、IDとパスワードにより使用者の認証を行い、その後のチェックは行いません。よって、ハッカーが奪取した認証情報を利用し、疑われることなく企業の内部ネットワークに接続して情報を得ることができるでしょう。またVPNはデバイスに問題があるかどうかを検証しないため、マルウェア感染がデバイスから社内アプリケーションに拡大する恐れがあります。

このような状況を未然に防ぐには、ネットワークに境界線を作り侵入を防止するのではなく、社内ネットワークの中にも脅威が存在することを認識することが重要です。例えば、内部システムに接続された後にも、多要素認証等の手続きを経たユーザだけにデータの閲覧を許可するなどの対策が考えれるでしょう。侵入を入り口だけで防ぐのではなく、壁が突破される可能性を考慮して複数の防衛線を張り、ハッカーにさらなる負担をもたらすのです。「中にある情報の価値以上の対価を支払うようにして、諦めさせる」というセキュリティの基本ポリシーを常に頭の中に入れておきましょう。

 

さいごに

生き方や働き方が絶えなく変化するのに合わせ、セキュリティに対するアプローチも常に進化する必要があります。もちろんVPNも様々なメリットを持つセキュリティ対策ですが、その限界もまたはっきりしています。当たり前のように思っていた「VPNさえ使えば安全だ」という前提を覆し、内外に関わらず全体像を考えながらセキュリティ対策を取る必要があります。クラウドブリックはこのような状況を鑑み、「Remote Access Solution」をリリースしました。VPNと同じ用途で使用でき、「ハッキング防止」、「2要素認証」、「リアルタイムのモニタリング」という三つの矢で企業のセキュリティをサポートします。さらに詳しい情報は、リンク先からご確認ください。

Cloudbric RAS

DDoS Thumbnail

狙われているからこそ知るべき、DDoS攻撃の4つの種類

もはや全てのWebサイトがハッカーに狙われているといっても過言ではない時代です。特にDDoS攻撃は、政府機関や自治体からエンタープライズのWebサイトに至るまで、対象や規模に関係なく被害を起こしています。しかし、被害をただ受けているわけにはいきません。「敵を知り己を知れば百戦危うからず」という言葉の通り、敵を正しく理解することこそが被害を防ぐ近道なのです。そこで今回は、DDoS攻撃を4つの種類に分類し詳しく紹介したいと思います。

 

手口によって分類される、DDoS攻撃の4つの種類

DDoS(Distributed Denial of Service)攻撃とは普通「数十台から数百万代のPCをリモート操作し、特定のWebサイトに同時に接続させ、短時間で過負荷を起こす攻撃」を意味します。最近シャープがマスク販売を始めた際、Webサイトがダウンした(引用: PHILE WEB)事件をご存知でしょうか。このように多数の人が一つのサイトにアクセスする場合、サーバの能力ではすべてのリクエストを処理できずWebサイトの動作が止まる、というケースが頻繁に起きています。そして、そのような現象を人為的に作り出すのがDDoS攻撃です。

しかし、すべてのDDoS攻撃が同じような形で行われるわけではありません。その手口によって「ボリューム攻撃」、「プロトコルを狙った攻撃」、「アプリケーション層攻撃」、そして「混合型攻撃」に分けられます。

ボリューム攻撃

ボリューム攻撃はDDoS攻撃の中でも最も一般的な形です。正常なトラフィックさえもWebサイトに接続できないようにすることが目的です。ハッカーはインターネットに繋がった多数のPCを利用します。そして、目標とするサイトで定められている量以上のトラフィックを送信し、サーバが使うことのできる帯域幅を封鎖します。

代表的な例としては、「UDP Floods」を挙げることができます。UDP(User Datagram Protocol)とは、セッションを持たない、つまり応答を待たないネットワークプロトコルです。IP(Internet Protocol)製品群には必ず存在するのでハッカーに利用されやすい、という特徴を持ちます。ハッカーはUDP Floodsを実行するため、まず対象となるホストのポットを奪取し、さらに多くのUDPが受信されるようにします。その結果、リクエストをシステムが処理できないほど受信されるトラフィックが増え、サーバがダウンします。

プロトコルを狙った攻撃

プロトコルを狙った攻撃(以下プロトコル攻撃)はボリューム攻撃と違い、帯域幅ではなくサーバのリソースを消耗させる形をとります。またその攻撃目標も、ファイアウォールやロードバランサなど、サーバとWebサイトを繋ぐ「中間通信装備」をターゲットとします。ハッカーは対象となるサーバのリソースを使用するため、まず不正なプロトコル要請を作成し、Webサイトとサーバのリソースを掌握します。
代表的な例としては、「Smurf DDoS」を挙げることができます。ハッカーは目標となるサーバから奪取したIPを含む、ICMP(Internet Control Message Protocol)パケットを悪用します。特にその中でも、メッセージおよびデータパケットをネットワークシステムに転送する際に使用される「IPブロードキャストアドレス」が主に利用されます。基本的にネットワークに存在するほとんどの装置が応答するように設定されている、という特徴を持ちます。ハッカーはまず、目標とする装備のネットワークにターゲットとなるデバイスのIPブロードキャストアドレスを転送します。よってネットワークに存在するデバイスの数が十分に多い場合、被害者のデバイスにトラフィックが集中し、サーバがダウンします。

アプリケーション層攻撃

アプリケーション層攻撃は、その名の通りアプリケーションの脆弱性を攻撃する形です。Apache、WindowsやOpen BSD等のアプリケーションが主なターゲットとされます。一般的にボリューム攻撃およびプロトコル攻撃よりも少ないリソースを要します。また、特定のアプリケーションを対象にするため、把握しにくい場合があります。主にオンラインコマースなど、特定のWebサイト機能をターゲットに行われるケースが多数発見されています。ハッカーはユーザのトラフィック行動を模倣し、一見正常に見える多数のリクエストを送信してサーバを麻痺させます。

代表的な例としては、「Slowloris」を挙げることができます。一つのWebサーバを通じ、他のサーバも麻痺させる手口です。ハッカーが利用するのは「HTTPヘッダ」です。HTTPヘッダはクライアントとサーバが情報を交換できるよう許可する役割を随行します。ハッカーはまず、ターゲットとなるサーバに接続し部分的なリクエストのみを転送して、多数のサーバへの接続をできるだけ長く保留させます。その後、多数のHTTPヘッダに対する部分的なリクエストのみを持続的に転送します。サーバが処理できるリクエストの最大値を超えるにつれ、リクエストを処理できないようになり、サーバがダウンします。

混合型攻撃

多数のDDoS攻撃はボリューム攻撃、プロトコル攻撃、そしてアプリケーション層攻撃という3つの分類に収まります。しかし、DDoS攻撃は毎分毎秒精密に、そしてさらに巧妙に進化しているので、全ての攻撃をその中に含めるのは不可能です。実際、混合型攻撃は最近最も多く発見されている手口です。その言葉通り、二つ以上の攻撃を重ねた形で行われます。

代表的な例としては、プロトコル攻撃を仕掛けて注意を散らし、アプリケーション層攻撃を追加的に行うケースを挙げることができます。アプリケーションの脆弱性を探し出す過程には時間がかかるため、まずターゲットを混乱させた後時間を稼ぐのです。その他にも多数の混合型攻撃が発見されており、その頻度や被害規模が増加している状況です。

 

最後に

DDoS攻撃は、この先にも絶えず発生するでしょう。その被害から逃れるには、「うちのWebサイトは安全だろう」と言った甘い考え方から脱却する必要があります。徹底した備えこそがWebサイトと企業の情報を守る第一歩です。DDoS対策として企業側で最も簡単に取れる対策としては、Webアプリケーションファイアウォール(WAF)の導入が薦められます。

ペンタセキュリティはWebアプリケーションレベルでのDDoS攻撃へ対応できるクラウド型WAF、「クラウドブリック」を提供しています。高セキュリティを保ちながらも、中小企業でも手軽に導入できます。DDoS攻撃を防御するための合理的な対策を、下のリンクを通じご確認ください。

thumbnail

ハッカーの高速道路、知らぬ間に組み込まれる「バックドア」

「泥棒」という言葉に、どのようなイメージを思い浮かばれますか。顔を隠し風呂敷を背負って、裏口を静かに通り過ぎて家に侵入するキャラクターが泥棒の代名詞ですが、サイバー空間での泥棒であるハッカーにも同じようなイメージが当てはまります。Webサイトに忍び込み、金銭を狙って情報を盗むハッカーは「バックドア」と呼ばれる裏口を設置し、忍び込んで情報を奪取するのです。そこで今日は、バックドアとは何か、そしてどのようなセキュリティ対策をとれるのかを紹介します。

 

ハッカーの代表的な手口、「バックドア」とは

「バックドア」とは正規の認証プロセスを経ず迂回して、製品やシステムまたはアプリケーションに接続する方法です。主に設計や開発の段階で意図的に作られます。しかし、ハッカーはこれを悪用し情報を奪取するための「通路」として利用します。特にシステムネットワークを経由して他のPCを攻撃する「リモート攻撃」の手段としてよく使われています。デバイスの持ち主に認識されることなくシステムに侵入できるので、被害が実際に発生しないとバックドアの存在を認識できないケースが多く、とてつもない被害が発生しかねます。逆にハッカーにとっては、いったん設置に成功さえすれば楽に大きな利益を狙えるということになるのです。そのためハッカーは、バックドアを設置するため様々な手段を駆使します。代表的な2つの手段を見てみましょう。

トロイの木馬

ギリシャ神話によると、ギリシャ連合軍はトロイを滅ぼすため「トロイの木馬」を建造したそうです。外見は無害なものに見えましたが、中には武装した兵士が潜んでいました。サイバー空間でのトロイの木馬も、同じように作動します。一見「使えるプログラム」に見えますが、実際にはユーザをだますソフトウェアが潜んでいるのです。主にメールの添付ファイルやWeb情でダウンロードできるファイルとして流通され、ユーザが何も考えず実行するとすぐさまバックドアを設置します。ScanNetSecurityによると、最近にはPCプログラムの形だけではなくスマホアプリの形でも流通されるなどその手口がさらに巧妙化されており、格別な注意が必要とされます。

Webアプリケーションを狙った攻撃

Webアプリケーションの脆弱性を狙ったハッキングは、Webの使用頻度が増加するにつれその威勢を増しています。OWASP TOP10は、その多数がWebサイトのコードを悪意的に改ざんして隙を狙う形だと報告しています。代表的な例にはコードに対するハッキングである「SQL Injection」を挙げることができます。これはバックドアを設置するための足がかりになりえます。例えば、トロイの木馬が含まれたプログラムをWebサイトに不正アップロードすることなどが可能になります。その他にもCross-Site Scripting(XSS)を通じバックドアを設置するソフトウェアを拡散するなど、様々な手段がバックドアを設置するため使用されています。

このような手段で設置されるバックドアは単に情報を奪取するだけではなく、他のデバイスに対する攻撃に使われるなど、様々な被害をもたらす可能性があります。

 

ハッカーの通行を防ぐ方法

あなたならどうやって裏口から潜みこむ泥棒を防ぎますか。裏口を閉鎖してしまう方法もあれば、セキュリティ業者と契約し監視カメラを設置するという方法もあります。しかし、「物理的な通路」が目に見えない、サイバー空間のハッカーはどう防ぐのでしょうか。実は、ハッカーの通行を防ぐ方法は驚くほど現実世界と似ています。

裏口を閉鎖する: 既に設置されたバックドアを塞ぐ方法

既に設置されたバックドアを除去する方法は、現実世界で裏口を無くす方法に当てはまります。現在使用されているほとんどのOSとソフトウェアにはセキュリティーホールが点在しており、100%安全だと言い切れない状況です。例えば、マイクロソフトは2020年8月にもWindowsを含む多数のソフトウェアから脆弱性が発見されたと報告しています(引用: Impress Watch)。もちろん開発する側も設計過程から脆弱性を排除するための手を加えていますが、それにも関わらず新しい脆弱性が発見されているのです。よって、常に最新パッチやアップデートを適用する必要があります。特にベンダーから公開された脆弱性は多数のハッカーに目を付けられる可能性があるので、できるだけ早く対処する必要があります。

監視カメラを設置する: バックドアを未然に防ぐ方法

泥棒を防ぐために最も徹底しなければいけないのは、「泥棒に対する意識」です。常に鍵の掛かり具合を確認し、窓がよく閉まっているのかを確認するなど注意を注ぐ必要があります。ハッカーに対しても、同じことが言えます。「セキュリティに対する意識」が重要なのです。怪しいWebサイトに近づかず、正体が確認できないファイルを開かないという事を徹底するべきです。

しかし、一個人がいくら努力をしようと、一から百まで全ての可能性を考慮するのはほぼ不可能です。そのため、現実世界ではセキュリティ企業と契約し、監視カメラを設置するなど様々なセキュリティ対策を取ります。サイバー空間でも、同じくセキュリティ企業と契約することができます。そして一番怪しいと思われる場所に監視カメラを設置するように、一番危険な領域からセキュリティ対策を取っていくのです。よって、最近攻撃が最も多く発生しているWebアプリケーションの安全を守ることが、もっとも合理的な判断になるでしょう。

WAF(Webアプリケーションファイアーウォール)はWebアプリケーションを防御するためのセキュリティ対策であり、ネットワーク上で防御と監視を同時に行います。単純に脆弱性を保護するだけではなく、通信を監視し怪しい接近を遮断するのです。最新パッチを適用しづらいWebアプリケーションを守り、SQL InjectionやXSSなどバックドアを設置するため用いられる攻撃の存在を監視します。そのため、WAFはWebアプリケーションを通じバックドアを設置しようとするハッカーを防ぐための、最も総合的で最も確実な対策だと言えるでしょう。

 

最後に

ハッカーの攻撃は、現実世界の泥棒がもたらすものよりもはるかに莫大な被害をもたらします。特に自分のパソコンなどにバックドアが設置された場合、一回に止まらずいつでも情報を盗まれる可能性が高く、他人を攻撃する踏み台として利用される可能性も十分存在するので、被害規模は予想すらできません。そのため、バックドアに対して格別な注意を注ぐ必要があるでしょう。
ペンタセキュリティは簡単に利用できるクラウド型WAF「クラウドブリック」を提供しています。Webアプリケーションの脆弱性を通じバックドアを設置しようとするハッカーを効率的に防ぎ、リモート攻撃までも防御する最善の対策です。リンクを通じ、詳細をご確認ください。

thumbnail

情報流出事故1位のWebアプリケーション攻撃、セキュリティ対策は?

楽天市場で買い物をしたり、必要な情報をグーグルで調べたりなど、日常生活の半分以上がWebを通じ行われているという言葉がもはや過言ではない時代です。企業にとっても、オンラインビジネスは今や当たり前になっています。しかし、Webがメリットだけをもたらすわけではありません。Web、その中でも特に「Webアプリケーション」を狙ったサイバー攻撃が増加しており、いつ事故が起こってもおかしくない状況なのです。そこで今回は、Webアプリケーションを守るべき理由と、企業が手軽に取れる対策である「クラウド型WAF」について説明していきます。

 

ITシステムの安全には、アプリケーション領域のセキュリティが必須

Webアプリケーションが属するアプリケーション領域は、ITシステムの中でもユーザと最も近い領域です。よって、ハッカーには格好のターゲットとなっています。実際、2019年に発表された「IPA 情報セキュリティ白書」でも「Webアプリケーション攻撃」が情報流出事故の1位を記録しており、より強固なセキュリティが求められている状況なのです。

引用: IPA 情報セキュリティ白書 2019

まず、ITシステム全般のセキュリティから見ていきましょう。データの送受信が行われるネットワーク領域では、IP/Portに対する接近の制御や、有害なトラフィックの検知などのセキュリティ対策が行われます。システム領域には身近なWindowsなどのOSが含まれており、アプリケーションが作動するためのプラットフォームの役割を果たしています。システム領域に対しては、一般的にセキュリティパッチの適用、システムの不正コード探知などの対策が行われます。


それでは、アプリケーション領域に対してはどのようなセキュリティ対策を取るべきなのでしょうか。アプリケーション領域ではWebサイトやアプリケーションなど、一般的に利用されている機能やサービスが作動しており、データを保存・利用するケースが多く見られます。特に、Webアプリケーションには膨大な量のデータが蓄積されていることが多々あります。そのため、ハッカーのターゲットになるケースが多く見られるので、より強固なセキュリティ対策が必要になってきます。しかし、ネットワークやシステム領域に比べるとまだセキュリティに対する意識が浸透しているとは言えない状況です。企業が取っている代表的なセキュリティ対策としては、WAFを挙げることができます。

 

Webアプリケーションセキュリティを担うWAF

WAF(Webアプリケーションファイアーウォール、Web Application Firewall)はその言葉通り、Webアプリケーションを防御するセキュリティ対策です。ダイレクトに迫る攻撃を防御する他にも、情報流出やWebサイトの偽変造を防ぎます。現在様々なWAFが市場に出回っていますが、その形によって大きく「アプライアンス型WAF」、「ソフトウェア型WAF」、「クラウド型WAF」の3種類に分かれます。

アプライアンス型WAF

アプライアンス型WAFはハードウェアにて運用されます。WAFの基本形だと言えるでしょう。サーバのすぐ隣に設置されるので、迅速な処理速度と高い性能を誇ります。

ソフトウェア型WAF

ソフトウェア型WAFは物理的なハードウェアを利用せず、仮想マシン(VM, Virtual Machine)の形で運用されます。クラウド上で作動するシステムが注目されていますが、それに合わせWAFを利用できるようにしたものです。

クラウド型WAF

クラウド型WAFはクラウド上に設置されたWAFをサービスとして利用する形です。つまり、WAFのサブスクリプションサービスと言えるでしょう。物理的な機器及びハードウェアを利用する必要がないため、簡単にWAFを利用したいというユーザに利用されています。例としては、ペンタセキュリティのクラウドブリックを挙げることができます。

この中でもクラウド型WAFは「便利さ」と「合理的な価格」という特徴を持つため、数々の企業から注目されています。アプライアンス型WAFやソフトウェア型WAFと違ってDNSを変更するだけで簡単に設置でき、管理費やアップデート費用などの追加コストを要しないため、実際に多数の企業から利用されています。クラウドブリックもまた、国内の5,500個以上のサイトを保護しています。

 

ロジックベース検知エンジンでセキュリティを担う、クラウドブリック

クラウドブリックはアジア・太平洋マーケットシェア1位である「WAPPLES」のエンジンを搭載したクラウド型WAFです。「便利さ」と「合理的な価格」という特徴を通じ、多数のお客様から高い評価を得ています。DNSの変更だけでサービスを利用でき、ユーザ様の状況に合わせ様々な料金プランを提供しています。しかし、クラウドブリックの特徴はそれだけではありません。クラウドブリックの最大の武器は「攻撃を論理的に分析・判断し防御する」という機能です。

多くのWAFは「シグネチャマッチング」という技術を使用しています。事前に作成されたリストを参照し、トラフィックを検査する方法です。しかし、クラウドブリックはロジックベースの「ロジックベース検知エンジン」を搭載しており、ルールに従って攻撃を検知します。シグネチャマッチングを利用するWAFの場合には、リストに存在しない攻撃を防ぎきれないケースが見られます。しかし、クラウドブリックはロジックベースで攻撃を徹底的に分析するため、ゼロデイ攻撃などの未知の攻撃にも適切に対応することができます。その他にも、DDoS遮断やSSL証明書の無料発行など、Webサイトを安全に保護するための総合的機能を備えています。

 

最後に

Webアプリケーションはこの先にも様々な用途で利用されるでしょう。しかし、セキュリティ対策が施されていないWebアプリケーションは、ハッカーの獲物にすぎません。クラウドブリックはクラウド型WAFのメリットである便利さと合理的な価格に加え「知能的に働く」ので、多数のお客様から高い評価をいただいています。クライアントの情報を守るため、そして会社のイメージを守るためにもセキュリティ対策が必要な今、無償評価でクラウドブリックをお試しください