情報漏えい対策WAF

個人情報がつまったECサイトが狙われている!ECサイトが受ける不正アクセス攻撃とリスクについて徹底解説 


ECサイトが受けるセキュリティ脅威として、主に「個人情報漏えい」と「クレジットカードの不正利用」があります。個人情報漏えいは、外部からの不正アクセス(サイバー攻撃)によって、自社で保有している個人情報が流出してしまうことです。近年、特に「パスワードリスト攻撃」の被害によって個人情報が流出してしまうサイトが相次いでいると危惧されています。今回は2回に分けて、ECサイトが受ける攻撃とその事例、そして対策についてまとめてみました。第一回目は「パスワードリスト攻撃」による情報漏えいについての手法を中心にご紹介します。

 

ECサイトが受ける不正アクセス攻撃とリスク

ECサイトは購入者の個人情報やクレジットカードといった、サイバー攻撃者に狙われやすい情報が蓄積されていて格好のターゲットとなっています。もしECサイトが一度不正アクセスを受けると次のような被害が発生します。

  • 現金化しやすい「ポイントチャージ」商品を大量に購入する。
  • 登録しているクレジットカード情報を盗み出し、別サイトで決済する。
  • 住所を変更し、現金化しやすい商品を大量に購入、発送する。

不正アクセス攻撃によってサイト運営者がうけるリスク

ECサイトが攻撃を受けて顧客の個人情報やカード情報等が流出すると、以下のようなリスクが発生します。

  • 購入者をはじめ、社会からの信頼を失墜。
  • 事実告知やお詫び等の費用・労力。
  • 当該サイトを一時閉鎖することによる、売上減少。
  • 漏洩原因の調査、システムの改修等の費用。
  • 購入者様のカード差替費用。
  • 行政当局、マスコミへの対応。
  • 個人情報流出への損害賠償の支払い。

こうしたリスクは社会的信用の失墜の他、莫大な損害賠償等金銭的負担も大きくかかってくる場合があります。サイト運営者が、情報が流出した顧客一人一人に賠償しなければならなくなることもあります。個人情報流出の損害賠償平均額は年々莫大になり、JNSAの『2018年 情報セキュリティインシデントに関する調査報告書』によると、一件あたり平均想定損害賠償額は6億3,767万円ともなりました。企業価値の維持とリスクヘッジのため対策が絶対不可欠になってきます。

 

パスワードリスト攻撃の手法

パスワードリスト攻撃

「パスワードリスト攻撃」とはリスト攻撃とも言われ、オンラインサービス等への不正ログインを狙った不正アクセス攻撃の一種です。何らかの手段により他者のID・パスワードを入手した第三者が、これらのID・パスワードをリストのように用いてさまざまなサイトにログインを試みることで、個人情報の閲覧や窃盗などを行うサイバー攻撃です。このリストは他のサービスから流出、窃取されたIDとパスワードのリストで、他のサービスでも同様のID、パスワードを利用している場合には総当たりが不要で、リストに従って不正アクセスを試行すれば簡単にアカウントの乗っ取りが可能になります。

ユーザがとあるサイトA、サイトB、サイトCで同じパスワードを使いまわしていた場合、どこか一つのサイトが攻撃を受けてそのパスワードリストが流出すれば、他のサイトもアカウントを不正に乗っ取ることが可能になります。ユーザ側がパスワードを使い回す理由は、「各サイトともに、大文字小文字、数字、記号などを組み合わせるパスワードを求めているが、こうした複雑なパスワードをたくさん覚えられない。よって、要件を満たすパスワードを1つ作って、そのパスワードを複数のサイトで使い回すのが便利」という考えからです。

パスワードリスト攻撃による被害が増えている理由として、IDとパスワードがセットになったリストが「ダークウェブ」(闇ウェブ)などで販売されている点があげられています。仮にサイトAからパスワードリストが流出し、サイトAがパスワードの変更等措置を講じても、他のサイトではそのパスワードを使える可能性が高く、攻撃者は別なハッカーに対して、「ショッピングサイトAから流出したパスワードリスト」を販売する手法をとることもあります。匿名性が高い「ダークウェブ」上で情報のやり取りをし、決済はビットコインなどの「仮想通貨(暗号資産)」を使い、「誰がどこで決済したか」が分からないように売買を行います。

その他の攻撃

ネットショップの中にはカスタマイズ性の高いオープンソースのショッピングカートを使ってるところもあります。しかしきちんとバージョンアップへの対応等メンテナンスを行えていないところもあり、そうした場合、カートシステムのプログラムの脆弱性を突かれ不正アクセスを受けることもあります。

 

パスワードリスト攻撃による実際の攻撃事例

ヤマト運輸がクロネコメンバーズ3467件の不正ログインを確認 - 2019年7月25日
ヤマト運輸は7月24日、クロネコメンバーズのWebサービスにおいて外部から「パスワードリスト攻撃」(他社サービスから流出した可能性のあるIDとパスワードを利用して、Webサービスにログインを試みる手法)による不正ログインがあったことが判明したと発表した。
同社によると、7月23日に特定のIPアドレスからの不正なログインを確認し、緊急の措置として該当のIPアドレスからのログインを遮断するなどの対策を講じた上で調査した結果、不正なログインに使用されたID・パスワードは同社で使用されていないものが多数含まれており、他社サービスのID・パスワードを使用したパスワードリスト攻撃による不正ログインと判明したという。
引用:https://news.mynavi.jp/article/20190725-865750/

「リスト型アカウントハッキング(リスト型攻撃)」による弊社オンラインストアサイトへの不正ログインの発生とパスワード変更のお願いについて -2019年05月14日
株式会社ファーストリテイリング株式会社ユニクロ株式会社ジーユー弊社が運営するオンラインストアサイト(ユニクロ公式オンラインストア、ジーユー公式オンラインストア)において、お客様ご本人以外の第三者による不正なログインが発生したことを、2019年5月10日に確認しました。
今回の不正ログインは、2019年4月23日から5月10日にかけて、「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われ、現時点判明分で不正ログインされたアカウント数は、461,091件となります。
引用:https://www.uniqlo.com/jp/ja/contents/corp/press-release/2019/05/19051409_uniqlo.html

「カメラのキタムラ」にリスト型攻撃で不正アクセス、個人情報が閲覧された可能性 -2020年6月17日
キタムラは6月15日、ECサイト「カメラのキタムラ ネットショップ」で“なりすまし”による不正アクセスが発生したと発表した。
不正アクセスの手法は、何らかの手段により他者のID・パスワードを入手した第三者が、これらのID・パスワードをリストのように用いてさまざまなサイトにログインを試みることで、個人情報の閲覧などを行うサイバー攻撃「リスト型アカウントハッキング(リスト型攻撃)」。
悪意の第三者が外部で不正に取得したと考えられるメールアドレス・パスワードを使い、「カメラのキタムラ ネットショップ」に不正ログインを試行。複数人の会員情報で不正アクセスが行われ、顧客情報が閲覧された可能性があるという。
引用:https://netshop.impress.co.jp/node/7742

こうした大手のサイトでも次々とパスワードリスト攻撃の被害が生じています。いつ自社が被害にあうか常に危機意識を持つ必要があります。

パスワードリスト攻撃への対策にも有効なWAF

「パスワードリスト攻撃」などは、ユーザにパスワードの使い回しをやめるよう注意喚起する方法もあります。もちろんそれだけではセキュリティ対策として不十分です。ECサイトへの攻撃を運営側が防ぐには次のような対策を取り入れるのが推奨されています。

  • 多要素認証(二段階認証)が導入されている。
  • リスクベース認証が導入されている。
  • これまでログインされたことがないIPアドレス (接続元) からアクセスがあった場合のみ、追加の認証を要求する。
  • 住所変更、クレジットカード変更など、重要な情報を変更するときには、ID・パスワード以外の情報を追加で要求する。
  • ログインすると、自動のメールなどで「現在ログインされました」という通知が送られる。(万が一不正アクセスが発生しても、早期に気付ける仕組み)

こうした「セキュリティに強い」サイトにするには手間をかけるか、ツールの導入も検討すべきでしょう。例えばクラウド型WAF(Webアプリケーション・ファイアーウォール)ならばWebサイトやWebサーバへのサイバー攻撃を可視化し、攻撃をブロックすることも可能です。例えば同じIPアドレス(端末)から連続して異なるアカウントでの大量ログインを検知した際、ID・パスワードが実際に存在するか否かに関わらず強制的にそのアクセスを遮断するような機能も備わっています。そのため今回ご紹介したような「パスワードリスト攻撃」への有効な対策となります。

クラウド型セキュリティ・プラットフォーム・サービス

Cloudbric WAF+

pentasecurity_Lateral Thinking_Partnership

ペンタセキュリティ、ラテラル・シンキングとパートナー契約を締結、Webセキュリティの提供を加速

情報セキュリティ企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳 貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、韓国本社、ヒューストン/米国法人)は11月12日、クラウド型セキュリティ・プラットフォーム・サービス「クラウドブリック(Cloudbric)」(サービスサイト:http://139.162.127.206/jp)において、ソフトウェア開発会社のラテラル・シンキング株式会社と販売代理店の契約を締結したと発表した。

ラテラル・シンキング社は札幌に本社を構えているソフトウェア開発会社で、Webシステム、アプリケーションの開発・保守・運用までトータルサービスを提供する。 札幌・東京・名古屋・福岡の4拠点で地域間にとらわれないサービスを提供するとともに、開発規模に合わせた柔軟なリソースを確保しているため多くの顧客から信頼を獲得している。

今回のパートナーシップの締結を通じて、両社はクラウド型セキュリティ・プラットフォーム・サービスの「クラウドブリック」提供における相互協力を開始する。「クラウドブリック」はクラウド型WAFサービス(Webアプリケーションファイアウォール)に無償SSL、L3/L4/L7のDDoS攻撃対策を基本機能として提供する。そこに、ブロックチェーン基盤の脅威IPサービスとWebトラフィックを学習するAIエンジンの搭載による高い検知精度の向上及び性能の高度化を実現し、より安全なWebセキュリティ環境を支援する。Webシステム開発に強みがあるラテラル・シンキング社は「クラウドブリック」を提案することで、顧客に対する提案力を上げるとともに拡大する顧客のセキュリティ対策ニーズに応えることができ、セキュリティへの専門性を強化する。

一方、 IoTやスマートデバイスなど、今後注目を集めると予想されるセキュリティ分野において、 ラテラル・シンキング社のシステム開発力とペンタセキュリティのセキュリティ・ソリューションを連携し、相互協力を推進していくことも期待される。

ペンタセキュリティ日本法人代表取締役社長の陳は、「 企業でのクラウドインフラへのシフトが加速するにつれ、Web脅威に対する統合的なセキュリティサービスを提供するクラウドブリックのお問い合わせが多く寄せられてる」」とし、「幅広いパートナーシップを通じてサービスネットワークを拡大し、他社とは一線を画した技術力をベースに、安全なWebセキュリティ環境の実現に向けて努力していきたい」と述べた。

securiy report

今でも続くWebアプリケーションへの攻撃!JPCERT/CCの最新レポートから読み解く攻撃手法を解析

10月15日、一般社団法人 JPCERTコーディネーションセンター(JPCERT/CC)が、2020年第2四半期のインシデント報告対応レポートを発表しました。国内外で発生するコンピューターセキュリティインシデントの報告をとりまとめたもので、今回は2020年7月1日~9月30日までの間に受け付けたインシデント報告の統計および事例について紹介されています。それによると、今期のインシデント件数は8386件で、前四半期の約1.2倍へと拡大しています。またフィッシング攻撃やWebサイトの改ざん、マルウェアサイトなどで増加が見られたということです。今回はこのレポートを基に、今危機感を持つべきWebサイトへの攻撃への高まりとは具体的に何か、その対処法はあるのかを重点においてお届けしていきたいと思います。

 

インシデント報告対応レポート統計

JPCERT/CCは、インターネット利用組織におけるインシデントの認知と対処、インシデントによる被害拡大の抑止に貢献することを目的として活動しています。今回発表されたレポートの統計についてまとめてみました。

インシデント報告関連件数

引用:JPCERT/CC

 こちらの図に示されているWebフォーム、メール、FAX等でJPCERT/CCに寄せられた報告の総件数は13,831件で、前四半期の1万416件から33%増加しています。JPCERT/CC が国内外の関連するサイトとの調整を行った件数は 4,807件で、前年比で調整件数は14%増加しました。

インシデントのカテゴリーごとの内訳

引用:JPCERT/CC

 インシデントの内訳を見ると、「フィッシングサイト」が5845件で前四半期から11%増加しています。7月は1842件、8月は1849件、9月は2154件と後半にかけて増加傾向が見られます。今期気になるのは、「サイト改ざん」と「スキャン」行為といったWebサイトを狙った攻撃の増加です。「サイト改ざん」は374件で、前四半期の291件から増加、「スキャン」行為も1380件で、前四半期の982件から拡大しています。その他「マルウェアサイト(158件)」「標的型攻撃(16件)」といった攻撃も前期を上回っています。

 

Webサイトを狙った攻撃の増加

JPCERT/CCのレポートに基づいたWebサイトを狙った攻撃の増加には主に、「サイト改ざん」と「スキャン」がありました。これらについて具体的に解説していきたいと思います。

サイト改ざん

Webサイト改ざんとは、企業などが運営する正規Webサイト内のコンテンツやシステムが、攻撃者によって意図しない状態に変更されてしまう攻撃です。攻撃者がWebサイトを改ざんする際の攻撃手法としては主に脆弱性攻撃による改ざん、管理用アカウントの乗っ取りによる改ざん、パスワードリスト攻撃の3種類があります。

1. 脆弱性攻撃による改ざん

  • Webサーバ上の脆弱性を攻撃することにより、最終的に改ざんを実現します。
  • 脆弱性の利用方法として、SQLインジェクション、Stored XSS、などの脆弱性攻撃により直接コンテンツの改ざんを行う方法と、脆弱性攻撃によりバックドアを設置するなどして遠隔操作で改ざんを行う方法の2つがあります。
  • 主に、サーバOS、Webサーバ、CMS、管理ツールなどのミドルウェアの脆弱性が狙われます。

改ざんの手口のうち、サーバーソフトウェアの脆弱性攻撃は、サーバ上で動いているCMS(コンテンツマネジメントシステム)やサービスの脆弱性を狙われるものです。例えばブログや簡易な企業サイトで使われているWordPress、Joomla!、Movable Type、XOOPSといったCMSの脆弱性がよく狙われています。

また「SQLインジェクション」攻撃もよく使われる手法です。セキュリティの対策が十分でないウェブサイトに、サイト内を任意のキーワードで検索できるフォームがあるとします。攻撃者がそのフォームへ不正な内容を盛り込んだSQL文を入力し検索を行うことで、そのSQL文の内容が実行されてしまうのです。これにより、本来は隠されているはずのデータが奪われてしまったり、ウェブサイトが改ざんされてしまったりします。攻撃者がウェブサイトに対してSQLインジェクション攻撃をしかけることで、不正なSQLの命令が実行されてしまい、ウェブサイトを利用者するユーザーのID・パスワード・クレジットカードの番号をはじめとした個人情報がすべて奪われてしまう可能性があります。

2. 管理用アカウントの乗っ取りによる改ざん

  • Webサーバにリモートアクセス可能な管理用アカウントの情報を窃取して乗っ取り、正規の方法でWebサイト操作を行って改ざんします。
  • 正規のWebサイト操作方法により改ざんが行われるため、被害に気づきにくい特徴があります。

正規のWebサイトに攻撃を仕掛け、中身を改ざんする手法ですが、その目的は、Webサイトにコンピューターウイルスを仕込んで閲覧者に感染させることです。以前は、いたずら目的でのWebサイトの改ざんが多く見られましたが、最近では、金銭が目的の被害が増えています。自社のサイトがこのような改ざん被害にあって、逆に顧客に被害を与える「加害者」になれば失墜する信頼は計り知れないものとなるでしょう。

3. パスワードリスト攻撃

  • パスワードリスト攻撃とは、攻撃対象となるWebサイトではない別のWebサイトから搾取したユーザー情報を使い、攻撃対象となるWebサイトで不正ログインを試みるサイバー攻撃です。
  • アカウントIDやパスワードをすべて別々に管理することが面倒なため、管理者PCや複数のWebサイトで同じアカウントIDやパスワードを使用しているケースがあります。

パスワードリスト攻撃とは、オンラインサービス等への不正ログインを狙った不正アクセス攻撃の一です。不正ログインのためにIDとパスワードがセットになったリストを利用することから本名称となっています。パスワードリスト攻撃を受けたとなると、Webサービスに対するユーザーからの印象が著しく低下します。「リスト型攻撃は他のウェブサービスから入手したアカウントとパスワードを使って不正アクセスする攻撃だ。ユーザーのアカウントとパスワードの管理の問題だ。」という見解の方もいらっしゃるでしょう。しかし、ユーザーの視点では「不正アクセスを許して個人情報の流出があったサービス」のように見えてしまうのです。

スキャン

スキャン攻撃とは、サイバー攻撃者が、攻撃先を探すために行うポートスキャンです。脆弱性の探索や侵入、感染の試行などを検知した件数が今回のレポートで増加し、警告されています。ポートスキャン自体は、サーバなどに対して稼働しているサービスを探り、開放されているポートを調べる行為で違法なものではありません。しかし、攻撃の事前準備として行われることが多いため、日常から適切な対処が必要となります。サイバー攻撃の手口は年々巧妙化していますが、システムの脆弱性を突くのが攻撃の基本となります。その脆弱性を見つけ出すためにポートスキャンは使われるのです。例えば、空いているポートがわかれば、そのポートを侵入経路として利用することができます。またサーバのOSやバージョンがわかれば、OSに依存する脆弱性を突くことができるのです。ポートスキャンも同様に、これ自体はサイバー攻撃ではなくても、これから被害が発生するかもしれないサイバー攻撃の予兆としてとらえることが重要です。

 

WAFで防御できること

こうした警鐘をならされているWebサービスへの攻撃の増加に対し、有効なのがWAFを用いた防御システムです。例えばWAFで防御できることには以下の様な項目があります。

  • SQLインジェクション
  • クロスサイトスクリプティング(XSS)
  • クロスサイトリクエストフォージェリ(CSRF)
  • OSコマンドインジェクション
  • ディレクトリリスティング
  • メールヘッダインジェクション
  • パス名のパラメータの未チェック/ディレクトリトラバーサル
  • 意図しないリダイレクト
  • HTTPヘッダインジェクション
  • 認証とセッション管理の不備
  • 認可制御の不備、欠落
  • クローラへの耐性

Webアプリケーションに関する脅威をブロックできるのが「WAF」です。WAFを使えばWebアプリケーションに脆弱性があったとしても安全に保護することができます。最近となっては、システムのクラウドへの移行という傾向もあり、クラウド型WAFが注目を集めています。従来のアプライアンス型WAFと比べ、専門の機器の導入やセキュリティ担当者による運用が必要ありません。そのため、リーズナブルな価格で短期間で導入できるといったメリットがあります。クラウド型セキュリティ・プラットフォーム・サービス「クラウドブリック(Cloudbric)」はWAF(Web Applicaion Firewall)サービスに加え、DDoS攻撃対策、SSL証明書、脅威情報データベースに基づく脅威IP遮断サービス、ディープラーニング(AI)エンジンによるWebトラフィック特性学習サービス、といったWebアプリケーションを守るトータル・セキュリティサービスを提供します。

Webアプリケーションを業務で利用するときは、セキュリティ上の脆弱性に注意しなくてはいけません。アプリケーションの開発者がセキュリティ対策を行っていても、人の手で作成されているため、脆弱性を完全になくすのは難しいでしょう。WAFはWebアプリケーションを保護する専用のファイアウォールのため、導入することでWebアプリケーションを安全に利用できます。
今現在、JPCERTのレポートからもわかるようにWebアプリケーションやサービスへの攻撃は劣えてはいません。それらの攻撃に備え、防御するにはWAFを導入することが望ましいといえます。
クラウド型セキュリティ・プラットフォーム・サービス「クラウドブリック(Cloudbric)」につきまして、詳しくは下記リンク先をご確認ください。

https://www.cloudbric.jp/cloudbric-security-platform/

cloudbric - press release

クラウドブリック、エッジコンピューティング技術を用いたDDoS対策サービスを新リリース

情報セキュリティ企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳 貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、韓国本社、ヒューストン/米国法人)は10月6日、クラウド型WAF「クラウドブリック(Cloudbric、サービスサイト:http://139.162.127.206/jp)」において、DDoS(分散型サービス妨害)攻撃をより効果的に防御するためエッジコンピューティング技術を適用したセキュリティサービスを提供すると発表した。

情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威2020」によると、組織におけるセキュリティ上の脅威として「サービス妨害攻撃によるサービスの停止」がランクインしている。またIoTの普及につれ、IoT機器を踏み台とし、サービスやネットワーク、サーバーに悪影響を与える大規模DDoS攻撃の被害も第9位に報告されている。そのような状況で、企業や組織などでは、日々高度になっているDDoS攻撃に対して被害を予防する徹底した対策が求められる。

クラウドブリックはこれまで自社のWAF機能にCDNサービスを提供していたが、そこに全世界18ヵ国28ヵ所のリージョン基盤エッジコンピューティング技術を用いることでより一層強固なDDoS対策サービスを提供する。従来に比べ、10倍以上の速さで対応し1秒当たり最大65テラバイト(Tbps)規模の攻撃まで防御可能になる。毎年20%ずつ増加するマルチベクトル型攻撃(multivector)からSlowloris, RUDYなどのアプリケーション攻撃に至るまで、様々なパターンのDDoS攻撃に対応可能である。

ペンタセキュリティ日本法人代表取締役社長の陣は、「2015年からグローバルサービスを展開してきたクラウド型WAFのクラウドブリックは、全世界に設置されているエッジを通じてDDoS攻撃に対するインテリジェンスをリアルタイムに収集し分析を行っている」とし、「エッジコンピューティング技術を用いたクラウドブリックは、DDoS攻撃だけでなく、日々高度化・複雑化しているWeb脅威に対し先手を打てる根本的な予防策であり実用的な解決策になると期待される」と述べた。

wizlynx group

クラウドブリック、wizlynx group社によるWebアプリケーションペネトレーションテストを実施、Web脆弱性に対する検知能力を検証

情報セキュリティ企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳 貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、韓国本社、ヒューストン/米国法人)は9月28日、自社が提供するクラウド型WAF「クラウドブリック(Cloudbric)」(サービスサイト:http://139.162.127.206/jp)について、スイスのセキュリティ専門企業のwizlynx group社によるWebアプリケーションペネトレーションテスト(侵入テスト)で優秀な成績を納めたことを明らかにした。

一般社団法人JPCERTコーディネーションセンターによると、2020年4月から6月まで発生したサイバーセキュリティインシデント報告件数は10,416件で、前四半期の6,510件からおよそ60%増加したと報告され、Webセキュリティに対しさらに徹底したセキュリティ対策が求められている。

wizlynx group社はインフラ及びネットワーク情報セキュリティソリューション分野で豊富な経験を持っている。アメリカ、ドイツなど7か所の海外拠点を有し、全世界にサイバーセキュリティサービスを提供する企業である。特に、セキュリティ業界で認められた高いレベルのセキュリティ監査及びペネトレーションテストのサービスを提供している。

今回のテストは、クラウドブリックの性能を検証し、日本及びグローバル市場においての競争力をさらに強固にするために依頼したもので、セキュリティ教育機関の SANSトレーニングを修了し、CRESTやCIACなど、セキュリティ資格を獲得している専門家たちによる検証が行われた。また、オープンウェブアプリケーション・セキュリティプロジェクト(OWASP)テスティングガイドに基づき、オープンソースセキュリティテスト方法論マニュアル(OSSTMM)及びペネトレーションテスト実行基準(PTES)などのセキュリティ基準に沿ったペネトレーションテスト(侵入テスト)が行われた。

テストでは、合計1,738回の攻撃ペイロードを適用し、全ての攻撃がクラウドブリックにより検知・遮断されることを確認した。これにより、Webアプリケーションに対する最も重大なセキュリティリスクのOWASP Top10及び様々な脆弱性に対応可能であることが証明された。

ペンタセキュリティ日本法人代表取締役社長の陣は、「最高レベルのwizlynx社のペネトレーションテストで優秀な成績を納めることで、クラウドブリックの優秀な性能が検証されたと思う」とし「ハッカーの手口がますます高度化し巧妙化する中、我々は今回の結果にとどまらず、クラウドブリックのさらなる性能向上を目指して努力していきたい。また、18カ国28カ所のリージョンから、日本及びグローバル市場拡大に向けてクラウドブリックの競争力を強固にしていきたい」と述べた。

thumbnail

WAF、シグネチャー方式とロジックベースの違いとは?

会員制サイトの登録機能からオンライン決済機能まで、もはやWebアプリケーションが使用されていないWebサイトを探す方が難しくなった時代です。様々の情報が蓄積されるゆえ、さらに厳重なセキュリティ対策が必要となっています。Webアプリケーションファイアーウォール(WAF)はその代表例として有名であり、実際、様々なWAF製品やサービスが市場に出回っています。しかし、専門知識が必要で導入に時間やコストなどがかかるなど、セキュリティ対策を選定する、という事は決して容易ではありません。市場に多数の製品が並んでいれば、その難易度はなおさら上がります。そこで本日は、WAFの導入を検討するシステム担当者の役に立つようにWAFを選ぶ際のチェックポイントを紹介したいと思います。WAFは大きく「シグネチャー方式」と「ロジックベース方式」に分けられますが、特にそれについて詳しく説明したいと思います。

 

名簿を見て判断する、シグネチャー方式のWAF

現在販売されている大半のWAFは「シグネチャー」に従い攻撃を検知・遮断します。簡単に説明すると、「名簿を見て判断する」形だと言えます。各シグネチャーには既に知れた攻撃の構成要素である「パターン」が含まれています。WAFは全てのリクエストとサーバの応答をシグネチャーと比較し、一致するかを確認します。そして一致するパターンが確認された場合、予め設定されたセキュリティポリシーに従って警告を行ったり、トラフィックを完全に遮断するなどの措置を取ります。

シグネチャー方式のメリット

シグネチャー方式の場合、ベンダーが新たに発見された攻撃に対して迅速にアップデートを行えるというメリットを持ちます。一般的に、一つのシグネチャーは一つの攻撃に含まれる特定のパターンを定義します。そのため運営メカニズムが比較的簡単であり、ユーザが「特定の位置で特定の攻撃だけを遮断」しようとする場合に効果的です。また、特定の攻撃パターンのみを定義するため、誤検知率が比較的低いという特徴を持ちます。

 

シグネチャー方式のデメリット

新たな攻撃が発見される度にシグネチャーを追加しなければいけない、というのがシグネチャー方式の一番のデメリットです。つまり、頻繁なアップデートが必要になるという事です。最近には一刻ごとに新たな攻撃が発見されており、多数のシグネチャーが必要となります。しかし、全ての攻撃を記録し、WAFに適用するのは事実上不可能です。莫大なサーバのリソースを占領するとともに、Webアプリケーションの性能を大きく落とす結果につながるからです。また、シグネチャーが作成されていない「ゼロデイ攻撃」など、未知の攻撃に対応できないというデメリットにも注目する必要があります。

他にも、不要なシグネチャーの数が増えるにつれ、正常なトラフィックを遮断する恐れが増えるというデメリットも存在します。これは誤検知率の上昇に繋がります。そのため、必要なシグネチャーのみを維持する必要があるでしょう。しかし、各シグネチャーの必要性を全て判断し適用できるのか、という部分が疑問として残ります。このような問題を解決するため、一部のベンダーは初期に数週間の機械学習過程を進め、アプリケーション環境を研究したりもします。しかし残念ながら、いつも最適な結果が導き出されるわけではなく、コストの上昇という悪影響を及ぼしたりもします。

 

ルールをベースに、知能的に検知するロジックベースのWAF

ロジックベースのWAFは「事前に定めたルール、つまりロジックをベースに攻撃を検知する方法」です。シグネチャー方式に比べさらにテクノロジーに依存し、人手はほとんど必要としません。一般的にシグネチャーは攻撃のソースコードで構成されますが、ルール基盤検知を活用するWAFは攻撃パターンを記録せず稼働されます。その代わり、様々な攻撃パターンからルールを導き出すのです。ロジックベースの検知エンジンを通じソースコードのパターンを分析し、主に含まれているコードを探し出します。そのため、たった一つのルールだけでも数百のシグネチャーが含む多数の攻撃を定義することが出来るのです。つまり、ルールは「パターンのパターン」だと言えます。

ロジックベースWAFのメリット

Webアプリケーションの環境によりますが、シグネチャー方式は2,000から8,000個以上までのシグネチャーを必要とします。しかしロジックベースWAFの場合、同じ量の攻撃を検知するのにわずか数十個のルールのみを要します。そのため、より速い処理速度と高い性能を保証できる点が最大のメリットとなります。

ペンタセキュリティの研究チームが行った一連のテストによると、27個のルールを使用したロジックベースのWAFは攻撃の95%を遮断するのに成功しました。これは8,000個のシグネチャーを適用したものと同様の結果です。また、何も設置されていない場合と比べ、ロジックベースWAFの場合は処理速度が20%ダウンした半面、シグネチャー方式の場合は50%ダウンしたといいます。

ロジックベースのWAFが持つもう一つの特徴は、シグネチャー方式のWAFに比べ維持・管理に要するリソースが極めて低いという点です。最初にルールが一通り設定されたら、以後追加アップデートをほぼ要しません。ベンダーは極めて必要とされる場合だけ既存のルールをアップデートし、新たなルールを追加します。またシグネチャーではなくルールで攻撃を検知するため、ゼロデイ攻撃などの未知の攻撃からも対応できます。

 

ロジックベースWAFのデメリット

一部の人たちは、介入する余地があるということでシグネチャー方式のWAFを好む場合があります。また、ロジックベースのWAFは人工知能に対する依存度が比較的高いという特徴を持ちますが、そのためコントロールするのが難しいという意見もあります。その他にも、膨大なシグネチャーリストを確認するのに慣れすぎて、「少ないルールだけでもしっかりとセキュリティ対策を取れるのか」と疑う意見もあります。まとめると、人工知能に対する不安や不信のみがロジックベースWAFのデメリットです。

 

まとめ

各企業の状況は違えど、セキュリティ対策を求められているという部分は変わりません。ハッカーの手口が進化を続けている中、セキュリティ対策もまた迅速に進化する必要があるでしょう。しかし、企業がリソースを注ぐべき分野はますます増えており、状況にあったものを選ぶ必要があります。その中で、いったん設置すればリソースをほぼ要しないロジックベースWAFもまた、有効な選択肢となるでしょう。Clourbricはロジックベース検知エンジンを搭載しながらも、手軽に運用できるクラウド型WAFです。高レベルのセキュリティ技術と合理的な価格、そして利便性までを満たします。ぜひ無償トライアルでCloudbricをご体験ください。

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

IT&MARKETING EXPO 2020 バナー

■9月17日~18日■ 「IT&Marketing EXPO 2020」出展のお知らせ


この度、クラウドブリック(Cloudbric)は2020年9月17日(木)~18日(金)まで開催される日本最大級のオンライン展示会「IT&Marketing EXPO 2020」に出展致し、クラウド型WAFの「クラウドブリック(Cloudbric)」のご紹介及びオンラインセミナー動画を配信致します。

また、オンラインブースでは、弊社サービスに関するご質問やご相談などをオンライン通話にて対応致します。ぜひ弊社セミナー動画、およびオンラインブースにお立ち寄りください。

 

【オンラインセミナー】

◆テーマ:ビジネス継続性を考えた企業情報セキュリティとは ~セキュリティ導入時優先順位とクラウド型WAFサービスの必然性~

◆セミナー詳細:2000年Webを活用したビジネスの普及で代表されるWebBiz時代を経て2010年以降クラウドとIoTの時代を迎える昨今、企業にとって新しい経営脅威としてサイバー攻撃が取り上げれております。加えて不測のコロナ禍でのITシステム整備が急がれる中、セキュリティは、企業のビジネスと直結する要素になっています。但し、限られた予算、セキュリティの複雑さ、専門家の不在等により、セキュリティの導入を検討する際には、「選択と集中」の戦略が求められます。本セミナーセッションでは、企業様でのセキュリティ導入時の考え方として、「ビジネス継続性」に重点をおいた優先順位の観点からのセキュリティを概括し、この時代のセキュリティメソッドとして浮上しているWAF(Web Application Firewall)、そのWAFの中でもクラウド型サービスの必然性を説明しながら、選ばれる理由4Hを以てクラウドブリックを提案致します。

 

【イベント開催概要】

◆日時:2020年9月17日(木)、18日(金) 10:30〜19:00まで

◆入場料:無料

◆イベント情報:https://weblp.cloud-webexpo.com/visitor/marketing_expo2020

◆無料会員登録:https://weblp.cloud-webexpo.com/visitor/marketing_expo2020/register

DDoS Thumbnail

狙われているからこそ知るべき、DDoS攻撃の4つの種類

もはや全てのWebサイトがハッカーに狙われているといっても過言ではない時代です。特にDDoS攻撃は、政府機関や自治体からエンタープライズのWebサイトに至るまで、対象や規模に関係なく被害を起こしています。しかし、被害をただ受けているわけにはいきません。「敵を知り己を知れば百戦危うからず」という言葉の通り、敵を正しく理解することこそが被害を防ぐ近道なのです。そこで今回は、DDoS攻撃を4つの種類に分類し詳しく紹介したいと思います。

 

手口によって分類される、DDoS攻撃の4つの種類

DDoS(Distributed Denial of Service)攻撃とは普通「数十台から数百万代のPCをリモート操作し、特定のWebサイトに同時に接続させ、短時間で過負荷を起こす攻撃」を意味します。最近シャープがマスク販売を始めた際、Webサイトがダウンした(引用: PHILE WEB)事件をご存知でしょうか。このように多数の人が一つのサイトにアクセスする場合、サーバの能力ではすべてのリクエストを処理できずWebサイトの動作が止まる、というケースが頻繁に起きています。そして、そのような現象を人為的に作り出すのがDDoS攻撃です。

しかし、すべてのDDoS攻撃が同じような形で行われるわけではありません。その手口によって「ボリューム攻撃」、「プロトコルを狙った攻撃」、「アプリケーション層攻撃」、そして「混合型攻撃」に分けられます。

ボリューム攻撃

ボリューム攻撃はDDoS攻撃の中でも最も一般的な形です。正常なトラフィックさえもWebサイトに接続できないようにすることが目的です。ハッカーはインターネットに繋がった多数のPCを利用します。そして、目標とするサイトで定められている量以上のトラフィックを送信し、サーバが使うことのできる帯域幅を封鎖します。

代表的な例としては、「UDP Floods」を挙げることができます。UDP(User Datagram Protocol)とは、セッションを持たない、つまり応答を待たないネットワークプロトコルです。IP(Internet Protocol)製品群には必ず存在するのでハッカーに利用されやすい、という特徴を持ちます。ハッカーはUDP Floodsを実行するため、まず対象となるホストのポットを奪取し、さらに多くのUDPが受信されるようにします。その結果、リクエストをシステムが処理できないほど受信されるトラフィックが増え、サーバがダウンします。

プロトコルを狙った攻撃

プロトコルを狙った攻撃(以下プロトコル攻撃)はボリューム攻撃と違い、帯域幅ではなくサーバのリソースを消耗させる形をとります。またその攻撃目標も、ファイアウォールやロードバランサなど、サーバとWebサイトを繋ぐ「中間通信装備」をターゲットとします。ハッカーは対象となるサーバのリソースを使用するため、まず不正なプロトコル要請を作成し、Webサイトとサーバのリソースを掌握します。
代表的な例としては、「Smurf DDoS」を挙げることができます。ハッカーは目標となるサーバから奪取したIPを含む、ICMP(Internet Control Message Protocol)パケットを悪用します。特にその中でも、メッセージおよびデータパケットをネットワークシステムに転送する際に使用される「IPブロードキャストアドレス」が主に利用されます。基本的にネットワークに存在するほとんどの装置が応答するように設定されている、という特徴を持ちます。ハッカーはまず、目標とする装備のネットワークにターゲットとなるデバイスのIPブロードキャストアドレスを転送します。よってネットワークに存在するデバイスの数が十分に多い場合、被害者のデバイスにトラフィックが集中し、サーバがダウンします。

アプリケーション層攻撃

アプリケーション層攻撃は、その名の通りアプリケーションの脆弱性を攻撃する形です。Apache、WindowsやOpen BSD等のアプリケーションが主なターゲットとされます。一般的にボリューム攻撃およびプロトコル攻撃よりも少ないリソースを要します。また、特定のアプリケーションを対象にするため、把握しにくい場合があります。主にオンラインコマースなど、特定のWebサイト機能をターゲットに行われるケースが多数発見されています。ハッカーはユーザのトラフィック行動を模倣し、一見正常に見える多数のリクエストを送信してサーバを麻痺させます。

代表的な例としては、「Slowloris」を挙げることができます。一つのWebサーバを通じ、他のサーバも麻痺させる手口です。ハッカーが利用するのは「HTTPヘッダ」です。HTTPヘッダはクライアントとサーバが情報を交換できるよう許可する役割を随行します。ハッカーはまず、ターゲットとなるサーバに接続し部分的なリクエストのみを転送して、多数のサーバへの接続をできるだけ長く保留させます。その後、多数のHTTPヘッダに対する部分的なリクエストのみを持続的に転送します。サーバが処理できるリクエストの最大値を超えるにつれ、リクエストを処理できないようになり、サーバがダウンします。

混合型攻撃

多数のDDoS攻撃はボリューム攻撃、プロトコル攻撃、そしてアプリケーション層攻撃という3つの分類に収まります。しかし、DDoS攻撃は毎分毎秒精密に、そしてさらに巧妙に進化しているので、全ての攻撃をその中に含めるのは不可能です。実際、混合型攻撃は最近最も多く発見されている手口です。その言葉通り、二つ以上の攻撃を重ねた形で行われます。

代表的な例としては、プロトコル攻撃を仕掛けて注意を散らし、アプリケーション層攻撃を追加的に行うケースを挙げることができます。アプリケーションの脆弱性を探し出す過程には時間がかかるため、まずターゲットを混乱させた後時間を稼ぐのです。その他にも多数の混合型攻撃が発見されており、その頻度や被害規模が増加している状況です。

 

最後に

DDoS攻撃は、この先にも絶えず発生するでしょう。その被害から逃れるには、「うちのWebサイトは安全だろう」と言った甘い考え方から脱却する必要があります。徹底した備えこそがWebサイトと企業の情報を守る第一歩です。DDoS対策として企業側で最も簡単に取れる対策としては、Webアプリケーションファイアウォール(WAF)の導入が薦められます。

ペンタセキュリティはWebアプリケーションレベルでのDDoS攻撃へ対応できるクラウド型WAF、「クラウドブリック」を提供しています。高セキュリティを保ちながらも、中小企業でも手軽に導入できます。DDoS攻撃を防御するための合理的な対策を、下のリンクを通じご確認ください。

cloudbric blog post

【Webセミナー】2020年9月クラウドブリックパートナー様・エンドユーザ様向けセミナーのご案内

この度、クラウドブリック(Cloudbric)は、パートナー様及びエンドユーザ様向けのWebセミナーを開催いたします。

本セミナーでは、クラウド型WAFクラウドブリックの性能向上及びセキュリティリスクの削減に役立つ「Black IP遮断機能」および改正されたユーザ情報取得シートと運用中発生する作業の費用・プロセスについてご案内致します。皆様のご参加を心よりお待ちしております。

 

テーマ

  • クラウドブリックの新規機能のご案内「Black IP遮断機能」(パートナー・エンドユーザ様向け)
  •  サービスポリシーのご案内 「ユーザ情報取得シート・運営中作業プロセス」(パートナー様向け)

※本セミナーの対象者はテーマによって異なります。対象者及び開催日程をご確認の上お申込みください。

場所:オンライン(※Zoomウェビナーにてライブ配信で行われます。)
 
参加料:無料

開催日時及びお申込み

【パートナー様向け】

日時 テーマ お申込み
9月1日(火) 11:00~11:30 新規機能追加のご案内「Black IP遮断機能」 お申込みはこちら
9月3日(木) 14:00~14:30 新規機能追加のご案内「Black IP遮断機能」 お申込みはこちら
9月15日(火) 11:00~11:30 サービスポリシーのご案内「ユーザ情報取得シート・運営中作業プロセス」 お申込みはこちら
9月17日(木) 15:00~15:30 サービスポリシーのご案内「ユーザ情報取得シート・運営中作業プロセス」 お申込みはこちら

【エンドユーザ様向け】

日時 テーマ お申込み
9月8日(火) 11:00~11:30 新規機能追加のご案内「Black IP遮断機能」 お申込みはこちら
9月10日(木) 14:00~14:30 新規機能追加のご案内「Black IP遮断機能」 お申込みはこちら
thumbnail

ハッカーの高速道路、知らぬ間に組み込まれる「バックドア」

「泥棒」という言葉に、どのようなイメージを思い浮かばれますか。顔を隠し風呂敷を背負って、裏口を静かに通り過ぎて家に侵入するキャラクターが泥棒の代名詞ですが、サイバー空間での泥棒であるハッカーにも同じようなイメージが当てはまります。Webサイトに忍び込み、金銭を狙って情報を盗むハッカーは「バックドア」と呼ばれる裏口を設置し、忍び込んで情報を奪取するのです。そこで今日は、バックドアとは何か、そしてどのようなセキュリティ対策をとれるのかを紹介します。

 

ハッカーの代表的な手口、「バックドア」とは

「バックドア」とは正規の認証プロセスを経ず迂回して、製品やシステムまたはアプリケーションに接続する方法です。主に設計や開発の段階で意図的に作られます。しかし、ハッカーはこれを悪用し情報を奪取するための「通路」として利用します。特にシステムネットワークを経由して他のPCを攻撃する「リモート攻撃」の手段としてよく使われています。デバイスの持ち主に認識されることなくシステムに侵入できるので、被害が実際に発生しないとバックドアの存在を認識できないケースが多く、とてつもない被害が発生しかねます。逆にハッカーにとっては、いったん設置に成功さえすれば楽に大きな利益を狙えるということになるのです。そのためハッカーは、バックドアを設置するため様々な手段を駆使します。代表的な2つの手段を見てみましょう。

トロイの木馬

ギリシャ神話によると、ギリシャ連合軍はトロイを滅ぼすため「トロイの木馬」を建造したそうです。外見は無害なものに見えましたが、中には武装した兵士が潜んでいました。サイバー空間でのトロイの木馬も、同じように作動します。一見「使えるプログラム」に見えますが、実際にはユーザをだますソフトウェアが潜んでいるのです。主にメールの添付ファイルやWeb情でダウンロードできるファイルとして流通され、ユーザが何も考えず実行するとすぐさまバックドアを設置します。ScanNetSecurityによると、最近にはPCプログラムの形だけではなくスマホアプリの形でも流通されるなどその手口がさらに巧妙化されており、格別な注意が必要とされます。

Webアプリケーションを狙った攻撃

Webアプリケーションの脆弱性を狙ったハッキングは、Webの使用頻度が増加するにつれその威勢を増しています。OWASP TOP10は、その多数がWebサイトのコードを悪意的に改ざんして隙を狙う形だと報告しています。代表的な例にはコードに対するハッキングである「SQL Injection」を挙げることができます。これはバックドアを設置するための足がかりになりえます。例えば、トロイの木馬が含まれたプログラムをWebサイトに不正アップロードすることなどが可能になります。その他にもCross-Site Scripting(XSS)を通じバックドアを設置するソフトウェアを拡散するなど、様々な手段がバックドアを設置するため使用されています。

このような手段で設置されるバックドアは単に情報を奪取するだけではなく、他のデバイスに対する攻撃に使われるなど、様々な被害をもたらす可能性があります。

 

ハッカーの通行を防ぐ方法

あなたならどうやって裏口から潜みこむ泥棒を防ぎますか。裏口を閉鎖してしまう方法もあれば、セキュリティ業者と契約し監視カメラを設置するという方法もあります。しかし、「物理的な通路」が目に見えない、サイバー空間のハッカーはどう防ぐのでしょうか。実は、ハッカーの通行を防ぐ方法は驚くほど現実世界と似ています。

裏口を閉鎖する: 既に設置されたバックドアを塞ぐ方法

既に設置されたバックドアを除去する方法は、現実世界で裏口を無くす方法に当てはまります。現在使用されているほとんどのOSとソフトウェアにはセキュリティーホールが点在しており、100%安全だと言い切れない状況です。例えば、マイクロソフトは2020年8月にもWindowsを含む多数のソフトウェアから脆弱性が発見されたと報告しています(引用: Impress Watch)。もちろん開発する側も設計過程から脆弱性を排除するための手を加えていますが、それにも関わらず新しい脆弱性が発見されているのです。よって、常に最新パッチやアップデートを適用する必要があります。特にベンダーから公開された脆弱性は多数のハッカーに目を付けられる可能性があるので、できるだけ早く対処する必要があります。

監視カメラを設置する: バックドアを未然に防ぐ方法

泥棒を防ぐために最も徹底しなければいけないのは、「泥棒に対する意識」です。常に鍵の掛かり具合を確認し、窓がよく閉まっているのかを確認するなど注意を注ぐ必要があります。ハッカーに対しても、同じことが言えます。「セキュリティに対する意識」が重要なのです。怪しいWebサイトに近づかず、正体が確認できないファイルを開かないという事を徹底するべきです。

しかし、一個人がいくら努力をしようと、一から百まで全ての可能性を考慮するのはほぼ不可能です。そのため、現実世界ではセキュリティ企業と契約し、監視カメラを設置するなど様々なセキュリティ対策を取ります。サイバー空間でも、同じくセキュリティ企業と契約することができます。そして一番怪しいと思われる場所に監視カメラを設置するように、一番危険な領域からセキュリティ対策を取っていくのです。よって、最近攻撃が最も多く発生しているWebアプリケーションの安全を守ることが、もっとも合理的な判断になるでしょう。

WAF(Webアプリケーションファイアーウォール)はWebアプリケーションを防御するためのセキュリティ対策であり、ネットワーク上で防御と監視を同時に行います。単純に脆弱性を保護するだけではなく、通信を監視し怪しい接近を遮断するのです。最新パッチを適用しづらいWebアプリケーションを守り、SQL InjectionやXSSなどバックドアを設置するため用いられる攻撃の存在を監視します。そのため、WAFはWebアプリケーションを通じバックドアを設置しようとするハッカーを防ぐための、最も総合的で最も確実な対策だと言えるでしょう。

 

最後に

ハッカーの攻撃は、現実世界の泥棒がもたらすものよりもはるかに莫大な被害をもたらします。特に自分のパソコンなどにバックドアが設置された場合、一回に止まらずいつでも情報を盗まれる可能性が高く、他人を攻撃する踏み台として利用される可能性も十分存在するので、被害規模は予想すらできません。そのため、バックドアに対して格別な注意を注ぐ必要があるでしょう。
ペンタセキュリティは簡単に利用できるクラウド型WAF「クラウドブリック」を提供しています。Webアプリケーションの脆弱性を通じバックドアを設置しようとするハッカーを効率的に防ぎ、リモート攻撃までも防御する最善の対策です。リンクを通じ、詳細をご確認ください。