情報漏えい事件の原因で多いWebサイトの攻撃

脆弱性放置のWebサイトに「シマンテッククラウド型WAF」が効く

2014年09月26日 06時00分更新

文● 谷崎朋子

9月25日、シマンテックはWebサイト攻撃の最新動向や対策と、同社のクラウド型WAFサービスの導入事例を紹介する記者説明会を開催した。攻撃対象や攻撃ツールが検索エンジンで簡単に見つけられること、脆弱性の修正が放置されがちであるなどから、むしろ増加傾向にあるWebサイト攻撃の現状が語られた。

攻撃対象もツールも検索エンジンで見つかる

　シマンテックによると、2013年の情報漏えいの原因でもっとも多かったのは、Webサイトに対する外部からの攻撃だ（34.4％）。実際、同社でブロックしたWebサイトへの攻撃は、2011年の19万件から2013年の56万8700件へ増大しており、増加の傾向にあるという。

　攻撃の主な侵入口は、Webサイトの脆弱性だ。「Webサイトの公開時はバグがない状態でも、テクノロジーの進化や対応で新たな脆弱性が生まれるため、その都度対処しなければならない。しかし、多くの企業では売上げ増大のための新機能開発を優先し、脆弱性修正のための予算や人材の確保は後回しになりがちだ。その結果、脆弱性を抱えたままのWebサイトが長期間放置され、最悪の場合は攻撃に遭ってしまう」。

　そう述べたシマンテック安達徹也氏は、IPAの「ソフトウェア等の脆弱性関連情報に関する活動報告レポート（2014年代2四半期（4月～6月））」で、脆弱性の修正に91日以上の日数を要したWebサイトが全体の3分の1に上るという結果を取り上げ、現状を危惧した。

シマンテック Trust Services プロダクトマーケティング部上席部長安達徹也氏

　同社のセキュリティサービス「シマンテッククラウド型WAF」において、2011年1月から2014年8月までの期間、国内657サイトで検知した攻撃を分析した結果、SQLインジェクション、ディレクトリトラバーサル、PHPへの攻撃、Apache Strutsへの攻撃、OSコマンドインジェクションなどが観測された。

同社のクラウド型WAFサービスで検知された攻撃の統計結果。グラフは、6か月移動平均値

　群を抜いて多かったのは、SQLインジェクションだ。安達氏は多い理由について、検索エンジンから標的や攻撃ツールを検索できる容易さにあると分析した。たとえば、データベースの問い合わせ言語のエラーメッセージを検索し、結果表示されたWebサイト一覧から脆弱性のあるWebサイトを見つけてSQLインジェクションするなどだ。「この攻撃は、標的を絞って徹底的に攻めるというよりも、乱射して当たったところから金銭的価値のあるデータを抜き出すとき、よく使われている」（安達氏）。

　また、グラフ内では最下位のApache Strutsの脆弱性に対する攻撃は、実は今年に入ってから急激に増えている。理由について、安達氏は「Webサイトの改修や検証には、それなりの時間とコストがかかるため、脆弱性は認識していても対処が追いついていない」と推測する。

国内導入事例も多いシマンテッククラウド型WAF

　こうした攻撃への対策の1つに、WAF（Web Application Firewall）がある。同社の「シマンテッククラウド型WAF」は、システム改修が不要、最短1週間での導入が可能、新しい脆弱性や攻撃手法にリアルタイムで対応可能などのメリットから、金融機関から製造業、公共機関など幅広い企業で採用されているという。

シマンテッククラウド型WAF

　たとえば、Webサイトの開発やコンサルティング、運用サポートを行なうアピリッツは、大手保険会社グループの求人Webサイトに対してハードウェア型WAFを提供していたが、運用面に多くの課題があることから、シマンテックのクラウド型WAFに乗り換えた。

　「海外製のハードウェアWAFには“やんちゃ”な製品が多く、同社で採用していた製品も漏れなく煩雑だった。たとえば、年に3～4回発生するファームウェアアップデートでは、毎回サービス停止を伴うようなトラブルが発生し、顧客からは不満の声が上がっていたそうだ。また、日本でのみ流通するスマートフォンでは、WebブラウザのUserAgentをブロックするなど誤検知もあった」（安達氏）。

　アピリッツはシマンテッククラウド型WAFを導入した結果、運用不可が大幅に軽減され、TCO削減も実現したという。

　また、今年2月にSQLインジェクション攻撃で公式Webサイトを改ざんされたはとバスもユーザーだ。サイト改ざん検知後にWebサイトを全面閉鎖した同社は、シマンテッククラウド型WAFを採用することで、17日後の3月13日にはサイトを再開した。