マルチクラウド環境で、攻撃自動化ツールやパスワードリスト攻撃などを防ぐ新機能を提供
F5、“ボットアクセス排除”など高度な脅威対抗「Advanced WAF」発売
2018年05月24日 07時00分更新
F5ネットワークスジャパンは2018年5月23日、マルチクラウド環境において、包括的なWebアプリケーション保護機能を提供する「Advanced WAF(Web Application Firewall)ソリューション」の提供を開始した。従来型のWAF機能だけでなく、フォーム入力データのリアルタイムな暗号化や、攻撃自動化ツール/ボットを悪用する攻撃への対策など、最新の高度な脅威に対抗する機能も提供する。
F5が提供開始した「Advanced WAF」のセキュリティ機能(「Advanced機能」の部分が新たに提供する機能)
F5ネットワークスジャパン 代表執行役員社長の権田裕一氏
F5ネットワークスジャパン セキュリティソリューションアーキテクトの谷村透氏
発表会に出席した同社セキュリティソリューションアーキテクトの谷村透氏は、情報漏洩事故の原因は「Webアプリの脆弱性」が最大のものであり、WAFの果たすべき役割は大きいが、同時に「セキュリティ脅威の高度化」「アプリケーション環境の多様化」といった状況変化も起きており、新たな対策とソリューションが必要であると指摘する。
そのうえで、今回のAdvanced WAFでは、F5「BIG-IP ASM」のような従来型WAF製品が提供してきた機能だけでなく「これからのアプリケーション保護に必要な機能」も含めて提供すると説明した。具体的には、「ボット対策」「クレデンシャルスタッフィング(パスワードリスト攻撃)対策」「アプリケーションレイヤー暗号化」「レイヤー7 DDoS攻撃検知」「APIへの攻撃防御」といった、新領域のアプリケーションセキュリティ機能が追加されている。
Advanced WAFでは、従来のWAFが持たなかった「これからのアプリケーション保護に必要な機能」を提供する
また、アプリケーション環境のマルチクラウド化に合わせて、物理アプライアンスによるオンプレミス導入、仮想アプライアンスによるパブリック/プライベートクラウド導入、また“WAFaaS(WAF-as-a-Service)”(マネージドサービス)としての導入という、4種類の導入形態に対応する。これらはすべて同一エンジンで提供され、どんなアプリケーション環境においても同一のセキュリティ機能が利用できる。
ボットや自動攻撃ツールのアクセス排除、MiTB/MiTBを防ぐ暗号化など新機能
発表会では、Advanced WAGが提供する新機能のうち、ボット対策、クレデンシャルスタッフィング対策(アプリケーションレイヤー暗号化を含む)について、どのような機能なのかが具体的に説明された。
ボット対策機能は、感染した“踏み台”マシンや攻撃自動化ツールからのアクセスを検出し、そのトラフィックをコントロール(ブロック、帯域制限など)することで、被害の発生や正当なアクセスへの影響を防ぐもの。
谷村氏は、アクセスしてくるボットの中には情報収集用クローラーなど攻撃とは言えないものもあり、こうした“グレーなボット”をどこまで許容するのかはビジネス判断次第だと語った。Advanced WAFでは「見分ける技術」と「さばく技術」を提供し、正規ユーザーのアクセスには影響を与えず、グレーなボットならば帯域制限、明らかな攻撃ならばブロックといった、細かな対応もできるという。
ある海外の航空会社では、運賃調査や仮予約を目的としたボットアクセスによって過負荷が発生し、正規ユーザーに対するサーバーレスポンスが低下していた。従来型WAFのIPアドレスベースの対策(IPブラックリスト)では改善しなかったが、Advanced WAFを導入してボットのリクエストを選別、遮断してトラフィックを30~50%削減し、レスポンスも改善したという。
ボットによるアクセスを「見分ける技術」と「ふるい分ける技術」を提供。攻撃だけでなく“グレーな”ボットアクセス
またクレデンシャルスタッフィング(パスワードリスト攻撃)対策として、Advanced WAFではクレデンシャル(ID/パスワード)を「盗まれない対策」と、盗まれたクレデンシャルを「使わせない対策」の両方が提供できると、谷村氏は説明した。
盗まれない対策としては、中間者攻撃(MiTB:Man-in-the-Browser/MiTM:Man-in-the-Middle)を防ぐアプリケーションレイヤー暗号化機能を提供する。通常、ブラウザとWebサーバーの間のトラフィックはSSL/TLS暗号化により保護されるが、マルウェアの中にはブラウザへのインジェクションによって、フォーム入力データ(ID/パスワード、クレジットカード番号など)を暗号化前の段階で盗み出すものもある。
Advanced WAFの暗号化機能は、指定したページ(ログインページなど)にJavaScriptを自動挿入し、データの送信時ではなくフォームへのデータ入力時に暗号化処理を施す。暗号化されたデータは、Advanced WAF(リバースプロキシ)の通過時に復号されるため、アプリケーションの変更は一切不要。さらに、入力値だけでなくパラメーター名も暗号化することで、攻撃がより困難なものになる。
盗まれない対策。Advanced WAFの暗号化機能を適用すると、挿入されるJavaScriptによって、データ入力時に1文字ずつ、リアルタイムに暗号化される。WAF通過時に復号され、アプリケーションには影響を与えない
またクレデンシャルを使わせない対策としては、前述したボット対策機能による攻撃ツール排除のほか、実際に闇市場などで流布しているパスワードリストなどとの照合により、攻撃者の“なりすまし”を検知する。ここでも、アクセスのブロックだけでなくアラートや別画面への誘導など複数の対応方法が選択可能だ。
使わせない対策。流出したパスワードリストとの照合により、なりすまし攻撃を検知、ブロックやさらなる認証要求などの対応を行う
F5ネットワークスジャパン 代表執行役員社長の権田裕一氏は、今回のAdvanced WAF提供開始にともなって、来年度のWAF売上を現在の2倍にしたいとビジネス目標を述べた。
「セキュリティ分野ではファイアウォールなどの製品も提供しているが、これから一番成長が大きいのはWAFだと考えている。特に(今回のAdvanced WAFが提供する)ボット対策やパスワードリスト攻撃への対策は、まだできていない企業も多い」(権田氏)
