現在Webへの脅威は日々進化し、被害はとどまることを知りません。企業にとって、Webサイトの改ざんや個人情報への不正アクセスなど「サイバー攻撃」の被害にあうことは信用問題にかかわります。今回はWebアプリケーションへのサイバー攻撃の種類や脅威について正しい知識を持つためにまとめてみました。
Webアプリケーションへのサイバー攻撃の種類
Webサイトへのサイバー攻撃というとDDoS攻撃やWebサイトの改ざんといったものを思い浮かべる人も多いかもしれません。実際は色々な種類の攻撃が存在します。代表的なものをあげると下記のようなWebアプリケーションへのサイバー攻撃があげられます。
- SQLインジェクション攻撃
- クロスサイトスクリプティング攻撃
- DoS/DDoS攻撃
- OSコマンドインジェクション攻撃
- LDAPインジェクション攻撃
- ブルートフォースアタック
- ディレクトリ・トラバーサル攻撃
- ゼロデイ攻撃
- ドライブバイダウンロード攻撃
SQLインジェクション攻撃
SQLインジェクション攻撃とは、不正なSQL文を送信しデータベースを不正操作する攻撃です。Webサイトの入力フォームのユーザIDやパスワードを入力するエリアなどにSQL文を含ませた文字列を入力した場合、脆弱性があるとSQL文を命令文として認識してしまい、データベースの操作を可能にしてしまいます。一般的にECサイト(ショッピングサイト)や会員登録を行うサイトなどは、Webサイトとデータベースが連携する「データベースドリブンWebサイト 」を運営しています。そうしたサイトが標的になり、データベースへの不正操作が可能になってしまうと、データベースに記録されている重要な個人情報等の情報漏えいにつながります。
クロスサイトスクリプティング(XSS)攻撃
クロスサイトスクリプティング(XSS)とは、Webサイトに利用されるアプリケーションの脆弱性もしくはその脆弱性を悪用した攻撃です。ユーザがWebページにアクセスすることで不正なスクリプトが実行されてしまう脆弱性または攻撃手法です。攻撃者は、入力内容にスクリプト付のリンクを貼る等の罠を仕掛けます。被害者となるユーザが誤って罠のしかけられたWebサイトAのリンクをクリックすると、セキュリティ的に問題のある別のWebサイトB(クロスサイト)に対し、脆弱性を利用し悪意を持った実行内容(スクリプト)が含まれた通信が実行されます。その結果、スクリプトの効果により「A社のサイトとして」表示された偽サイトBにジャンプしてしまい、騙されたユーザが、マルウェア感染や攻撃者Cへの情報漏えいなどの被害にあいます。
DoS/DDoS攻撃
Dos攻撃とは、複数のコンピューターから標的のサーバに、ネットワークを介した大量の処理要求を送ることでサービスを停止させてしまう攻撃です。Dos攻撃は単一のコンピューターからの攻撃ですが、DDos攻撃は複数のコンピューターからの攻撃という違いがあります。2020年に迫る東京オリンピックを前に、企業のサイバー攻撃対策の対象として「DoS攻撃」「DDoS攻撃」があげられるようになっています。2016年に開催されたリオデジャネイロオリンピックでも、大会開始前からネット上ではサイバー攻撃の呼びかけが見られました。そしてCisco Systems, Inc. の“Cisco’s Digital Network Shines at Rio 2016”によると、実際にオリンピック期間中に4千万回のセキュリティ脅威を観測し、2千3百万回の攻撃をブロック、大規模 DDoS攻撃は223回起こったとレポートされています。
DoS攻撃を受けるとトラフィックが異常に上昇するため、提供しているサービスが異常に遅延・もしくは停止してしまいます。従量課金制のクラウドサービスを攻撃対象にした場合、運営側に莫大な課金が課せられる可能性もあります。DoS/DDoS攻撃は古くから存在するサイバー攻撃の手法ですが、引き続き企業の大きな脅威となっています。
OSコマンドインジェクション攻撃
OSコマンドインジェクション攻撃では、Webサイトの入力フォームなどに不正な文字列を入力することによって、サーバ上でOSコマンドを実行させます。OSコマンドのパラメータを操作して別の動作を行わせたり、別のOSコマンドを実行させたりします。SQLインジェクション攻撃と同様に、情報漏えいやデータの改竄といった被害が生じます。メールを送信する問い合わせ機能など、ユーザから受け取った入力値を使ってOSコマンドを呼び出しているWebサイト等で注意が必要です。現在企業はほとんど自社のWebサイトを持ち、問い合わせフォームのような入力フォームを設置しているところも多くあります。そうしたサイトは脆弱性があると、攻撃者によってWebサイトで使用しているソフトウェアの種類やバージョン番号、サーバ上に保存されているファイルの一覧、各ソフトウェアの設定ファイルの内容などの情報を表示するOSコマンドを実行される可能性があります。また攻撃者によってファイルの内容を表示するOSコマンドを実行されると、パスワードや個人情報など、機密情報が漏えいする可能性があります。さらには管理者権限の奪取、不正プログラムの埋め込みや実行、システムやデータの破壊・改ざんまで起こる可能性があります。
LDAPインジェクション攻撃
LDAP(Lightweight Directory Access Protocol)とは、ディレクトリサービスのひとつです。LDAPインジェクションとは、LDAPクエリを不正に操作して、LDAPサーバからユーザ名やパスワードなどの機密情報を窃取する攻撃手法です。Webアプリケーションの中には、攻撃を意図している可能性がある文字が含まれていないかどうかLDAPステートメントを検査せずに、そのステートメントに含まれているユーザ入力値を使用するものがありますが、そうしたWebアプリケーションはLDAPインジェクション攻撃に対して非常に脆弱です。LDAPインジェクション攻撃によって権限がないアクセス許可やLDAP内の情報が変更される可能性があります。
ブルートフォースアタック
「ブルートフォースアタック」とは、パスワードを特定するために、使用できる文字の全ての組み合わせを試行し、検証していく攻撃手法の一つです。「総当たり攻撃」とも呼ばれています。悪質な攻撃者がセキュリティを突破するための攻撃方法にはいくつもの種類がありますが、その中でもブルートフォースアタックは、単純ながらとても悪質です。実行するのも比較的簡単であり、攻撃を受ける側がきちんと対策をしていないと簡単にやぶられてしまいます。ブルートフォース(brute force)とは、「強引な」「力ずく」という意味です。この言葉通り、ブルートフォースアタックは力ずくの攻撃手法です。こちらは総当たりで実行されれば破られてしまう手法ですから、何も対策を打っていなければ遅かれ早かれ攻撃が成功してしまうでしょう。そのためにはサーバをきちんと監視し、そのレポートから、ネットワークインターフェイスにより送信されたパケットの増大を検知するといった対策等が必要になってきます。
ゼロデイ攻撃
ゼロデイ攻撃とはソフトウェアにある脆弱性を修正するためのセキュリティ更新プログラムが提供される前に、脆弱性を利用した攻撃です。パッチが適用されるまでを狙うため、攻撃を防ぐ手立てがないといわれています。対策を取られる日を1日目(ワンデイ)とし、それより前に行われるので0日目(ゼロデイ)と呼ばれています。問題が修正される前に脆弱性を突く攻撃が行われるため対応策が限られ、深刻なダメージを被る危険性が大きい攻撃です。マルウェアを使った攻撃などは既存のアンチウイルスソフトなどを使って防ぐことは難しく、ユーザー側でできることも多くありません。
Web関連へのサイバー攻撃の有用な対策とは
Webアプリケーションへのサイバー攻撃の種類や手法は多岐にわたり、日々攻撃者側の技術も進歩しています。こうした攻撃のひとつひとつに監視の目を光らせ、遮断や対策を取るのは不可能にも感じるかもしれません。インジェクション攻撃にも、SQLインジェクションやOSコマンドインジェクションといったものがあり、それらの特性や違いを熟知し、攻撃パターンごとにルールを制定していく…といったことは非常に煩雑で高度な知識を要求されます。巧妙化するサイバー攻撃は新たなフェーズへと入ることが様々なセキュリティベンダーにも予測されていますが、その防御を自社で対応するとなると膨大な時間やコストが発生します。
これらの複雑なWebアプリケーションへのサイバー攻撃に対する有効な対策として、WAF(Webアプリケーションファイアウォール)があります。WAFはWebアプリケーションの脆弱性を突いた攻撃からWebサイトを守るためのセキュリティ対策のシステムです。WAFは脆弱性を狙った攻撃を検知し遮断することが可能です。脆弱性がある状態でも不正を検知できるため、ゼロデイ攻撃にも有効性を発揮します。
ペンタセキュリティが取り扱っているWAF製品であるハードウェア型WAFの「WAPPLES」とクラウド型WAFである「クラウドブリック(Cloudbric)」があります。中でも、クラウドブリックは様々なサイバー攻撃からWebサイトを安全に守るクラウド型WAFサービスで、一般的な機能である不正ログイン遮断はもちろん、Web攻撃、情報漏えい、Webサイト改ざん、あらゆる脅威からWebサイトを防御し、その履歴を分析レポートで確認できます。さらには世界5カ国にて特許を取得したロジックベース攻撃検知を備え、PCI-DSSに準拠、SSL証明書サービスが標準提供されている等、高い技術と信頼性も併せもったサービスです。高い防御性能と適切なコストで最適な効果を上げるための防御ツールとしてクラウドブリックの導入は最適なソリューションの一つと言えるでしょう。
WAPPLESの詳細はこちら
