サイバー攻撃の事例から考える！
効果的なWebサイトの
セキュリティ対策とは

Webサイトの脆弱性を突く攻撃が多発

伊藤忠テクノソリューションズ

クラウド・セキュリティサービス本部
セキュリティビジネス部
MSS運用企画課
課長

宮﨑 孝之 氏

　伊藤忠テクノソリューションズ（CTC）は、インターネット黎明期よりセキュリティに取り組み、2014年にはセキュリティ・オペレーション・センター（CTC-SOC）を設立。サイバー攻撃演習、CSIRT支援、脅威・脆弱性マネジメントサービスなどを提供してきた。宮﨑氏は、そのセキュリティ監視の責任者を務める。

　まず宮﨑氏は、重大なセキュリティ被害経験の調査結果^※を紹介。約3分の1の企業が「攻撃を受け調査した」と回答した一方で、半数以上が「攻撃を受けたかわからない」、「攻撃を受けたことがない」と回答した。「実は潜在的に驚異の只中にいるのに気づいていないだけかもしれない、と我々は危惧しています」と語る。

　CTC-SOCでの観測でも、攻撃元を国別に分析した結果、日本からの攻撃は19%で、31%の中国に次ぐ多さだった。もはや日本のネット環境も安全とはいえなくなっている。さらにCTC-SOCで検知した攻撃を分析した結果、最も多かったのがWebサイトを狙った攻撃で78%にも及ぶ。最近特に増加傾向にあるのが、メンテナンスされていないIoT機器を狙った攻撃だ。このことはすなわち、被害を受けると同時に、踏み台となって加害者になる可能性も高まっていることを示している。WAFが検知した攻撃の内容を分析すると最も多かったのが、Webアプリケーションの脆弱性を突く攻撃で71%、次が製品の脆弱性を突く攻撃で17%、残りがツールによるスキャンで12%。実に9割近くが脆弱性を悪用した攻撃であった。

※アイティメディア株式会社「Techno Graphics 2018 セキュリティ編」より引用

Webサイトが狙われる5つのポイント

　Webサイトが狙われるポイントとして宮﨑氏は、人、Webアプリケーション、管理ソフト、ミドルウエア、ネットワークの5つを挙げる。

　人は、うっかりミスをする。よくあるのが権限設定のミス。他に、設定ファイルの入ったデータを公開ディレクトリに放置するケースも少なくない。「CMSファイルのアカウント情報が平文のテキストファイルのまま公開ディレクトリに置かれているケースもありました。その結果、攻撃者によってフィッシングサイトが設置されてしまいました」（宮﨑氏）

　Webアプリケーションの脆弱性として最も悪名高いSQLインジェクションで攻撃されると、データベースプログラムができることはなんでもできてしまう。宮﨑氏は、「正しい処理をするかどうかのテストはしても、異常値が入った場合に正しく異常処理を行うかは見落とされがちです」と指摘する。Webアプリケーションの脆弱性は他にも多数あり、サイトの改ざんや情報漏えいなどにつながる重大なものも少なくない。

　CMS・サイト/DB管理アプリケーションなどの管理ソフトは、ソフト本体よりもプラグインソフトが狙われることが多い。管理コンソールにアクセスできれば、そのサイトを支配下に置いたことと同様になり、サイトは容易に改ざんされてしまう。「実際にCMSのプラグインの脆弱性を利用してバックドアプログラムが仕込まれたケースがあります。その結果フィッシングサイトが設置され、ログインアカウントとパスワードを収集されてしまいました」（宮﨑氏）

　ミドルウエアの脆弱性で多いのは、PHPに対する攻撃。改ざんや侵入、情報窃盗を引き起こす重大なケースも多い。最近では、脆弱性を利用して、仮想通貨のマイニングツールが設置されたという事例も観測されている。

　最後のネットワークでは、権限設定ミスが多い。また、アカウントのメンテナンスが不十分で不要なアカウントが残っていたり、アクセス制御の不備、パスワードが脆弱といったケースも少なくない。

WAFとセキュリティ監視を組み合わせWebサイトを守る

　では、Webサイトを保護するためにはどうすればいいのだろうか。

　宮﨑氏がまず挙げるのは、Webアプリケーションの改修である。改修すれば恒久対策となるが、開発したベンダーがすでになく改修が困難だったり、高額なコストがかかるケースもある。2つ目の手段として、パッケージソフトを利用している場合は、アップグレード、パッチの適用が有効だ。ただし、Webアプリケーションが正常に動作しなくなることもあるため、事前検証が必要となる。そして、3つ目の方法として挙げるのが、WAFの活用である。WAFを利用すれば、Webアプリケーションに手を加えず暫定対応が可能となる。ただし、WAFは過剰検知が多いという課題がある。これにうまく対応できなければ、正常な通信を止めることにもつながってしまう。

　実際WAFの運用についてCTCがユーザーにアンケートを取った結果、実に68%が「運用できない」と回答した。最も大きな課題として挙げられたのがイベント対応だ。「ログの内容がわかりにくい」、「ログが多すぎて対処しきれない」などの声が上げられ、大量のログに苦慮し、イベントを評価し判断する知見不足に悩む様子が浮かぶ。その他、「機器の設定が細かすぎてわからない」、「何を、いつ更新すればいいのかわからない」、「情報を収集する手段がない」といった声があり、その運用の難しさがわかる。WAFが検知した内容を評価し的確に判断するには、高度な専門的知識とノウハウが欠かせない。しかも、イベントの量自体が非常に多いため、他の仕事を行いながら片手間に運用できるものではないのだ。

　そこで宮﨑氏が勧めるのが、WAFとセキュリティ監視を組み合わせたソリューションである。専門家による常時監視により、WAFが検知した内容に迅速かつ確実に対処できるようになる。

　CTCは、F5 Networksの認定SOCパートナーであり、豊富な運用・監視実績を持つ。宮﨑氏は、「監視を継続することで見えてくるものがあります。それが次の対策につながり、セキュリティレベルを向上できます」と語った。