貴社のWEBサイトが「水飲み場」になっていませんか?被害を食い止めるクラウドWAF

 2017.04.06 Secure Enterpriseポータル

WEBアプリケーションを狙った攻撃の多くは、サイトに侵入して顧客情報やクレジットカードなどの番号を盗み出す営利目的になっています。

企業にとっては、顧客情報を盗まれるだけでも登録ユーザーに対する信用を失墜し、場合によっては経営的に大きなダメージを受けることもあります。さらに最近では、新たな攻撃のための「水飲み場」としてWEBアプリケーションを狙う手口が増えています。

シマンテックのクラウド型WAFを導入して、「水飲み場」になる直前で被害者から加害者になる危機を防いだ「はとバス」の事例から、その脅威について考えていきましょう。

閲覧者がウイルスに感染するように改ざんするためにSQLインジェクション攻撃に遭う

東京名所を観光するバスで有名な「はとバス」が、自社のWEBアプリケーションに攻撃を受けたのは、SQLインジェクションでした。WEBアプリケーションとデータベースの脆弱性を狙われて、WEBサイトが改ざんされたのです。

その結果「はとバス」のWEBサイトを閲覧したユーザーが、ウイルスに感染するように仕組まれてしまったのです。幸いにも、改ざんを早期に発見した「はとバス」では、迅速にWEBサイトを閉鎖して被害の拡大を食い止めました。それでも、総予約の約3割を占めるWEBサイトの閉鎖は、一時的ではあっても経営に影響を与えました。

加えて、もしも改ざんによってウイルスに感染するユーザーが拡大してしまえば、「はとバス」のWEBサイトが「被害者から加害者に」なってしまうのです。こうした事件は、過去にも数多く発生しています。

例えば、PC向けの周辺機器を販売しているメーカーのWEBサイトが改ざんされて、更新用のソフトウェアがウイルスに入れ替えられてしまった事件もあります。こうした攻撃は「水飲み場」型と呼ばれ、アクセス数や社会的な信用度の高い企業のWEBサイトほど、狙われる危険性が増しています。

「水飲み場」型攻撃の巧妙な手口と被害

「水飲み場」型攻撃は、野生の肉食獣が水飲み場に集まる草食動物などを捕食する様子から、そう呼ばれるようになりました。

その攻撃の基本は、対象となるWEBサイトに侵入して、ウイルスをダウンロードするプログラムを仕掛けたり、アクセスしてきたユーザーの情報を盗もうとします。そして「水飲み場」型攻撃の中でも、特に巧妙な手口がドライブバイダウンロード(Drive-by Download)です。

ライブバイダウンロードは、WEBサイトにアクセスした本人が気が付かないうちに、何らかのソフトウェアを勝手にダウンロードさせて、インストールしてしまいます。技術的には、Windowsなどの基本ソフトやWEBブラウザなどの脆弱性を突き、マルウェアなどを勝手にインストールして実行させます。

おそらく、「明らかに怪しそうなWEBサイト」であれば、ユーザーも意識するので感染の危険性は低くなるでしょう。しかし「水飲み場」として狙われてしまったWEBサイトは、ユーザーから信頼されているので、「まさか感染する」とは思わないので油断してしまうのです。

WEBサイトを「水飲み場」にしてしまう仕組みは、「ガンプラー」と呼ばれる手口でIPA(情報処理推進機構)が、詳しい仕組みを解説しています。

Gumblar.pngIPA 独立行政法人 情報処理機構「コンピュータウイルス・不正アクセスの届出状況[2010年1月分]について」(http://www.ipa.go.jp/security/txt/2010/02outline.html)より引用

この図からもわかるように、最初の攻撃は正規のWEBサイトを運用している管理者の情報や管理権限を盗み出すことです。このときに、最近ではSQLインジェクションのようなWEBアプリケーションへの攻撃が多用されます。

攻撃者は、WEBアプリケーションへの攻撃によって、WEBサイトの管理者権限を取得します。その後は、コンテンツを改ざんして悪意のあるWEBサイトへと誘導したり、ドライブバイダウンロードなどを仕掛けるのです。このような被害者を加害者にしてしまうWEBアプリケーションへの攻撃を防ぐことが、多くのWEBサイト運営企業にとって重要な課題となっているのです。

被害を水際で食い止めるクラウド型WAFの効果

冒頭で紹介した「はとバス」の事例では、「水飲み場」になる被害を食い止めるために、シマンテックのクラウド型WAFを導入しました。

その理由は「すぐにトライアル環境も提供され、実際の導入に至るまで約7日間で行われた」というスピード感にあります。事例の中で「とにかくスピーディに再開を目指しつつ、しかしきちんと対策を完了させることをターゲットに、ベストの解決方法を模索した」と語られているように、速さと安全性と容易な管理を実現するクラウド型WAFは、「水飲み場」型攻撃の防御には効果が高いのです。

さらに「今回の経験をきっかけに、ウェブサイトを運用することは、企業の経営リスクでもあることを認識した。 観光バス事業を運用する際に起こりうる交通事故やホテル業で直面する火災などと同等のリスクとして対処する」と話しています。

そして「WAF の導入直後は攻撃のログが毎日表示されていたが、サイトによっては日次4百件超来ていた攻撃が、導入後 1 ケ月後には数十件に減り、導入後 3ケ月以上経った今では日次 1 件も来ないまでに来なくなった上、攻撃も WAF により止められたものしか検出できなくなった」という成果が得られています。