シマンテックは2014年9月25日、「Webサイト攻撃の傾向と対策に関する記者説明会」を開催、Trust Services プロダクトマーケティング部の安達徹也氏が、Webサイトを狙う攻撃の現状と、その対策用に提供しているWAF(Web Application Firewall)のサービスについて解説した(写真)。
安達氏によると、Webサイト攻撃は多く、かつ増加傾向にある。これは脆弱性を抱えるWebサイトが増えているためだ。「Webサイトはバグがない状態でスタートしても、技術の進歩により新たな脆弱性が発見される。そのつど対処する必要があるが、対処が追いつかないためWebサイトの脆弱性が増えていく」(安達氏)。攻撃目的は、愉快犯から金銭目的へと移ってきているという。
安達氏は、IPAが発行した「2014年版 情報セキュリティ10大脅威」で挙げられている脅威トップ5のうち、2位の「不正ログイン・不正利用」と3位の「Webサイトの改ざん」、4位の「Webサービスからのユーザー情報の漏えい」は、WAFで対策可能だと説明。同社はWAFの機能をネットワーク上で提供する「クラウド型WAF」サービスを提供している。
説明会では、クラウド型WAFを利用している国内Webサイトへの攻撃で検知されたものの統計(対象期間は2011年1月から2014年8月)を紹介した。全体の傾向として2013年後半から攻撃数が上昇しているが、2014年1~6月に調査対象となった657サイトへの攻撃で最多だったのは「SQLインジェクション」で、合計17万6000回だった。
SQLインジェクションは、Webアプリケーションに存在する場合がある「本来はデータであるはずの文字列が、データベースへの問い合わせに使うSQL文として認識されてしまう」というバグ(脆弱性)を悪用して、データベースから不正に情報を引き出す攻撃手法。データベースに蓄積された個人情報の漏えいや、サイトを管理用の情報の漏えいとそれを使ったなりすましなど、影響は多岐にわたる。また、攻撃対象が検索可能で攻撃ツールの入手が容易という側面があるという。
同時期に2番目から4番目に多かった攻撃手法は、PHPへの攻撃(同14万1000回)、ディレクトリトラバーサル(同9万4000回)、コマンドインジェクション(同6万4000回)だった。PHPはWebサイト側で使われるスクリプト言語。「古いバージョンが使われ続けている」「エラーメッセージを検索で拾える」「技術者レベルのばらつきが多い」「脆弱性が世界中で調査され、日々新しい脆弱性が報告される」などが、その脆弱性を突く攻撃が多い理由だとする。
ディレクトリトラバーサルは、外部からファイル名を指定して、そのファイルの閲覧や書き込みをする作りになっているWebサイトへの攻撃。ファイル名を巧妙に細工し指定することで、本来は読み書きを許可していないファイルを指定されてしまう場合がある。ソースファイルや個人情報ファイルの閲覧、ファイル改ざんや不正プログラムの設置といった影響が出る。権限設定がきちんとされていれば対処可能だが、その隙を突くという。
コマンドインジェクションは、閲覧者からのデータ入力や操作を受け付けるようなWebサイトで、プログラムに与えるパラメータにOSへの命令文を紛れ込ませる攻撃である。このほか、Webアプリケーション開発に使われるフレームワークの「Apache Struts」への攻撃(同3000件)も、特徴的な攻撃として挙げた。
