1.脆弱性が変えるWebアプリケーションを取り巻く状況
2017年3月6日に公開された「S2-045」と呼ばれる「Apache Struts2」の脆弱性によって多くの被害が発生したことは記憶に新しい。脆弱性をそのままにしたサーバーに攻撃者が悪意あるリクエストを送ると、サーバー上で任意のコードが実行されてしまう、というものだ。Webサイトから会員のメールアドレスやカード情報などの個人情報が流出したり、Webサイトが改ざんされたりした。従来の侵入事件ではサイト側の対応が遅かったために被害にあったというケースが大半だが、S2-045のケースでは脆弱性が発表されてからの対応が比較的早かったサイトでも大きな被害を出してしまったというのが印象的であった。
一般的な脆弱性対応では、情報受信、影響範囲の洗い出し、優先度付け、脆弱性対応計画の策定という流れで対策を行うが、影響範囲の確認だけで数日を要することもあるだろう。特に、ミッションクリティカルなサイトを運営している場合は、パッチ適用であっても慎重になってしまうのが実情だ。
新たにS2-045のような問題が発生した場合、貴社のサイトでは迅速な対応が可能だろうか? 脆弱性情報が公開され、それが攻撃者にとって有用なものであれば、今回のように即時攻撃に悪用されるだろう。これは、新たな脆弱性情報が公開されてから対策を行うまでの猶予が非常に限られている状況だと言える。
今回紹介する「Web Application Firewall」は適切に運用することで、重大インシデントの発生を緩和する可能性を持っている。