Webアプリケーションの脆弱性をついた、サイバー攻撃による被害について知っていますか?サイバー攻撃の被害を受けると、Webサービスを利用する側と提供する側の双方が大きな損害を受ける可能性があります。WAF(Webアプリケーションファイアウォール)は、そういったサイバー攻撃からWebサイトを守る方法の一つです。では具体的にどのような攻撃パターンが存在するのでしょうか?本記事ではWAFとサイバー攻撃の関係性も含めて、 WAFが防ぐ攻撃パターンを一挙に解説していきます。
なぜWAFは必要なのか? -届出があった脆弱性のうち、約7割がWebサイトに関係していた-
なぜWAFは必要なのでしょうか?その理由は、Webアプリケーションに脆弱性が存在し、企業として防ぐ必要があるからです。
特に近年ではWebアプリケーションは複雑化してきています。他のシステムと連携する際の検証あるいは考慮の漏れから脆弱性が生まれ、サイバー攻撃を受けるケースもあります。
また、IPAのレポートによると2021年の脆弱性の届出件数の約7割以上がWebサイトに関係するものだとされています。
以上の背景から、サイバー攻撃からWebアプリケーションを防御するセキュリティ対策として、WAFの必要性が高まってきているのです。
WAFで防ぐ攻撃パターン1 標的型攻撃
標的型攻撃とは、特定のターゲットに対して行われるサイバー攻撃の総称です。主に、ターゲットをあらかじめ定めて、そのターゲットの行動を把握しておきます。そして、ターゲットの業務内容や行動パターンなどに合わせた攻撃を行う手法です。
標的型攻撃の1つに水飲み場攻撃があります。水飲み場攻撃とは、攻撃対象のユーザーが頻繁にアクセスするWebサイトを改ざんして、閲覧するとウイルスが感染するように罠をしかける手法です。
水飲み場攻撃では、改ざんされたWebサイトにユーザーが訪れると、埋め込まれたスクリプト等によって別のサイトへと誘導し、パソコンのOSやソフトウェアの脆弱性をついてウイルスに感染させます。
水飲み場攻撃という名称は、水飲み場にやってくる動物を待ち伏せて捕食することに由来しています。
WAFもこの水飲み場攻撃を防ぐセキュリティ対策と言えます。
WAFで防ぐ攻撃パターン2 パスワードリスト攻撃
パスワードリスト攻撃とは、何らかの方法で手に入れたIDおよびパスワードを使ってWebサイトへアクセスする攻撃です。
一般的にWebサイトの利用者は、同じIDやパスワードを他のWebサイトでも使い回している傾向が多いでしょう。その傾向を逆手にとって、入手したID・パスワードを別のWebサイトに利用してアクセスを試みるのです。パスワードリスト攻撃の被害としては、ECサイトに登録されたクレジットカードの情報を不正に利用して、商品を勝手に購入されるという例があげられます。
パスワードリスト攻撃はWAFで防御することができます。パスワードリスト攻撃を行うサイバー犯罪者は、IDやパスワードを手入力でログインするのではなくツールを使って連続的にログインを試みます。つまり、同IPアドレスから大量にログインの失敗を検知した場合にWAFで防ぐことができるのです。
WAFで防ぐ攻撃パターン3 総当たり攻撃
総当たり攻撃とは、ブルートフォース攻撃とも呼ばれ、文字通りIDやパスワードを総当たりで全て試すことでいつかは正解するという攻撃です。
総当たり攻撃による被害は、上記のパスワードリスト攻撃と同様で、クレジットカードの情報を不正に利用することがあげられます。
総当たり攻撃もWAFで防御することができます。ログインに使われるパラメータの異なる組み合わせが単一のクライアントから何度も送られてきた場合などは、WAFが攻撃として検知することが可能です。
WAFで防ぐ攻撃パターン4 未知の攻撃
一般的なウイルス対策ソフトでは、主に既知のマルウェアを検知し防御することが可能です。しかし近年ではパターンマッチングをベースにしたマルウェア対策では検知できない、未知の攻撃が増加しています。
WAFでは主にシグネチャ(アクセスパターンを記録している)でサイバー攻撃を検知します。シグネチャにはブロックリスト型とセーフリスト型があります。ブロックリスト型とは、拒否する通信を定義しておき、その内容と一致した通信を拒否します。逆にセーフリスト型は、許可する通信を定義しておき、その内容と一致しない通信を全て拒否します。このセーフリスト型では、未知の攻撃を防ぐことができます。
疑似攻撃とは?
以上のサイバー攻撃の解説とは異なりますが、WAFを導入した際に「本当に正しくWAFが動作しているのか?」を確認するための手法として、疑似攻撃があげられます。
疑似攻撃は、言葉の通りWebアプリケーションに対して疑似的な攻撃を行います。疑似攻撃を行うことで想定通りに攻撃とみなされてブロックできているかを確認することができます。
疑似攻撃はWAFを提供している企業によって、サポート部門で対応してくれることもあれば、ご自身で対応しなければならないこともあります。WAFを導入される際には、企業が疑似攻撃をサポートしているのか、この項目も確認されると良いでしょう。
まとめ
本記事では「 WAFが防ぐ攻撃パターンを一挙にご紹介!こんなに攻撃の種類があるの?」と題し、主なサイバー攻撃とWAFの関係性について解説してきました。本当にサイバー攻撃のパターンは数多く、こんなにたくさんの攻撃の種類があることが理解できたと思います。近年では、Webアプリケーションの脆弱性をついたサイバー攻撃は多様化してきており、WAFの必要性も高まってきています。
これまでの一般的な考え方として、WAFのコストや運用の大変さなどが、WAF導入の課題となっていました。しかし、自社のWebサイトがサイバー攻撃の被害を受けた場合は、情報漏えいや損害賠償のような大きな問題へと発展するリスクが想定されます。このような深刻な被害に遭う前に、WAFの導入を検討してみるのはいかがでしょうか?
当サイトでは、サイバー攻撃を防ぐためのWAFに興味がある方へ、参考になるダウンロード資料をご用意しております。「サイバー攻撃可視化ツールPrimeWAF 基本ガイドブック」は、WAF選定時に抑えるべき機能やポイントがわかる資料になっています。ぜひ資料をダウンロードください。
