SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

中西一博のセキュリティレポート 変化するWeb攻撃 戦いの現場で何が?

変化するWeb攻撃──アタックサーフェスの拡大と攻撃者の意図から、採るべき防衛戦略を導き出す

 ランサムウェアによる実際の長期サービス停止の影響を目の当たりにした日本の組織で、自社の対策強化を図ろうとする動きが顕著になっている。その一環で、攻撃の侵入経路を洗い出すために「アタックサーフェスマネージメント」にも改めて注目が集まっている。実はこの数年、Webアプリケーションの脆弱性攻撃によく用いられる手法や、窃取される情報の種類、攻撃対象となるWebベースのサービスの領域(アタックサーフェス)に、明らかな変化が生じている。今回は、Webアプリケーション攻撃の変化の特徴と、組織内部に侵入する脅威に対抗するための防衛戦略の要点を探っていく。

Webアプリケーション攻撃手法に起こった大きな変化

 まず、2022年頃に起こったWeb攻撃手法の大きな変化から見ていこう。下記のグラフは、Akamai Technologies(アカマイ)が提供しているクラウド型のWAF(Web Application Firewall)サービスで検知した、Webアプリケーション攻撃ベクトルの変化を示したものだ。2022年のLFI(ローカルファイルインクルージョン)攻撃が、前年の2021年と比べ 193%増(約3倍)となっている。この増加傾向はいまだ継続しており、欧米だけでなく日本を含むアジア圏でも顕著になっている。

主なWeb攻撃ベクトル:2021年1月〜12月の比較(縦軸はアカマイWAFで検知した攻撃数)
主なWeb攻撃ベクトル:2021年1月〜12月の比較(縦軸はアカマイWAFで検知した攻撃数)
[画像クリックで拡大]

 2020年頃まではダントツで1位だったSQLインジェクション(SQLi)の攻撃数を、いまやLFIは大きく上回っている。サイトと連携しているデータベース内の顧客情報などを狙うSQLiとは異なり、LFIはフロントエンドとなるWebサーバーを乗っ取っとろうとする攻撃だ。この攻撃によって、サーバー上の機微な情報が攻撃者にさらされる可能性があるほか、リモートコード実行(RCE)を行ったり、Webシェルを仕込まれたりする。

 Webシェルは、攻撃者がシステムとのアクセスを維持し、サーバーをリモート制御するバックドアを作るために用いられる。様々な種類があるが、有名なのはChina Chopper(中国菜刀)だろう。これは、WindowsまたはLinuxベースのサーバを対象にしたWebシェルで、中国のAPTグループ(APT41, Hafniumなど)によってよく用いられている。GUIも備えており、パスワード総当たり攻撃や、標的サーバー内のファイルの管理、コード難読化など、攻撃に利用する多くの機能に対応している。

 その後フリーハンドを手にした攻撃者は、サーバーを踏み台にしてじっくりと時間をかけ、外部からの攻撃を組織内部に中継したり、リモートで内部のサーバーやPCを操ったりできるよう、侵入経路に手を加えていく。

 このように、サーバー乗っ取り型の攻撃では、単純なWebサーバーの脆弱性をつく攻撃だけでなく、それに続く多段階の攻撃が試行される。したがって、Webを守るWAFやそのマネージドサービスにおいては、単一の脆弱性攻撃への対処能力だけでなく、一連の攻撃の試みを各段階で検知して阻止する能力や実績を持っているか否かが、ソリューション選定の際により重要なポイントとなっていくだろう。

次のページ
なぜ「乗っ取り型攻撃」へシフトしているのか

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
中西一博のセキュリティレポート 変化するWeb攻撃 戦いの現場で何が?連載記事一覧

もっと読む

この記事の著者

中西 一博(ナカニシ カズヒロ)

アカマイ・テクノロジーズ合同会社
マーケティング本部 プロダクトマーケティングマネージャー日立グループ全体のセキュリティ設計を担当後、シスコシステムズで、セキュリティ分野のSE、プロダクトマネジャー、製品マーケティングとして従事。現在はアカマイ・テクノロジーズでクラウドセキュリティおよびクラウドコンピュー...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/20142 2024/08/09 09:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング