ランサムウェアによる実際の長期サービス停止の影響を目の当たりにした日本の組織で、自社の対策強化を図ろうとする動きが顕著になっている。その一環で、攻撃の侵入経路を洗い出すために「アタックサーフェスマネージメント」にも改めて注目が集まっている。実はこの数年、Webアプリケーションの脆弱性攻撃によく用いられる手法や、窃取される情報の種類、攻撃対象となるWebベースのサービスの領域(アタックサーフェス)に、明らかな変化が生じている。今回は、Webアプリケーション攻撃の変化の特徴と、組織内部に侵入する脅威に対抗するための防衛戦略の要点を探っていく。
Webアプリケーション攻撃手法に起こった大きな変化
まず、2022年頃に起こったWeb攻撃手法の大きな変化から見ていこう。下記のグラフは、Akamai Technologies(アカマイ)が提供しているクラウド型のWAF(Web Application Firewall)サービスで検知した、Webアプリケーション攻撃ベクトルの変化を示したものだ。2022年のLFI(ローカルファイルインクルージョン)攻撃が、前年の2021年と比べ 193%増(約3倍)となっている。この増加傾向はいまだ継続しており、欧米だけでなく日本を含むアジア圏でも顕著になっている。
[画像クリックで拡大]
2020年頃まではダントツで1位だったSQLインジェクション(SQLi)の攻撃数を、いまやLFIは大きく上回っている。サイトと連携しているデータベース内の顧客情報などを狙うSQLiとは異なり、LFIはフロントエンドとなるWebサーバーを乗っ取っとろうとする攻撃だ。この攻撃によって、サーバー上の機微な情報が攻撃者にさらされる可能性があるほか、リモートコード実行(RCE)を行ったり、Webシェルを仕込まれたりする。
Webシェルは、攻撃者がシステムとのアクセスを維持し、サーバーをリモート制御するバックドアを作るために用いられる。様々な種類があるが、有名なのはChina Chopper(中国菜刀)だろう。これは、WindowsまたはLinuxベースのサーバを対象にしたWebシェルで、中国のAPTグループ(APT41, Hafniumなど)によってよく用いられている。GUIも備えており、パスワード総当たり攻撃や、標的サーバー内のファイルの管理、コード難読化など、攻撃に利用する多くの機能に対応している。
その後フリーハンドを手にした攻撃者は、サーバーを踏み台にしてじっくりと時間をかけ、外部からの攻撃を組織内部に中継したり、リモートで内部のサーバーやPCを操ったりできるよう、侵入経路に手を加えていく。
このように、サーバー乗っ取り型の攻撃では、単純なWebサーバーの脆弱性をつく攻撃だけでなく、それに続く多段階の攻撃が試行される。したがって、Webを守るWAFやそのマネージドサービスにおいては、単一の脆弱性攻撃への対処能力だけでなく、一連の攻撃の試みを各段階で検知して阻止する能力や実績を持っているか否かが、ソリューション選定の際により重要なポイントとなっていくだろう。
この記事は参考になりましたか?
- 中西一博のセキュリティレポート 変化するWeb攻撃 戦いの現場で何が?連載記事一覧
-
- 増えるフィッシング被害、「偽サイト」は今や見分け困難に……DMARCは有効か? 他の対策方...
- 削ぎ落とされるブランドの信頼と収益──進化する「スクレイパーボット」の実態と、最新の対抗手...
- 変化するWeb攻撃──アタックサーフェスの拡大と攻撃者の意図から、採るべき防衛戦略を導き出...
- この記事の著者
-
中西 一博(ナカニシ カズヒロ)
アカマイ・テクノロジーズ合同会社
マーケティング本部 プロダクトマーケティングマネージャー日立グループ全体のセキュリティ設計を担当後、シスコシステムズで、セキュリティ分野のSE、プロダクトマネジャー、製品マーケティングとして従事。現在はアカマイ・テクノロジーズでクラウドセキュリティおよびクラウドコンピュー...※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
