Webアプリケーション攻撃手法に起こった大きな変化
まず、2022年頃に起こったWeb攻撃手法の大きな変化から見ていこう。下記のグラフは、Akamai Technologies(アカマイ)が提供しているクラウド型のWAF(Web Application Firewall)サービスで検知した、Webアプリケーション攻撃ベクトルの変化を示したものだ。2022年のLFI(ローカルファイルインクルージョン)攻撃が、前年の2021年と比べ 193%増(約3倍)となっている。この増加傾向はいまだ継続しており、欧米だけでなく日本を含むアジア圏でも顕著になっている。
[画像クリックで拡大]
2020年頃まではダントツで1位だったSQLインジェクション(SQLi)の攻撃数を、いまやLFIは大きく上回っている。サイトと連携しているデータベース内の顧客情報などを狙うSQLiとは異なり、LFIはフロントエンドとなるWebサーバーを乗っ取っとろうとする攻撃だ。この攻撃によって、サーバー上の機微な情報が攻撃者にさらされる可能性があるほか、リモートコード実行(RCE)を行ったり、Webシェルを仕込まれたりする。
Webシェルは、攻撃者がシステムとのアクセスを維持し、サーバーをリモート制御するバックドアを作るために用いられる。様々な種類があるが、有名なのはChina Chopper(中国菜刀)だろう。これは、WindowsまたはLinuxベースのサーバを対象にしたWebシェルで、中国のAPTグループ(APT41, Hafniumなど)によってよく用いられている。GUIも備えており、パスワード総当たり攻撃や、標的サーバー内のファイルの管理、コード難読化など、攻撃に利用する多くの機能に対応している。
その後フリーハンドを手にした攻撃者は、サーバーを踏み台にしてじっくりと時間をかけ、外部からの攻撃を組織内部に中継したり、リモートで内部のサーバーやPCを操ったりできるよう、侵入経路に手を加えていく。
このように、サーバー乗っ取り型の攻撃では、単純なWebサーバーの脆弱性をつく攻撃だけでなく、それに続く多段階の攻撃が試行される。したがって、Webを守るWAFやそのマネージドサービスにおいては、単一の脆弱性攻撃への対処能力だけでなく、一連の攻撃の試みを各段階で検知して阻止する能力や実績を持っているか否かが、ソリューション選定の際により重要なポイントとなっていくだろう。
