WAFで見つけたWebサイトへの攻撃状況は？

[國谷武史，ITmedia]

　シマンテックは9月25日、同社が提供しているクラウド型Webアプリケーションファイアウォール（WAF）サービスでの攻撃の検知状況を発表した。2013年後半からWebサイトの改ざん被害が増えているが、2014年に入ってさらに激化していることが分かった。

　2011年1月から2014年8月までに同社サービスを導入している国内657サイトでの攻撃状況をみると、SQLインジェクション攻撃は2011年上半期に約7万3000件を検知して以降、減少傾向にあったものの、2013年下半期は約19万2000件、2014年上半期は約17万6000件と増加傾向にある。また、PHPの脆弱性を突く攻撃は2013年上半期まで数千台だったものの、2013年下半期は約3万7000件、2014年上半期は約14万1000件と急増した。

攻撃の検知状況（シマンテックより）

　この他、2014年上半期はディレクトリトラバーサルの脆弱性を突く攻撃が約9万4000件、コマンドインジェクション攻撃が約6万4000件と、それぞれ2013年上半期までに比べて増えている。4月に騒動となったApache Strutsの脆弱性を狙う攻撃は3000件近く検知された。

Apache Strutsの脆弱性を狙う攻撃の状況（同）

　こうしたWebサイトに対する攻撃は、攻撃者がWebサイト訪問者のコンピュータにマルウェアを送り込む「ドライブ・バイ・ダウンロード」を仕掛けたり、データベース内の情報を盗み出したりするなどの目的で行われることが多い。上述の手口でWebサイトの管理権限などを不正に取得し、Webサイトに不正なコード（マルウェア感染サイトへのリンクなど）を埋め込むといった改ざん行為も多い。

　同社はWebサイトを狙う攻撃を防ぐ手段としてWAFの有効性を強調する。WAFでは主にアプライアンスを自社運用するタイプとクラウド型サービスの2種類がある。多数のWebサイトを広帯域で運営している場合は、アプライアンス型の方が運用コストを抑制できる傾向にあるものの、シグネチャの頻繁な更新など高度な運用技術が求められる。

WAFが防ぐ主な攻撃（同）

　クラウド型サービスでは仮想サーバなどにWAFソフトをインストールして自社で運用するタイプと、運用を含めたアウトソースが可能なタイプの主に2つがある。アウトソース型ではユーザーの作業負担は少なくコストメリットがあるものの、大規模なWebサイトには対応が難しいといった点があるという。

　同社はWebサイトを運営する企業に対し、自社のWebサイト環境に適した対策の導入を検討して攻撃に備えてほしいと呼び掛けた。

2013年後半からWebサイトの改ざん被害が増えている。シマンテックが国内サイトに対する攻撃の検知状況を明らかにした。