Webシェル攻撃とはどんなものか Microsoft 365 Defenderが月間14万件も検出する脅威

Microsoftの分析によってサイバー攻撃にWebシェルが使われる件数が増加していることが分かった。Webシェルはこれまでもサイバー攻撃者に人気の高い攻撃方法だったが、この半年間で使用件数が加速的に増えているようだ。WebシェルはWebアプリケーションの脆弱性を突く形で設置されることが多い。アップデートを適用していないサーバを運用している場合には注意が必要だ。

» 2021年02月15日 18時19分 公開
[後藤大地有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 Microsoftは2021年2月11日(現地時間)、サイバー攻撃でWebシェルが使われるケースが増えていると公式ブログで報告した。『Microsoft 365 Defender』のデータによると、2020年8月から2021年1月末までの期間においてWebシェルが使われた脅威の件数は月平均14万件に到達しており、前年の7万7000件のほぼ2倍に達しているという。

Web shell attacks continue to rise - Microsoft Security Web shell attacks continue to rise - Microsoft Security

Webシェルとは? サイバー攻撃にはどう利用されるか

 ユーザーが何らかの方法で任意のコマンドをサーバ実行するためにWebサーバにインストールして使うソフトウェアやその仕組みを「Webシェル」と呼ぶ。

 Webシェルは特定のソフトウェアを指すのではなく、PHPやASPのようなプログラミング言語の実行環境を指す。そうしたプログラミング言語にはシステムの任意のコマンドを実行するために幾つかの手段が用意されている。

 攻撃者はさまざまな方法でこの機能を使い、遠隔からサーバ上で任意のコマンドを実行できるようにして攻撃する。Webシェルがサイバー攻撃に使われていることは以前からよく知られており、増加傾向が続いていることも報告されていた。今回のMicrosoftの報告はこの傾向が継続しているのみならず、これまでよりも速いペースで増加していることを示した。

 Webシェルのインストールは通常、Webアプリケーションの脆弱性を利用する形で実行される。インターネットには脆弱性を修正するパッチが適用されないまま運用されているサーバが多数存在する。攻撃者はこうしたサーバをスキャンによって発見し、Webシェルのインストール先として利用する。

 Webシェルは比較的簡単に設置でき、効果的に利用できることから、サイバー攻撃において利用が活発化している可能性が指摘されている。攻撃のエントリーポイントとして使用できる他、攻撃を永続化する仕組みとしても使用できる。Webシェルは構成によっては検出が難しく、実際に実行されなければ危険性を検出できないものも多い。今後もWebシェルを使用したサイバー攻撃は増加することが予測されるため注意が必要だ。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ