2018年5月14日、MS&ConsultingのWebサイトが不正アクセスを受けて会員情報6000件が流出した疑いがあるとの報告がありました(後に約57万件へ訂正)。脆弱(ぜいじゃく)性を突く不正アクセスを受けて、情報が流出する事件はそれほど珍しくはありませんが、WAF(Webアプリケーションファイアウォール)の設定ミスが原因だったため、タイムライン(TL)で話題となりました。
Webアプリケーションに脆弱性があった場合でも、なるべく不正アクセスされないように防御する仕組みがWAFです。しかし、そもそも脆弱性がなければ、不正アクセスがあったとしても、受け付けません。
セキュリティクラスタでは、WAFの設定ミスが攻撃を受けた原因ではなく、脆弱性があったことに加えてWAFの設定ミスがあったためだという指摘がありました。その他、WAFを回避される可能性があるのに過信していたのではないかという指摘や、そもそも脆弱性があるのならそちらを修正すべきで、WAFが何でも守ってくれると思うのは大間違いだと、全てをWAFに頼ることをいさめる声が少なくありませんでした。
アプリケーション開発側がWAFに責任を押しつけて、責任逃れをしているのではないかというツイートや、アプリケーションに脆弱性があってもWAFで守ればよしとするベンダーの姿勢に責任があるのではないか指摘するツイートもありました。
WAFに限らず、設定ミスが不正アクセスを招く事例は珍しくありません。前橋市教育委員会のサーバが不正アクセスを受けて個人情報が流出した事件では、システムを構築したNTT東日本のファイアウォールの設定ミスが情報流出の原因の1つだとして、責任を追及されたことも、話題となっていました。
Copyright © ITmedia, Inc. All Rights Reserved.