バラクーダがWAFアプライアンスを強化、「ゆっくりDoS攻撃」に対策：独自アルゴリズムで見極める

[高橋睦美，＠IT]

　バラクーダネットワークスジャパンは、Webアプリケーションファイアウォール（WAF）製品の新バージョン、「Barracuda Web Application Firewall（WAF）7.7」の販売を開始した。通常の通信を装ってWebサーバのコネクションを占有するDDoS攻撃への対策などを実装していることが特徴だ。

　Barracuda WAFは、SQLインジェクションやクロスサイトスクリプティング、クロスサイトリクエストフォージェリ、セッション改ざんといったWebアプリケーションを狙う攻撃からシステムを保護するアプライアンス製品だ。プロキシとして動作し、HTTP/HTTPSのトラフィックを精査してWebアプリケーションの脆弱性を突こうとする攻撃を検出する。

　WAFというと導入時にWebアプリケーションに合わせたチューニングが求められ、手間が掛かるもの、という印象を持たれることもある。しかしBarracuda WAFは、基本的にシグネチャに基づいて攻撃を検出するため、手間を掛けることなく導入、運用できる点がメリットという。シグネチャといっても、「機械的に判断するのではなく、攻撃パターンの情報に基づいて検出を行う。単純に『union』や『select』といった文字列で引っかけるものでもない」（同社 シニアセールスエンジニア 佐藤栄治氏）。このため例えば「Union Jack」といった文字列で誤検知が生じることもないという。

バラクーダネットワークスジャパン シニアセールスエンジニア 佐藤栄治氏

　さらに、管理ツールだけでなく内部処理も日本語に対応。Shift-JISなどの文字コードを使っていると、バックスラッシュやパイプ、バッククォートといった特殊文字が誤って解釈され、攻撃がすり抜けてしまうことがあるが、Barracuda WAFではエンコードを指定することでこの種の問題に対処できる。

　バージョン7.7で加わった主な機能としては、DDoS対策が挙げられる。SYN Floodのような単純なDoS攻撃や、パスワードを総当たり式に破ろうとするブルートフォース攻撃はもちろん、正常な攻撃に見せかけてコネクションを占有し、Webサーバのリソースを浪費させようとするSlowloris、R.U.D.Y（R.U.Dead.Yet）、Slow Read DoSといった、これまでは対処の難しかった手法（同社はこれらを「スロークライアントアタック」と表現）も検出できる「アダプティブ・タイムアウト・アルゴリズム」を実装した。

　アダプティブ・タイムアウト・アルゴリズムでは、ウィンドウサイズを少しずつ縮めながら想定されるデータ転送量と実際のデータ量を比較。通常の通信か、それとも正常なアクセスに見せかけた攻撃かを見極める。「たまたまモバイル環境でアクセスしていて通信品質などが悪い場合と攻撃による通信とを見分けることができる」（佐藤氏）。

　ほかに、IPレピュテーション技術と連携し、アクセス元IPアドレス情報から割り出した地域情報に基づいてアクセスを制御できるようにした。また、アプリケーションごとのレートコントロールやSIEMツールとの連携などもサポートしている。

　Barracuda WAFには、スループットやハードウェア性能に応じて「360」「460」「660」「860」「960」の5モデルが用意されている。価格は、Barracuda WAF モデル 360が128万5000円から。サポートサービスの「エネルギー充填サービス」に加入している場合は無償でバージョン7.7にアップグレード可能だ。