脆弱性にまみれた世界で戦う人たち――バグハンター、CSIRT、レッドチーム(4/5 ページ)
ランサムウェア「WannaCry」のインパクトが記憶に新しい中、ウクライナやロシアを中心に感染を広げた「NotPetya」が登場した直後の開催となった、2017年6月の@ITセキュリティセミナー。レポートシリーズ第2回は、脆弱(ぜいじゃく)性に関する講演を中心に紹介する。
Webサイトのセキュリティ対策は現状の「見える化」から――シマンテック・ウェブサイトセキュリティ
Webサイトを狙った攻撃は後を絶たない。シマンテック・ウェブサイトセキュリティ Website Securityソリューションデベロップメントストラテジー プリセールスSEの小林聡氏は、「Webサイトの不正アクセス・改ざん・情報漏洩を防ぐ手法とその事例」と題するセッションの中で、「攻撃する側は脆弱性情報に非常に敏感になっており、対策する前に攻撃してくる」と警鐘を鳴らした。
かつて、HeartbleedやShellshockといった脆弱性が発見されると直後に攻撃が激増したのと同じように、2017年に入ってもWordPress APIやApache Struts 2の脆弱性が公表されると、すぐにそれらを狙った攻撃が横行している。小林氏はこうした現状を踏まえ、「Webサイトセキュリティについては、PDCAの順ではなく、まず『チェック』し、可視化して現状を把握することから始めてほしい。なぜなら、攻撃されていることに気付かないケースがあまりに多いからだ」と指摘した。さらに、「Webサイトは生き物。随時デザイン変更や機能追加が行われ、新しい脆弱性が紛れ込んでしまう。従って、定期的に検査を回していくことが必要だ」と付け加えた。
シマンテックでは、SSLサーバ証明書にバンドルする形で、Webサイトがマルウェアに感染していないかを確認する「マルウェアスキャン」と、攻撃対象になる脆弱性がないかを診断する「脆弱性アセスメント」を提供することで、この課題に取り組もうとしている。「マルウェアスキャンや脆弱性アセスメントを証明書にバンドルすることで、ある程度Webサイトの安全性を担保する」(小林氏)
もし脆弱性が見つかればWebアプリケーションを改修することが根本的な対策となるが、予算や開発リソースの問題で、修正に時間がかかることもある。事実、情報処理推進機構(IPA)の調査によると、脆弱性の修正に91日以上の日数を要したサイトは、全体の3分の1に上る。シマンテックではそうしたサイトの防御策として、クラウド型のWeb Application Firewall(WAF)を提供している。小林氏は、はとバスやアピリッツ、自由民主党といったサイトがクラウドWAFを導入した事例を紹介し、「クラウドベースなので運用の手間、導入の手間がかからない上、守る対象がクラウドにあってもオンプレミスにあっても、どちらでも対応できる」と述べている。
分散して攻撃を仕掛けてくるDDoSには分散サーバで対処を――アカマイ・テクノロジーズ
アカマイ・テクノロジーズ Web&セキュリティマーケティング本部 プロダクト・マーケティング・マネージャーの中西一博氏は「進化するボットによるウェブ攻撃の実態と最新のサイバーリスク管理策」と題してセッションを行った。
Webサービスの負荷分散を実現するCDN事業者として知られているアカマイ・テクノロジーズ。「Googleに次ぐ数のサーバを世界中に分散配置し、世界のWebトラフィックの15〜30%を処理している。実はこれがDDoS攻撃対策などセキュリティにも有効だ」という。
DDoS攻撃は、大量のトラフィックをサーバに送りつけ、正常な通信を行えなくする攻撃だ。個人情報流出とは異なりニュースになることは少なくても「頻繁に起きている。また2016年は、ルーターなどIoT機器に感染するbotネット『Mirai』が登場し、大規模なDDoS攻撃を仕掛けている」(中西氏)。その上、攻撃対象はWebだけではなくDNSサーバにも広がっているため「いろいろなベクトルのDDoS対策が必要になる」と中西氏は述べた。アカマイでは、こうした状況に対し「Kona Site Defender」というDDoS緩和策を提供している。攻撃を検知するとエッジサーバ側で跳ね返し、レートコントロールなど多層的な仕組みでサービス継続を支援する。
2017年春、Apache Struts 2の脆弱性を突いた攻撃が相次いだことは記憶に新しい。「事業規模に関係なく、穴のあるところから狙われる」と中西氏は述べ、Webの脆弱性を狙う攻撃に対する防御策が必要だとした。特にFinTechなどの潮流を背景に、より便利なサービスの実現に向けてREST APIを公開するサイトが増えるにつれ、「APIもまた頻繁に攻撃されるようになった。APIの裏側には重要な情報があることが多い。これも穴にならないよう対策が必要だ」(中西氏)。そこでKona Site Defenderの新バージョンには「APIプロテクション」が追加されている。
中西氏は最後に、いわゆるサイバー攻撃には分類されないが、転売など迷惑行為を行うbotが増えていることに触れ、「Bot Manager」によってこうしたアクセスを「いなす」ことができると説明。今後もさまざまなCDNベースのセキュリティソリューションを提供していくと述べている。
リアルタイムな管理が「サイバーハイジーン」を実現する――タニウム
講演「サイバーハイジーンの考え方・実践方法」にはタニウム テクニカル アカウント マネージャの梅原鉄己氏が登壇した。
近年のITセキュリティでは、「サイバーハイジーン(衛生・予防)」という単語が注目されている。脅威の検知や調査・対処、フォレンジックといった従来のエンドポイント・ディテクション&レスポンス(EDR)に加えて、不正端末のスキャン、パッチ管理、脆弱性評価、コンプライアンスチェックなどを実行して、エンドポイントの“衛生”状態を保ち、サイバー攻撃による被害を“予防”するという取り組みだ。
梅原氏によれば、現在の99.9%のサイバー攻撃は、1年以上も前に認識されていた既知の脆弱性が狙われているという。中には、1999年に公表されていたものさえあったとのことだ。つまり、既知の脆弱性・攻撃に対する予防が非常に重要ということである。しかし、こうした脅威に対してサイバーハイジーンを実現するには、多数のエンドポイントから情報を集め、高速にアップデートを行わなければならない。
「従来のハブ&スポーク型のアーキテクチャでは、大規模なエンドポイント環境をリアルタイムに把握することが困難で、運用コストも肥大化してしまいます。タニウムでは、新しいネットワークアーキテクチャを開発し、こうした問題を解決している」(梅原氏)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- CSIRTが果たすべき「社会的責任」とは
@IT編集部が2017年2月に開催した「@ITセキュリティセミナー」レポートシリーズ。最終回は、これまでに紹介できなかったセッションの模様をまとめてお届けする。 - 「標的型攻撃に気付けない組織」にならないための確認ポイントとは
3回にわたりお届けしてきた「@ITセキュリティセミナー 〜迷宮からの脱出〜」レポート。最終回となる今回は、2016年6月28日に大阪で開催した同セミナーの中から、東京では行われなかったセッションの模様を紹介する。 - インターポールの考える「サイバー犯罪撲滅策」
@IT編集部は2016年3月8日、大阪市で「@ITセキュリティセミナー」を開催した。本稿では大阪会場のみで行われたセッションを取り上げて紹介する。