魔の手が伸びる「仮想通貨」、新手の攻撃:セキュリティクラスタ まとめのまとめ 2018年5月版(1/3 ページ)
2018年5月のセキュリティクラスタは、引き続き「仮想通貨」関連の話題に注目が集まりました。ブロックチェーンの仕組み自体の弱点を突いた攻撃や、プラグインの改変などさまざまな手段を使って犯罪者がお金をかすめ取ろうとしています。加えて、仮想通貨を採掘させるスクリプトをサイトに設置すること自体が違法だという指摘がありました。仮想通貨以外では、情報漏えい事件の原因が「WAFの設定ミス」なのか「脆弱性」なのかという議論がありました。
WAFの設定ミスで情報漏えい
2018年5月14日、MS&ConsultingのWebサイトが不正アクセスを受けて会員情報6000件が流出した疑いがあるとの報告がありました(後に約57万件へ訂正)。脆弱(ぜいじゃく)性を突く不正アクセスを受けて、情報が流出する事件はそれほど珍しくはありませんが、WAF(Webアプリケーションファイアウォール)の設定ミスが原因だったため、タイムライン(TL)で話題となりました。
Webアプリケーションに脆弱性があった場合でも、なるべく不正アクセスされないように防御する仕組みがWAFです。しかし、そもそも脆弱性がなければ、不正アクセスがあったとしても、受け付けません。
セキュリティクラスタでは、WAFの設定ミスが攻撃を受けた原因ではなく、脆弱性があったことに加えてWAFの設定ミスがあったためだという指摘がありました。その他、WAFを回避される可能性があるのに過信していたのではないかという指摘や、そもそも脆弱性があるのならそちらを修正すべきで、WAFが何でも守ってくれると思うのは大間違いだと、全てをWAFに頼ることをいさめる声が少なくありませんでした。
アプリケーション開発側がWAFに責任を押しつけて、責任逃れをしているのではないかというツイートや、アプリケーションに脆弱性があってもWAFで守ればよしとするベンダーの姿勢に責任があるのではないか指摘するツイートもありました。
WAFに限らず、設定ミスが不正アクセスを招く事例は珍しくありません。前橋市教育委員会のサーバが不正アクセスを受けて個人情報が流出した事件では、システムを構築したNTT東日本のファイアウォールの設定ミスが情報流出の原因の1つだとして、責任を追及されたことも、話題となっていました。
Copyright © ITmedia, Inc. All Rights Reserved.