セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ：2024年第3四半期で最も多かった攻撃は？

EGセキュアソリューションズは「SiteGuard セキュリティレポート（2024.3Q）」を発表した。2024年第3四半期における「攻撃種別」「月別」「接続元（国別）」の3つの観点での攻撃傾向および特に注目すべき2つの攻撃手法について詳しく解説している。

[＠IT]

　EGセキュアソリューションズは2024年10月24日、「SiteGuard セキュリティレポート（2024.3Q）」を発表した。これは、同社のクラウド型WAF（Web Application Firewall）である「SiteGuard Cloud Edition」が2024年第3四半期（2024年7月1日〜9月30日）に検出した攻撃を分析したもの。「攻撃種別」「月別」「接続元（国別）」の3つの観点での攻撃傾向と、特に注目すべき2つの攻撃手法について詳しく解説している。

プレスリリース（提供：EGセキュアソリューションズ）

「短いパターンが連続するパス」が指す意味とは

　レポートによると、2024年第3四半期に発生件数が多かったのは「バッファーオーバーフロー」と「SQLインジェクション」の2つで、検知した攻撃の9割を占めていた。

　特に多かったのはバッファーオーバーフロー攻撃だ。SiteGuard Cloud Editionは、パスやパラメーター、ヘッダなどの長さがしきい値を超えた場合や、「shellcode」と呼ばれるバイナリデータの一部を発見した場合に、そのアクセスを攻撃と見なしている。今回検出された攻撃はほぼ全て前者（“長いパス”を悪用したもの）だという。

　検出したパスはいずれも「/xxx/yyy/20230722/20230722/20230722/20230722/20230722/20230722/20230722/…」（/xxx/yyy/は実在するパス、以下同）や「/xxx/yyy/img/img/img/img/img/img/img/img/img/img/img/img/img/img/img/img/img/…」「/xxx/yyy/files/files/files/files/files/files/files/files/files/files/files/files/files/files/files/files/…」というように、短いパターンが連続するものだった。

　EGセキュアソリューションズによると、これらのリクエストの「User-Agent」には「Amazon-bot」または「Baidu-bot」を示す文字列が含まれており、それぞれのIPアドレスを逆引きすると本物のbotである可能性が高いという。また、検出されたのが2つのWebサイトに限定されていることから、同社は「Webサイトの構成や設定によって引き起こされる、Webクローラーのバグが原因ではないか」と推察している。