検索
Special

なぜWAFの「ルールセット」「シグネチャ更新」「チューニング」だけでは巧妙化するWeb攻撃に追いつけないのか?AI時代の攻撃は、WAFの反応を見ながら進化する

Webサイトを守る「WAF」は広く普及した。だが、生成AIを利用した攻撃が急増する中、シグネチャ依存型のWAFでは防御の限界が見え始めている。攻撃者はAIを使った高速な試行錯誤で、ルールの隙間を容易に突いてくるからだ。本稿では、AI時代のWeb攻撃の脅威と、ルールの隙間を突く攻撃にも対応できるWAFに不可欠な「真の検知性能」を明らかにする。

PC用表示
Share
Tweet
LINE
Hatena
PR

WAFの防御は、AI時代に通用するのか?

 WebサイトやWebアプリケーションを守る手段として、「WAF」(Web Application Firewall)の導入はかなり一般的になった。クラウドインフラの提供サービスに付属するWAFや外部運用サービスを利用して、「標準ルールセット」や「マネージドルール」、あるいはWAFの「チューニング」で防御する企業も多い。

 しかし、AI時代のWebアプリケーションへの攻撃特性を考慮すると、こうした考え方では、防御が追い付かなくなることが予想される。本稿ではその理由を、WAFベンダーの多くが語らない「検知性能の本質」の視点から掘り下げる。

AI時代にはWeb攻撃の試行錯誤が加速する

 Anthropicの「Claude Mythos」など、AIを使った脆弱(ぜいじゃく)性発見の話題を耳にした方も多いだろう。こうした技術は本来防御側のためのものだが、近い将来、攻撃側がこれに近い能力を持つ可能性も考えておく必要がある。

 これまでのWeb攻撃は、攻撃者が用意した攻撃パターンを対象サイトに送信して成功するかどうかを試していた。もちろん、これまでも攻撃は自動化されていた他、攻撃ツールも存在した。しかし、生成AIやAIエージェントの進化で、攻撃者が試せるパターンの量と速度はこれまでとは変わり始めている。

 AIを利用した攻撃であっても、Webアプリケーションの基本的な構造が変わらない限り、攻撃ロジックの基本形が一夜にして全く別物になるわけではない。むしろ、既存の攻撃ロジックの基本形を巧妙かつ高速に変化させながら、大量の試行を継続できることこそが企業にとってAI時代の身近で現実的な脅威だ。

 たとえWAFを導入していても攻撃者はWAFの反応を手掛かりに、AIを使って次の攻撃方法の候補を生成できる。文字列、エンコード、ヘッダ、ボディサイズ、パラメーター配置などを変えながら、人間が手作業で進めていたWAF回避の試行錯誤を、より低コストかつ高速に繰り返せるようになる。

 つまり、AI時代のWeb攻撃は、単に「攻撃コードをAIが書く」という話ではない。WAFの反応を見ながら、攻撃が通る形を高速に探索する手法が現実味を帯びている。

ALT
AI時代のWeb攻撃のメカニズム。攻撃者は生成AIなどを使って、WAFのブロック反応を見ながら攻撃パターンの生成と試行錯誤を高速に繰り返す(提供:ビットフォレスト)《クリックで拡大》

「標準ルールセット」があれば大丈夫なのか?

 このような攻撃の変化を前提に、WAFの標準ルールセットについて改めて見てみよう。標準ルールセットは、SQLインジェクションなど、よく知られた攻撃に対応するルールがあらかじめ用意されていて、ベンダー側が新しい脆弱性や攻撃手法に合わせて更新する。利用者から見れば、「自社で細かい攻撃パターンを把握しなくてもよい」ように見える。

 しかし、ここで見落としてはならない点は、どれほどルールセットが充実していても、どれほど頻繁に更新されていても、その検知の中心が「シグネチャ」である限り、WAFとしての防御性能には限界があることだ。

 WAFのシグネチャは「既知の悪いパターン」を登録して、それに一致する通信を止める仕組みだ。攻撃文字列や特定の構文に一致するかどうかを基に、通信を止めるか通すかを判断する。

 この方式は分かりやすいが、それ故の弱点がある。攻撃者が文字列やエンコード、パラメーターの位置を少し変えるだけで、シグネチャに一致しなくなる可能性が高まる。逆に、正常な通信の中に攻撃に似た文字列が含まれていれば、誤って止めてしまうこともある。

 シグネチャを使った検知に依存するWAFの運用は、いわば「単純な足し算と引き算」になりがちだ。ルールを増やせば攻撃は止めやすくなるが、誤検知も増える。誤検知を減らすためにルールを外せば、正常な通信は通りやすくなるが、攻撃も通りやすくなる。検知を強くすれば止まり過ぎる、緩めれば抜けやすくなる構図から抜け出しにくい。

WAFの「チューニング」の正体

 ベンダーや運用事業者からは、「WAFはサイトごとの特性に合わせてチューニングして使う」と説明されることも多い。確かに、サイトごとの正常な通信の傾向を考慮するのは重要だ。

 しかし、問題はそのチューニングの実態にある。

 シグネチャ依存型WAFのチューニングの多くは、誤検知を起こしたシグネチャをオフにする、特定のURLやパラメーターを検査対象から外す、検知レベルを下げるといった調整になりやすい。つまり、防御を強くするための足し算ではなく、正常な通信を止めないために防御を削る引き算になりがちだ。

 シグネチャ中心でも十分に守れるのであれば、最初から全てのシグネチャをオンにしておけばよいはずだ。しかし、現実にはそうはいかない。全てのルールを厳しく適用すれば、誤検知が多発する。ECサイトの購入処理や業務システムの検索がブロックされるかもしれない。

 その結果、正常な通信を止めないことを優先して調整が行われる。これを「チューニング」と呼ぶと高度な最適化に聞こえるが、実態は各シグネチャが攻撃として想定していた通信への防御を緩める工程に過ぎない。

ALT
シグネチャ依存型WAFにおけるチューニングの実態。正常な通信を止めないための「引き算」の調整が、結果として防御の穴を広げることにもつながる(提供:ビットフォレスト)《クリックで拡大》

WAF回避攻撃は「ルールの隙間」だけを狙うわけではない

 攻撃者は単に既存のシグネチャの隙間を探すだけではない。WAFの検査範囲や処理仕様の限界も突いてくる。

 例えば、リクエストボディの先頭部分しか検査しないWAFがあるとする。この場合、攻撃者はリクエストボディの前方に大量のダミーデータを置いて、本当に実行させたい攻撃ペイロードを後方に隠す。Webアプリケーション側は後方のパラメーターも処理する一方、WAFが検査範囲外を見ていなければ、攻撃コードは検査されないまま通過してしまう。

ALT
WAFの検査範囲の限界を突く回避手法の例。攻撃者はリクエストボディの前方にダミーデータを配置して、WAFが検査しない後方に攻撃ペイロードを隠して検知をすり抜ける(提供:ビットフォレスト)《クリックで拡大》

 特定のヘッダや一部のパラメーターを十分に検査しないWAFなら、攻撃者はそこに攻撃要素を移す。大きなリクエストや複雑な構造のリクエストで検査が粗くなるなら、その仕様を利用する。つまり攻撃者は「どのルールに引っ掛からないか」だけでなく、「WAFがどこまで見ているか」「どう解釈しているか」を探ってくる。

 このような攻撃は、シグネチャの更新だけでは対処しにくい。検査していない場所に攻撃コードを置かれれば、どれほど精密なシグネチャでも機能しない。AI時代には、こうした検査範囲や仕様の隙間を探るスピードも速くなるため、広い範囲を検査して通信全体の文脈を捉えられるWAFでなければ対応しにくい。

シグネチャ依存型WAFとは異なる「Scutum」のアプローチ

 国産クラウド型WAF「Scutum」(スキュータム)は、これらの課題にシグネチャ依存型WAFとは異なるアプローチを採ってきた。

 Scutumは生成AI登場以前から独自開発のAI型WAFエンジンを使って、Webセキュリティ専門家の総合的な判断に近い検知性能を目指してきた。2013年以降は、ベイジアンネットワークをはじめとするデータサイエンス技術を利用したAI型WAFエンジンを検知の中心に据えて、攻撃通信と正常な通信をより高い精度で見分ける仕組みを継続的に向上させた。

 ベイジアンネットワークは、複数の要素の関係を確率的に扱う技術だ。Scutumでは、個々の攻撃特徴を単純な文字列パターンとして扱うのではなく、複数の特徴を組み合わせて統計的・多面的に、いわば複雑な「掛け算」として判断する。また、Scutumはアノマリ検知を使って、サイトごとの正常な通信の傾向やWebブラウザごとの特徴を踏まえて、その通信が不自然かどうかを判断する。

 こうした技術に加えて、ScutumではWAF回避攻撃が狙う「見ていない場所」や「仕様上の隙間」をできるだけ作らないことも重視してきた。リクエストの一部だけを切り取って判断するのではなく、攻撃コードが隠れ得る範囲を広く検査して、通信全体の中でそのリクエストがどのような意味を持つのかを高速に捉える検知の仕組みを磨き上げた。

 Scutumもシグネチャを使う場合があるが、検知の中心をシグネチャのオン/オフに置く考え方ではない。複数の特徴を総合的に判断する分類性能を重視することで、これまでのWAFで発生しがちな誤検知調整の大半を不要にして、万が一調整が必要な場合も確率計算の調整で柔軟に対応できる。

これからのAI時代に求められるWAF要件とは

 WAFの本質は、単に攻撃を止めることではない。全ての通信を止めれば攻撃も止まるが、それではWebサービスは成り立たない。重要なのは、調整なしで攻撃を高い精度で見極められるかどうかだ。

 WAF選定では「どのルールセットを使えるか」「シグネチャが自動更新されるか」ではなく、そのWAFが本当に攻撃と正常な通信を見分けて、広い範囲を検査して、通信全体の文脈から判断できるかどうか、基本性能の違いを見る必要がある。

 AI時代のWeb攻撃への対策として、まずはいま一度、導入済みのWAFについて以下の視点で再点検をお勧めしたい。

  • シグネチャ主体の検知に依存していないか?
  • 誤検知時に、安易にシグネチャをオフにする運用になっていないか?
  • 検査範囲の制限やWAF回避手法の変化に対応できているか?

 セキュアスカイ・テクノロジーは、利用中のWAFの検証をサポートして、必要に応じてScutumを採用した「基本性能」の高い防御環境を提案している。不安を感じた場合は、気軽に相談していただきたい。

※この記事は、ビットフォレストより提供された記事を@IT編集部で一部編集したものです。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:株式会社セキュアスカイ・テクノロジー、株式会社ビットフォレスト
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2026年8月16日

ページトップに戻る