世界中に散らばったボットを利用し、特定のWebサイトに大量の通信を行ってサービス不能状態に陥れる、DDoS攻撃が猛威を振るっています。すでに多くの企業がダメージを受けたほか、昨今ではDDoS攻撃の実施をちらつかせてビットコインを要求するという悪質な行為も横行しています。このようなリスクの真相と対策の考え方について、アカマイ・テクノロジーズ合同会社 プロダクト・マーケティング・マネージャーの中西一博氏にお話を伺いました。
守るべきはWebサイトだけではない!?
企業情報の発信や製品の紹介、あるいはECサイトを運営する際に使われるのがWebサーバーです。ユーザーが利用するWebブラウザは、HTTP/HTTPSと呼ばれるプロトコルでWebサーバーに接続し、各種コンテンツをダウンロードしたり、あるいはユーザーがキーボードから打ち込んだ内容を送信したりします。
Webセキュリティを考える際、多くの人がイメージするのはこうしたWebサイトを公開するためのWebサーバーの保護でしょう。しかし実際には、WebサーバーはWebサイト以外の用途でも幅広く使われています。具体的には、B2B分野における受発注システムやIoT領域でのセンサーデバイスからの情報収集、さらには多くのスマートフォンアプリもHTTP/HTTPSを使って通信を行っており、その際にWebサーバーが使われているのです。
このため、Webセキュリティを考える際には、単にWebサイトの保護だけを考えるのではなく、Webプラットフォーム全体に気を配らなければならないと指摘するのは、アカマイ・テクノロジーズ合同会社の中西一博氏です。
「Webサーバーは幅広い用途で使われていますが、攻撃者から見るとすべて同じWebサーバーに過ぎず、すべてが攻撃対象となります。そうして数あるWebサーバーの中から、セキュリティホールがあるサーバーを見つけて攻撃を行うわけです。そのため、ホームページを公開しているWebサーバーだけを守っていては、Webセキュリティとしては不十分です」
10大脅威のうち7つがWebセキュリティ関連
サイバー攻撃の手法もWebサーバーを狙ったものが少なくありません。IPA(独立行政法人 情報処理推進機構)が公開している「情報セキュリティ10大脅威 2017(組織編)」を見てみると、10位までの脅威のうち7つがWebセキュリティに関連する脅威となっています。中西氏によれば、実際に攻撃を行う際には、Webサーバーを狙う攻撃手法を複合的に利用するケースも珍しくないといいます。
IPA情報セキュリティ10大脅威 2017(組織編)

こうしたWebを狙った攻撃の中で、油断しがちなのがWebサイトの改ざんです。確かに情報漏えいに直接的につながるSQLインジェクションなどの攻撃も企業にとって大きな脅威ですが、最近ではWebサイトの改ざんが重大なインシデントに発展する事例も増えています。
以前のWebサイト改ざんはコンテンツを書き換えるというシンプルなものでしたが、昨今では改ざんしたWebサイトに一般ユーザーがアクセスすると、マルウェアの配布サイトに誘導して感染させることが目的となっています。こうしてサイバー攻撃の入口として自社サイトが使われ、Webサイトを訪問したユーザーや取引先のパソコンにマルウェアが送り込まれるわけです。このような状況にいち早く対応できなければ、顧客や取引先の信頼を失うことにもなりかねません。
Webサイトの改ざんは、サーバーへの不正アクセスなどによって行われます。それを防止するために有効なのが、WAF(Web Application Firewall)とマネージドセキュリティサービスの組み合わせです。Webサーバーに対する不正なリクエストをWAFで適切に遮断しつつ、不審なアクセスがあった場合にはマネージドセキュリティサービスで即座に検知して対処するといったことが可能になります。