世界中に散らばったボットを利用し、特定のWebサイトに大量の通信を行ってサービス不能状態に陥れる、DDoS攻撃が猛威を振るっています。すでに多くの企業がダメージを受けたほか、昨今ではDDoS攻撃の実施をちらつかせてビットコインを要求するという悪質な行為も横行しています。このようなリスクの真相と対策の考え方について、アカマイ・テクノロジーズ合同会社 プロダクト・マーケティング・マネージャーの中西一博氏にお話を伺いました。
企業情報の発信や製品の紹介、あるいはECサイトを運営する際に使われるのがWebサーバーです。ユーザーが利用するWebブラウザは、HTTP/HTTPSと呼ばれるプロトコルでWebサーバーに接続し、各種コンテンツをダウンロードしたり、あるいはユーザーがキーボードから打ち込んだ内容を送信したりします。
Webセキュリティを考える際、多くの人がイメージするのはこうしたWebサイトを公開するためのWebサーバーの保護でしょう。しかし実際には、WebサーバーはWebサイト以外の用途でも幅広く使われています。具体的には、B2B分野における受発注システムやIoT領域でのセンサーデバイスからの情報収集、さらには多くのスマートフォンアプリもHTTP/HTTPSを使って通信を行っており、その際にWebサーバーが使われているのです。
このため、Webセキュリティを考える際には、単にWebサイトの保護だけを考えるのではなく、Webプラットフォーム全体に気を配らなければならないと指摘するのは、アカマイ・テクノロジーズ合同会社の中西一博氏です。
「Webサーバーは幅広い用途で使われていますが、攻撃者から見るとすべて同じWebサーバーに過ぎず、すべてが攻撃対象となります。そうして数あるWebサーバーの中から、セキュリティホールがあるサーバーを見つけて攻撃を行うわけです。そのため、ホームページを公開しているWebサーバーだけを守っていては、Webセキュリティとしては不十分です」
サイバー攻撃の手法もWebサーバーを狙ったものが少なくありません。IPA(独立行政法人 情報処理推進機構)が公開している「情報セキュリティ10大脅威 2017(組織編)」を見てみると、10位までの脅威のうち7つがWebセキュリティに関連する脅威となっています。中西氏によれば、実際に攻撃を行う際には、Webサーバーを狙う攻撃手法を複合的に利用するケースも珍しくないといいます。
IPA情報セキュリティ10大脅威 2017(組織編)
こうしたWebを狙った攻撃の中で、油断しがちなのがWebサイトの改ざんです。確かに情報漏えいに直接的につながるSQLインジェクションなどの攻撃も企業にとって大きな脅威ですが、最近ではWebサイトの改ざんが重大なインシデントに発展する事例も増えています。
以前のWebサイト改ざんはコンテンツを書き換えるというシンプルなものでしたが、昨今では改ざんしたWebサイトに一般ユーザーがアクセスすると、マルウェアの配布サイトに誘導して感染させることが目的となっています。こうしてサイバー攻撃の入口として自社サイトが使われ、Webサイトを訪問したユーザーや取引先のパソコンにマルウェアが送り込まれるわけです。このような状況にいち早く対応できなければ、顧客や取引先の信頼を失うことにもなりかねません。
Webサイトの改ざんは、サーバーへの不正アクセスなどによって行われます。それを防止するために有効なのが、WAF(Web Application Firewall)とマネージドセキュリティサービスの組み合わせです。Webサーバーに対する不正なリクエストをWAFで適切に遮断しつつ、不審なアクセスがあった場合にはマネージドセキュリティサービスで即座に検知して対処するといったことが可能になります。
大量のアクセスを仕掛けてサーバーへのアクセスを不可能にする、DDoS攻撃への対策も重要です。最近ではニュースとして取り上げられる機会は減っていますが、攻撃そのものは発生し続けているようです。
Web脆弱性攻撃、DDoSとは何か?
このDDoS攻撃を仕掛けている団体の1つとして、ハクティビスト集団である「Anonymous」が挙げられます。現時点ではイルカ・クジラ漁への抗議を目的とした「OpWhales」、「OpKillingBay」あるいは世界の銀行の腐敗に抗議する「OpIcarus」といった作戦を実施しており、多くの企業の名前が攻撃対象リストに挙げられています。
金融機関やeコマースサイトを標的に10分程度のDDoS攻撃を仕掛け、さらにDDoS攻撃を行われたくないのであればビットコインを支払えと要求する、ランサム型の攻撃も続発しています。
「こうした脅迫を受け取るケースに備えて、企業のBCPやコンプライアンスに沿って、適切な判断とアクションがとれるか。その上でDDoS攻撃対策として何を実施しておくのか。現状認識や対応について、ITやサイバーセキュリティ担当部門だけではなく、リスク対策室やサービスを運用している事業部門、広報部門、さらにそれぞれの部門の役員も含めて事前に検討し、コンセンサスを作っておく必要があるでしょう」(中西氏)
金銭要求(脅迫)を伴うDDoS
このDDoS攻撃では、Webサーバーに対して大量の通信を行い、それによってWebサーバーを応答不能に陥れ、一般ユーザーのアクセスを妨害します。昨今ではWebサーバーの手前に設置して利用するDDoS緩和装置と呼ばれるセキュリティ機器も登場していますが、大規模なDDoS攻撃ではWebサーバーとインターネットをつなぐ回線自体がパンクしてしまうため、十分に機能しないことも十分に考えられます。
本格的なDDoS攻撃を仕掛ける前に、調査目的で攻撃を行うケースもあるようです。
「DDoS攻撃は受けたことはあるが、サービス不能状態にまでは陥らなかったという企業は意外と多いのが実態です。ただし、そのような攻撃は調査目的で行われているものですので、安心すべきではありません。攻撃者は1Gbps未満の短時間の攻撃を行い、それによってどの程度レスポンスが低下するのかを見て、どの程度の帯域幅の回線を使っているのかをチェックしているのです。DDoS対策ではこのような攻撃者の行動を頭に入れておく必要があり、契約している帯域幅以上の攻撃が行われたときにどう対処するのかを事前に検討しておくべきです」
Webサーバー本体だけでなく、DNSを対象とした攻撃も発生しています。昨年10月にTwitterやSportify、NetflixといったWebサービスが停止する事件がありましたが、これはマネージドDNSサービスを提供しているアメリカのDyn社に対して大規模DDoS攻撃が行われたことが原因でした。このようなDNSに対するDDoS攻撃は「Water Torture(DNS水責め)」と呼ばれ、DNSサーバーの負荷を高めることで正常なリクエストに対する応答を不可能にします。
MiraiによるDNS水責め(Water Torture)攻撃のしくみ
前述したDDoS緩和装置の利用など、DDoS攻撃対策はいくつかの方法がありますが、その1つとして積極的に検討したいのがCDN(Contents Delivery Network)の活用です。
CDNは世界各地に配置したキャッシュサーバーにコンテンツをミラーリングし、エンドユーザーがアクセスする際はオリジナルのWebサーバーではなく、最寄りのキャッシュサーバーからコンテンツを取得します。これによりオリジナルのWebサーバーの負荷を低減しつつ、エンドユーザーに対して快適なWebアクセスを提供します。
このCDNを用いれば、仮にDDoS攻撃を受けたとしてもオリジナルのWebサーバーにアクセスが集中することはないため、サービス不能状態に陥ることを回避できます。特に昨今では、100GbpsのトラフィックでWebサーバーを襲う大規模なDDoS攻撃も発生しており、自社のインフラだけで対応することは困難です。DDoS攻撃によりビジネスに多大な影響が生じる恐れがあるならば、CDNの活用を検討するべきでしょう。
CDN導入前後のイメージ
アカマイ・テクノロジーズでは、このCDNに特化した大規模なネットワークを構築しており、世界中の企業に利用されています。また同社のサービスは、NTTコミュニケーションズをはじめさまざまなパートナーが提供しています。
Webセキュリティの観点では、情報漏えいやWebサイトの改ざんにも注意すべきでしょう。DDoS攻撃と同様、情報の窃取を目的としたWebサイトへのサイバー攻撃は頻繁に発生しており、数万件の個人情報が漏えいしたといった事例は珍しくありません。
一方、Webサイトの改ざんにおける昨今のトレンドは、マルウェアに感染する「見えない誘導」リンクを仕掛けるという内容です。この種の改ざんは書き換えられた箇所が見た目では判断できず、また誘導するのも特定企業のユーザーだけに限定するといったことが行われるため、改ざんされたことが発覚しづらいのが特徴です。
「ウェブの改ざんだけ」で済まない~ウェブがマルウェア感染の踏み台に
このようにサイバー攻撃の標的となっているWebサーバーをどのように保護するべきでしょうか。そのポイントとして挙げられたのが“弱点”を作らない対策です。
「サイバー攻撃を行う攻撃者は、ウィーケストリンク、つまり鎖の中でもっとも弱い部分を狙うため、弱点を作らない対策が必要です。一方でWebサーバーは企業内の各所で使われていて、それぞれ個別に管理されているケースが多いでしょう。事業をグローバルに展開している場合は、海外子会社が独自にWebサーバーを運営していて、十分に把握できていないといったことも少なくありません。それらをどうやって管理し、統一したフレームワークとポリシーで保護するのかを考えることが大切です。アカマイのクラウド型Webセキュリティは、オンプレミス、パブリッククラウド上に点在し運用中のWebサーバーを、統一したしくみとポリシーで、後から追加して保護できるのが大きな特徴で、この利点を活かした企業グループ全体への導入が増えています」
グローバル企業、グループ企業のWebに「弱点」を作らない対策
インターネットの世界においてWebは極めて重要なテクノロジーであり、現在、膨大な数のシステムやさまざまなサービスで使われています。それだけにサイバー攻撃を受けたときの影響も大きく、場合によっては事業に大きなダメージを被ることもあります。Webサーバーを狙う攻撃も高度化していることを考えると、Webセキュリティの改善策をあらためて検討すべきではないでしょうか。
※掲載されている内容は公開日時点のものです。
※掲載されているサービスの名称、内容及び条件は、改善などのために予告なく変更することがあります。
