Webサイトの脆弱性を狙う攻撃が増加、バージョン管理の重要性が高まる
現在、サイバー攻撃の多くが脆弱性を悪用する手法を採用しています。その理由は、多くの攻撃を自動化できるためです。例えばサイバー攻撃者はターゲットをマルウェアに感染させるためにメールを使います。メールの添付ファイルを開かせようとしたり、メールの本文に記載したURLから悪意のあるWebサイトに誘導しようとしたりします。
メールの添付ファイルにはマイクロソフトのOfficeファイルや、アドビのPDFファイル、オラクルのJavaScriptなどが使用されますが、これらのファイルはそれぞれのソフトウェアの脆弱性を悪用し、ユーザーに気づかれることなく、悪意のある動作を行います。具体的には感染のきっかけとなるダウンローダを起動し、インターネットからマルウェア本体をはじめとする危険なファイルをダウンロードします。
またメールの本文から誘導されるWebサイトにも、悪意のあるファイルやコードが埋め込まれています。こうしたWebサイトに脆弱性のあるソフトウェアを持つユーザーがアクセスしてしまうと、悪意のある添付ファイルを開いたときと同様に、マルウェアに感染してしまう可能性があります。最近ではランサムウェアに感染させるケースが多くなっています。
このように脆弱性のあるソフトウェアを使い続けると、マルウェア感染などの危険性が高まります。しかも、そのほとんどがユーザーに気づかせることなく自動的に行われます。特に前述のマイクロソフトのOffice、アドビのAcrobatやFlash Player、オラクルのJavaなどはユーザーも多く、脆弱性が発見される頻度も多いため、しばしばサイバー攻撃のターゲットとなっています。
同様に、Webアプリケーションもターゲットにされるケースが増えています。Webアプリケーションの脆弱性には、インターネット経由で細工したリクエストを送ることで悪用できるものが少なくありません。その目的はWebサイトの改ざんや悪意のあるWebサイトへのリダイレクト、Webサイトの裏にあるSQLサーバへの不正アクセスによる個人情報などの奪取、さらにはWebシステムの乗っ取りなどです。
特にWebサイトの改ざんについては、ハクティビストが従来行っていたような政治的、宗教的なメッセージに書き換える改ざんではなく、見た目は変わっていないのに不正なファイルやコードを埋め込むといったケースが多くなっています。ユーザーにとっては、いつものようにアクセスするWebサイトが実は改ざんされていたというケースも少なくありません。一時期話題になった「水飲み場攻撃」も、こうした改ざんによる攻撃手法です。
メールを経由して脆弱性を狙う攻撃が増加
サイバー攻撃者が脆弱性を狙う理由
なぜサイバー攻撃者はソフトウェアの脆弱性を狙うようになったのでしょうか。それは、脆弱性対策の難しさにあります。ソフトウェアベンダーは常に脆弱性がないかをチェックしています。しかしソフトウェアには想定しない使い方やバグによって脆弱性が引き起こされるケースが多く、しばしば脆弱性が発見されます。ソフトウェアベンダーは脆弱性を把握すると対策を行い、バージョンアップやパッチの提供によって脆弱性に対応します。
脆弱性は一般的に、ソフトウェアベンダーによる対応とともに情報が公開されます。その時点で素早くバージョンアップやパッチを適用すれば問題ないのですが、企業などがそれを社員全員に周知し対応させることは、なかなか難しいのが実情です。個々のクライアントPCが脆弱性に対応したかどうかを把握することも困難です。結果、脆弱性が放置されてしまい、サイバー攻撃により悪用されて、ランサムウェアに感染してしまうなどの実被害につながってしまいます。
Webアプリケーションの脆弱性の場合は、より難しい問題になります。Webサイトでは多くのWebアプリケーションが動作しているため、ひとつのWebアプリケーションをバージョンアップすることで、別のWebアプリケーションの動作に悪影響を与えてしまうこともあります。このため、Webアプリケーションのバージョンアップにはあらかじめテストサイトで動作を確認する必要があります。
またWebアプリケーションによっては再起動が必要になる場合もあり、すぐに適用することができないケースも多くあります。さらにWebアプリケーションには、多くのプラグインやアドオンソフトが存在し、これらに脆弱性が発見されるケースも多くなっています。これらすべてのソフトウェアの脆弱性を把握することも困難になっています。
脆弱性問題へ効率的に対処するには
ソフトウェアを常に最新の状態に保つには、まず自社にどのようなソフトウェアがあるのかを把握するために“棚卸し”をする必要があります。そして、それぞれのソフトウェアの現在バージョンと最新バージョンを把握する必要があります。棚卸しについては、IT資産管理ソフトなどの省力化や自動化が可能なソリューションがあるので、導入を検討しましょう。
Webアプリケーションの脆弱性対策には脆弱性診断やWAFがあります。脆弱性診断とは、Webサイトに対して擬似的な攻撃を行うことで脆弱性をチェックし、対策方法とともにレポートを作成してくれるサービスです。対策を行う必要はありますが、脆弱性を一元的に把握できます。
一方、WAFはWebアプリケーション・ファイアウォールと呼ばれるもので、脆弱性を攻撃する通信をパターンとして登録しておくことで、攻撃を検出して破棄します。新たな脆弱性が公開されたときには、そのパターンを追加することで攻撃に対処できます。その間にWebアプリケーションの脆弱性対応を行うわけです。WAFにはハードウェアアプライアンスとソフトウェアアプライアンス、仮想アプライアンスがあり、クラウドサービスとしても提供されています。
WAFは攻撃パターンから攻撃を検出・破棄