Advanced Application Threats Require an Advanced WAF

Transcription

1 ホワイト ペーパー アプリケーション セキュリティを第一に考える 最新のアプリケーション脅威 ADVANCED WAF の必要性

2 ホワイトペーパー 最新のアプリケーション脅威 Advanced WAF の必要性 2 脅威をめぐる状況はこの 5 年ほどで劇的に変化しました 従来の Web アプリケーションファイアウォール (WAF) は かつてはアプリケーション層攻撃の緩和に大きな効果を発揮していました しかし今では 攻撃の高度なテクニックや俊敏さに十分に対応できず シグネチャが脅威の進化に取り残されているケースが多々見受けられます たとえ従来の WAF で脅威を緩和できたとしても WAF を適切に導入 管理するのは容易ではありません 目まぐるしく進化する脅威を緩和するための対策を効果的に自動化する 新たな手法が求められるようになってきています なぜ従来の WAF では不十分なのか 従来の WAF は クロスサイトスクリプティング (XSS) や SQL インジェクションといった既知の攻撃の対象となるコードを実行する Web アプリケーションサーバの問題を解消するために開発されました WAF は これらの一般的な脆弱性に対応するソリューションとして長年にわたって導入されてきましたが 誤検知や運用の複雑さといういくつかの問題を抱えています オープンソースの WAF である ModSecurity は しばしば 悪質な要求を検知するためのフィルタベースの受動的な防御策をすり抜けようとする迂回攻撃や回避攻撃のターゲットとなっています 次世代ファイアウォール (NGFW) は アプリケーション認識 機能を備え 一部のインジェクション攻撃 (XSS SQL インジェクション その他 ) もあわせて阻止できると謳っています しかし NGFW もやはり受動的なフィルタ検出を採用しており すべての HTTP 要求を検査することはありません IPS と同じように 要求をサンプリングし 最初の数バイトを検査するだけで 要求のペイロードをすべて調べるわけではないのです そのため NGFW 技術の弱点をついたアプリケーション層を迂回する攻撃が多発する結果となっています 加えて NGFW をはじめとするファイアウォール技術に実装された IP アドレスレピュテーションフィードは ボットネットなどの自動攻撃に対し効果がないことが実証されています WAF 技術は年と共に改善されてきてはいるものの いまだに受動的なフィルタベースの方法により Web 要求の悪質なペイロードを検出し プロトコルのコンプライアンスをチェックしているというケースがほとんどです 加えて WAF ポリシーの管理の煩雑さによって 多くの組織で一部のアプリケーションが保護されないままになっています 注目を集めたセキュリティ侵害の多くで 既知のアプリケーションの脆弱性が悪用されていますが これは攻撃対象となった組織がアプリケーションサーバへのパッチの適用や WAF ポリシーの展開をすばやく行えなかったことが原因です これらの課題に加え 自動化技術の進歩と簡単に利用できるボットネットサービスによって 脅威の検出がさらに困難になっています ヘッドレスブラウザなどの自動化技術によって 人間とボットの識別が困難になっており たとえ CAPTCHA テストを使用したとしても 正確な見極めは決して容易ではありません ボットネットは 無数にある感染しやすい IoT デバイスや ケーブルモデム ブラウザを悪用しており ボットネット攻撃の検出と緩和に送信元の IP アドレスを役立てることはほぼ不可能です

3 ホワイトペーパー 最新のアプリケーション脅威 Advanced WAF の必要性 3 攻撃者 悪質なボット DMZ 専用アプライアンスサーバエージェント 顧客 従来の WAF/NGFW 信頼できるボット図 1: 従来の WAF と NGFW を迂回する自動攻撃 自動化による攻撃の拡大 種類に関係なく ほとんどの攻撃が自動化されています DDoS 攻撃 データ侵害 脆弱性スキャン クレデンシャルスタッフィング ブルートフォース攻撃 リソースホーディング ( リソースの囲い込み ) などの攻撃は ほぼすべてが自動で実行されるようになっています 攻撃者は 攻撃対象の組織よりも少ない資金 人材しか持ち合わせていない場合が多いものの 自動化を利用することで 大規模な攻撃を仕掛け 脆弱性を探ろうとしてきます これらの自動攻撃の多くは 悪質なペイロードを含まず 正規のユーザトラフィックに見せかけることで防御を迂回する設計になっています アプリケーション層 ( レイヤ 7)DDoS 攻撃は 正規の要求によりリソースを大量に消費する URL を標的とし アプリケーションインフラストラクチャに過剰な負荷をかけることができるため 今では一般的な攻撃ベクトルとなっています 同様に ログイン認証を迂回するためのクレデンシャルスタッフィング ( 盗み出したユーザ名やパスワードを自動で使用 ) やブルートフォース攻撃も 攻撃者によって正規の要求として作成されます これらのログイン攻撃の多くは DoS 攻撃として検知されるのを回避するために 少量のトラフィックで時間をかけてリソースを消費させるものとなっています 一般的なサイトのトラフィックのうち 悪質な自動トラフィックやボットが占める割合は 30 ~ 40% ほどですが その 90% 以上が同じサイト内のターゲットアセットに向けたものとなっています ターゲットとなるのは ログインページ ( ブルートフォース攻撃やクレデンシャルスタッフィングの場合 ) やリソースを大量に消費する URL( レイヤ 7DoS 攻撃の場合 ) です リソースホーディング攻撃では チケットやスニーカーといった魅力的な商品の購入ページが標的となります スクレイピング攻撃の場合も同様に 後で取り出して使用するためのデータが狙われます これらの標的型攻撃は単に検出が難しいだけでなく 大量のインフラストラクチャリソースを消費します 攻撃の自動化に使用されるツールには ヘッドレスブラウザ (Phantom.js や Selenium など ) 脆弱性スキャナ ( ペネトレーションテスターによって使用されるのと同じもの ) コマンドラインスクリプト ブラウザ拡張などのほか マルウェアに感染したマシンなども含まれます ブラウザは最弱のリンクか? ブラウザは アプリケーションセキュリティの最弱のリンクである場合が少なくありません 攻撃者は 電子メールメッセージやソーシャルメディアの投稿に一般的なフィッシング攻撃を埋め込むことで ユーザを感染させようとします 悪質なリンクをクリックすると 標的にされたマシンにマルウェアがインストールされます このマルウェアを使って ボットネット軍の感染マシン部隊に協力をあおぎ 前述の攻撃のいずれかを実行するというわけです

4 ホワイトペーパー 最新のアプリケーション脅威 Advanced WAF の必要性 4 データ収集のためのより一般的な手段として マルウェアは リモートアクセス型トロイの木馬 ( R A T ) やキーロガーといった形態をとります これらの手段により 攻撃者はユーザ名やパスワード 連絡先リストなど 闇サイトで値がつくであろう機密データを収集します ブラウザやモバイルアプリがクライアントの場合 クレデンシャルの盗難を防止することは極めて困難です これらのクライアントでは エンドポイントデバイスのセキュリティ態勢を整えるための選択肢が限られてきます ユーザがデバイスの感染に気づかず インターネットサービスによって機密データが保護されていると信じ込んでいるケースも少なくありません HTTP 暗号化では 転送中のデータが保護されるものの エンドポイントに到達した時点でそれらのデータは保護の対象ではなくなります アプリケーションセキュリティ制御の強化 WAF を能動的なセキュリティ制御へと進化させ クライアントエンドポイントのチェックとアプリケーションのセキュリティ態勢の動的な強化に対応できるようにする必要があります F5 Advanced WAF は 進化を続けるアプリケーション層攻撃を検出 阻止するための対応策を採用しています Advanced WAF では 任意のクライアントセッションに関連する脅威を徹底的に評価するための 2 大メカニズムとして 動作分析と動的なコードインジェクションを統合しています 攻撃者 悪質なボット DMZ 顧客 F5 Advanced WAF 信頼できるボット 図 2: サーバエージェントや専用のアプライアンスを用いることなくボットを検出する Advanced WAF 正常なアプリケーショントラフィック動作の基準値をプロファイリングすることで 異常なトラフィックパターンを見つけやすくなります 自動化によって攻撃者の能力が増しているのと同じように これらの技術は人間にはできない方法によって正常なトラフィックと異常なトラフィックを識別します F5 Advanced WAF は 最新のアナリティクスと機械学習を用いて動的なシグネチャを生成し 管理者の介在なしに悪質なトラフィックをブロックします Advanced WAF は JavaScript インジェクションを利用して クライアントが人のユーザを持つブラウザかどうかを見極めることで クライアントのフィンガープリントを確定し ボットなどの自動ツールを容易に検出できるようにします クライアントフィンガープリントによって IP アドレスの背後にいる攻撃者を追跡することも可能です Advanced WAF のプロアクティブなボット対策はクライアントセッションを 1 つずつ確認し クライアントの特性を見極めると同時に 信頼できるボットと悪質なボットを識別します セッションの確認はユーザに対して透過的に行われることから CAPTCHA テストに関連するユーザエクスペリエンス (UX) に影響が及ぶことはありません コードインジェクションによりキー入力を動的に暗号化することで たとえデバイスがマルウェアに感染している場合であってもユーザを保護することが可能です F5 の DataSafe 1 技術は ユーザ名とパスワードのフィールドでこの暗号化を実行することで クレデンシャルの盗難を防止します F5 Labs の調査 2 によると データ侵害の 86% で ID もしくはアプリケーションがターゲットとなっており このような防御が極めて重要になってきます

5 ホワイトペーパー 最新のアプリケーション脅威 Advanced WAF の必要性 5 API は自動攻撃に対する防御が困難なことで知られており モバイル API がターゲットになるケースが増えています ブラウザではなく モバイルアプリの機能によってのみ より強固なセキュリティ制御を実行することが必要になってきます 新しい F5 Anti-Bot Mobile SDK 3 では マウスを数回クリックするだけで 既存のモバイルアプリに最新のセキュリティ機能を速やかに統合することが可能です 自動攻撃にフォーカスすることで 以下のようなメリットがもたらされます 自動攻撃にフォーカスし より能動的なセキュリティ対策を採用することで 従来の WAF アプローチによって次のような重大なメリットを実現できます 運用効率の向上 すべての Web アプリケーションで ブラウザとモバイルアプリがクライアントとして共有されることから ほぼすべての Web アプリケーションを対象とした総合 WAF ポリシーを容易に導入できます WAF ポリシーやアクティブなパッチ機能を持たない Web アプリケーションは過去のものとなります リスクの軽減 自動スキャニングが行えないことで 攻撃者がアプリケーションインフラストラクチャの最新の脆弱性を見つけるのに手間取ることになります その結果 パッチを適用していないサーバがゼロデイ攻撃を受けるリスクが大幅に軽減されます リソース利用の改善 トラフィック量が最大で 40% 減少することで アプリケーションサーバの運用コストが削減され 特にパブリッククラウド環境では顕著な効果が期待できます 負荷の軽減によってアプリケーションサーバのパフォーマンスの向上が可能になり ユーザエクスペリエンスの向上につながります さらには ベースライン負荷が軽減されることで Web アプリケーションがアプリケーション層攻撃の影響を受けにくくなります ここで説明した手法は Web アプリケーションセキュリティの見直しに向けた青写真となるものであり F5 が脅威環境の変化をどう捉えているかを示しています Advanced WAF などのツールを利用して 積極的なセキュリティアプローチをとることで セキュリティプロフェッショナルはより効果的な管理を行い 多くのアプリケーションを保護できるようになります F5 は Web アプリやモバイルアプリのための包括的なボット対策 ブラウザでのクレデンシャル保護 機械学習を利用した自動動作分析を取り入れることで Advanced WAF 分野を先導しています 合同会社 東京本社 東京都港区赤坂 赤坂ガーデンシティ 19 階 TEL FAX お問合わせ先 : 西日本支社 大阪府大阪市北区芝田 阪急ターミナルビル 16 階 TEL FAX F5 Networks, Inc. All rights reserved. F5, F5 Networks, F5 のロゴ および本文中に記載されている製品名は 米国および他の国における F5 Networks, Inc. の商標または登録商標です 本文中に記載されている製品名 および社名はそれぞれ各社の商標 または登録商標です これらの仕様はすべて予告なく変更される場合があります 本文中の記載内容に誤りがあった場合 あるいは記載内容を更新する義務が生じた場合も F5 ネットワークスは一切責任を負いません F5 ネットワークスは 本文中の記載事項を予告なく変更 修正 転載 または改訂する権利を有します DC0418 WP-SEC