安 心 安 全 なWebサイトの 作 り 方 ハッキングトレンドと 最 新 導 入 事 例 から 解 る WAF 導 入 のメリットをご 紹 介 バラクーダネットワークスジャパン SEディレクター 鈴 木 啓 之 Security 2014 Spring Tokyo
アジェンダ 会 社 紹 介 最 近 のハッキング 事 件 からみるウェブシステムへの 攻 撃 手 法 情 報 漏 えい なりすましログイン 事 件 (パスワードリスト 攻 撃 ) L7 DDoS 攻 撃 攻 撃 への 対 策 方 法 SQLインジェクション ブルートフォース パスワードリスト 攻 撃 L7 DDoS / IPレピュテーション WAF 最 新 事 例 紹 介 札 幌 学 院 大 学 様
会 社 紹 介
バラクーダネットワークス 会 社 紹 介 2002 年 Barracuda Networks, Inc 設 立 ( 本 社 : 米 国 カルフォルニア 州 キャンベル) 2004 年 国 内 で 迷 惑 メール 対 策 製 品 (Spam Firewall) 出 荷 開 始 2005 年 日 本 法 人 (バラクーダネットワークスジャパン 株 式 会 社 ) 設 立 2013 年 ニューヨーク 証 券 取 引 所 に 上 場 海 外 拠 点 10か 国 80か 国 以 上 で 正 規 代 理 店 と 提 携 全 世 界 で15 万 社 への 導 入 実 績 国 内 でも5 千 台 以 上 の 出 荷 実 績 バックアップ 専 用 アプライアンス 出 荷 台 数 世 界 No.1(IDC) Web Application Firewall 6 年 連 続 で 出 荷 台 数 国 内 No.1( 富 士 キメラ 総 研 )
Barracuda Way 難 しいITをシンプルに 全 製 品 30 日 間 無 償 試 用 スポンサー/マーケティング 活 動
なりすましログイン 事 件 不 正 ログイン 試 行 成 功 成 功 率 デパート オンラインショップ 5,202,002 8,289 0.16% 大 手 通 販 サイト 1,110,000 15,000 1.35% 老 舗 ゲームメーカー 15,457,485 23,926 0.15% 老 舗 ゲームソフトメーカー 3,945,927 35,252 0.89% 大 手 通 販 サイト 11,031 126 1.14% ブルートフォース 攻 撃 に 比 べて 非 常 に 効 率 的 に 不 正 ログインに 成 功
9 種 類 の 幅 広 い 製 品 展 開 15GB 無 料 バックアップ ストレージ Webセキュリティ サービス 集 中 管 理 コントロールセンター Emailセキュリティ サービス 次 世 代 Firewall WAN 回 線 負 荷 分 散 NextG Firewall Link Balancer URLフィルタ マルウェア 対 策 Web Filter リモートアクセス SSL VPN アンチスパム/ウイルス Spam & Virus Firewall 7 年 連 続 国 内 実 績 No.1 Web 脆 弱 性 対 策 Web Application Firewall 6 年 連 続 国 内 実 績 No.1 次 世 代 Firewall NextG Firewall サーバ 負 荷 分 散 Load Balancer メールアーカイブ Message Archiver メールサーハ バックアップ Backup Server ファイルサーハ Webサーハ 仮 想 アプライアンスあり DBサーハ
最 近 のハッキング 事 件 からみる ウェブシステムへの 攻 撃 手 法 SQLインジェクション 攻 撃
大 型 個 人 情 報 漏 えい 事 件 海 外 用 データ 通 信 機 器 レンタル 会 社 攻 撃 手 法 :SQLインジェクション 被 害 :10 万 9000 件 のカード 情 報 セキュリティコード 住 所
SQLインジェクション 攻 撃 SELECT * FROM users WHERE uid= sato@sato.com' AND pwd= Sato123 正 しいユーザIDと パスワードであればログインが 可 能 通 常 通 信 会 員 ページ 表 示 OK! Webアプリ データベース 攻 撃 ORの 後 は 常 に 真 の 為 前 の 条 件 が 全 て 打 ち 消 される SELECT * FROM users WHERE uid= example@example.com' AND pwd= OR 'A'='A
情 報 漏 えい 後 の 対 策 IPSの 導 入 ウェブアプリの 脆 弱 性 診 断 および 修 正 WAFの 導 入 検 討 (2013 年 8 月 ~10 月 を 予 定 ) など
F/W IPSとWAFは 補 完 的 関 係 F/W IPS WAFはそれぞれ 分 野 の 異 なるレイヤーの 攻 撃 を 防 御 する 補 完 的 関 係 それぞれ 単 体 では システムを 完 璧 に 実 現 することは 出 来 ない SQL OSコマンドインジェクション クロスサイトスクリプティング Cookie パラメータ 改 ざん L7 DoS/DDoS OS 脆 弱 性 対 策 DoS/DDoS WAF IPS Webアプリケーション Web サーバ オペレーティングシステム ポートスキャン IP/ポート 制 御 F/W ネットワーク
IPSとWAFにできること 主 な 攻 撃 WAF IPS SQLインジェクション * OSコマンドインジェクション * クロスサイトスクリプティング * ディレクトリトラバーサル * クロスサイトリクエストフォージェリー パラメータ 改 ざん クッキー 改 ざん セッションハイジャック * 攻 撃 リクエストの 難 読 化 通 信 が 暗 号 化 されている 場 合 には 検 知 不 可 IPSで 暗 号 化 された 通 信 を 複 合 化 する 場 合 スループットが 激 減 WAFは 独 自 のパラメータやクッキーを 使 用 することで IPSでは 防 げない 攻 撃 でも 検 知 可 能
最 近 のハッキング 事 件 からみる ウェブシステムへの 攻 撃 手 法 なりすましログイン (パスワードリスト 攻 撃 )
なりすましログインの 手 口 ID:cuda@example.com Pass:Cuda123 利 用 者 IDの 使 い 回 し ECサイト A アカウントリスト 攻 撃 により アカウントリストを 搾 取 攻 撃 者 ECサイト B ID:cuda@example.com Pass:Cuda123 ECサイトAの 情 報 を 元 に なりすまし ログイン 攻 撃
最 近 のハッキング 事 件 からみる ウェブシステムへの 攻 撃 手 法 L7のDDoS 攻 撃
ボットネットを 利 用 するのはメールもウェブも 同 じ ボットネット コントローラ ボットネット( 数 千 台 ~) スパムメール メールサーバ ウェブサイト SQLインジェクション 攻 撃 など
L7 DDoS Slow Client Attack 従 来 のSYN floodやsmurfなど レイヤーの 低 い 攻 撃 だけではなく 最 近 のDDoS 攻 撃 は L7へ 仕 掛 けてくるものが 多 数 存 在 Slow HTTP Headers:ゆっくりリクエストヘッダを 送 り 続 ける Slow HTTP POST :ゆっくりPostデータを 送 信 し 続 ける Slow Read DoS :レスポンスデータをゆっくりダウンロードする 結 果 サーバは 大 量 のコネクションを 保 持 し ダウンする ハッカーのメリット ツールが 存 在 しているため 非 常 に 簡 単 サーバのコネクションタイムアウトを 回 避 攻 撃 を 検 知 されにくい GET / HTTP/1.1 Host: 172.16.xx.xx User-Agent: Mozilla/4. (compatible; ) Content-Length: 42 X-a: b X-a: b X-a: b X-a: b : 30 秒 から2 分 毎 に 1ヘッダ 送 る Slow HTTP Headersの 例 ネットワーク 使 用 量 の 急 増 もなく プロトコルとしては 正 しい 通 信 のためFWやIPSでも 検 知 できず ISPでトラフィック 量 を 監 視 して いても 検 知 できない
攻 撃 への 対 策
ハッキングの 手 口 ウェブ 攻 撃 は ほかの 犯 罪 の 手 口 と 一 緒 ターゲットを 特 定 防 犯 設 備 分 析 調 査 弱 点 をつく
Webサイトクローキング 攻 撃 者 クローク(cloak)= 覆 い 隠 す 脆 弱 性 を 見 つける ためにサイトを 調 査 自 動 スキャンで 脆 弱 性 の あるサーバを 探 す X-Powered-By:PHP/5.4.0 Webアプリケーション 隠 ぺい Webサーバ Appサーバ OS バージョン 番 号 パッチレベル ディレクトリ 構 造 既 知 の 脆 弱 性 ワーム 通 信 遮 断 /カスタムレスポンス/リダイレクト 攻 撃 者 がまず 行 うこと: 弱 点 を 探 すために 事 前 調 査 Webサーバ データベースサーバ アプリケーションサーバは 何 を 使 用 しているか? どんなバージョン パッチを 使 用 しているか?それらに 既 知 の 脆 弱 性 はあるか? クローキングは ハッカーやワームにWebリソースを 隠 す エラーページ エラーコード HTTPヘッダー IPアドレスを 隠 す 攻 撃 者 に 攻 撃 される 隙 を 与 えない 頑 強 なWebサイトに
情 報 収 集 対 策 一 般 的 なWAFは 改 ざん 防 止 のトラッキングのため 独 自 の Cookieや Hidden パラメータを 挿 入 WAFを 使 っているか 使 っているなら どんなWAFを 使 用 してい るかチェックするツールが 存 在 バラクーダのWAFは Cookieやパラメータ 名 を 変 更 可 能! 判 別 される 心 配 はありません
攻 撃 への 対 策 SQLインジェクション
攻 撃 定 義 ファイルによる 防 御 難 読 化 された 攻 撃 も 正 規 化 を 行 ってシグネチャマッチングを 実 施 バラクーダセントラル 攻 撃 者 ダウンロード シグネチャ 作 成 セキュリティのエキスパート 脆 弱 性 の 研 究 第 三 者 機 関 の 情 報 収 集 解 析 ハニースポット ハッキング 大 会 の 開 催 Parameter=' OR 'A'='A バラクーダセントラルでは 常 に 最 新 の 攻 撃 の 監 視 / 解 析 を 実 施 以 下 の 攻 撃 をブロックすることが 可 能 クロスサイトスクリプティング SQLインジェクション リモートファイルインクルージョン ディレクトリートラバーサル OSコマンドインジェクション 攻 撃 定 義 ファイルは 常 にバラクーダセントラルから 最 新 のものをダウンロード 更 新 間 隔 :10 分 から30 分 おきに 更 新 ブラックリスト 型 で 簡 単 最 新 の 攻 撃 にもすぐに 対 応 可 能
攻 撃 への 対 策 なりすましログイン (パスワードリスト 攻 撃 )
ブルートフォース 攻 撃 &パスワードリスト 攻 撃 の 防 止 パスワード 辞 書 総 当 たりによるログイン 突 破 の 攻 撃 ( 同 一 IPがら 同 じようなりクエストを 大 量 に 送 りつける 攻 撃 に 有 効 ) 攻 撃 者 例 )60 秒 以 内 に 同 一 IPから 不 正 アクセスが10 回 あった 場 合 攻 撃 者 とみなし 防 御 GET/POST 数 を 監 視 あらかじめ 設 定 した 期 間 内 に 同 じIPからの リクエスト 数 をカウント 決 められた 閾 値 以 上 のアクセスの 際 にはブロックする ( 除 外 IPや 特 定 URLのみ 認 証 エラーのみなど 柔 軟 に 対 応 可 能 ) 簡 単 な 脆 弱 性 を 利 用 するスキャンツールを 使 ったハッカーの 大 部 分 をアクセス 拒 否 悪 意 のあるリクエストを 防 止 することで 正 規 のクライアントに 適 切 なサービスを 提 供
ブロックしたくない 場 合 CAPTCHA 認 証 で 緩 和 攻 撃 CAPTCHA(キャプチャ) 認 証 をWAFが 挿 入 利 用 者 一 般 のユーザはCAPTCHA 認 証 OKで 通 過 以 後 該 当 クライアントのトラフィックを 監 視 し アイドル 状 態 が 継 続 すると 再 開 時 CAPTCHA 認 証 要 求 CAPTCHAが 失 敗 すると 通 信 拒 否 パスワードリスト 攻 撃 の 緩 和 策 としても 有 効
攻 撃 への 対 策 L7のDDoS 攻 撃
Slow Client 攻 撃 防 御 機 能 通 信 量 を 常 に 監 視 して 単 位 時 間 当 たりの クライアント-WAF 間 の 平 均 通 信 量 を 計 算 想 定 した 通 信 量 よりも 著 しく 少 ない 場 合 リアルタイムで 攻 撃 と 判 断 して WAFが 通 信 を 切 断 監 視 を 除 外 するクライアントIPも 設 定 可 能 リクエストの 送 信 が 明 らかに 遅 い (Slow HTTP Headers) X-a: b X-a: b GET / HTTP/1.1 Host: 172.16.xx.xx User-Agent: Mozilla/4. (compatible; ) Content-Length: 42 X-a: b X-a: b X-a: b X-a: b : 30 秒 から2 分 毎 に 1ヘッダ 送 る Slow HTTP Headersの 例 レスポンスボディの 送 信 が 明 らかに 遅 い (Slow Read DoS)
IPレピュテーション: 国 ごとに 許 可 拒 否 国 地 域 IP 辞 書 を 搭 載 ( 自 動 更 新 ) 特 定 の 国 だけアクセス 許 可 or アクセス 拒 否 衛 星 携 帯 IPも 制 御 可 能 例 ) 日 本 以 外 はアクセスさせない 国 情 報 地 域 IP 情 報 以 外 にも 衛 星 携 帯 電 話 を 経 由 した 通 信 の 遮 断 も 可 能 IP 情 報 は 定 義 ファイルによる 自 動 更 新 のため 管 理 者 が 常 にチェックする 必 要 もあり ません 当 然 例 外 設 定 も 可 能 です サービス 提 供 範 囲 が 限 定 されている 場 合 危 険 にさらす 頻 度 が 少 なくなり 有 効 な 手 段
IPレピュテーション: 疑 わしいネットワークから 通 信 拒 否 Tor IP 発 信 元 隠 蔽 NEW 匿 名 プロキシ IP 発 信 元 偽 装 ボットネット Spam&Virus FirewallのDBを 利 用 Torネットワーク(IP 発 信 元 隠 蔽 技 術 )NEW!! 匿 名 プロキシ(Anonymous Proxy) ボットネットからのアクセス 拒 否 Spam&Virus Firewall Barracuda IP レピュテーションDBを 利 用 150,000 台 のBSVFからのボットネットの 情 報 を 活 用 これらのIP 情 報 も 定 義 ファイルとして 自 動 更 新 されます 疑 わしいしネットワークからのアクセスはお 断 り
ボットネットの 通 信 遮 断 で 攻 撃 は 1/500へ 激 減
フィンガープリント 解 析 ~ 人 間 かロボットか 見 分 ける~ ブラウザの 場 合 次 のページのリクエスト 時 JSの 結 果 を クッキーを 送 信 CudaCookie:12345678 WAFが JavaScript 挿 入 クローラーやロボットの 場 合 次 のリクエスト 時 JSの 結 果 を 判 断 できず 答 えのクッキーを 送 信 できない 失 敗 すると 疑 わしいと 判 断 し そのIPにCAPTCHA 認 証 要 求
導 入 事 例
札 幌 学 院 大 学 様 WAF 導 入 時 期 :2013 年 4 月 導 入 機 器 :460Vx 仮 想 アプライアンス 導 入 構 成 :ワンアームプロキシ 構 成 導 入 の 背 景 : セキュリティ 強 化 WordPressなどオープンソースソフトウェア 対 策 研 究 室 の 勝 手 Webサーバ 対 策 個 人 情 報 の 保 護 ( 学 生 データ 志 願 者 情 報 オープンキャンパス 参 加 者 ) ルー タ ファイア ウォール WAF460 Vxを 収 容 した 仮 想 シス テム Webサーバ 群 35
札 幌 学 院 大 学 様 導 入 の 効 果 1. 攻 撃 の 見 える 化 を 実 現 WAF 導 入 以 前 は 各 サーバにログインしログ 収 集 を 行 っていたが 埋 もれることも 多 く 管 理 しきれない 状 態 WAFを 通 過 した 通 信 の 全 アクセスログが GUIで 閲 覧 検 索 統 計 を 取 ることができるため ログの 一 元 化 が 可 能 さらに システム 全 体 の 帯 域 リクエスト 数 などが 把 握 できるため 見 える 化 による TCO 削 減 と セキュリティ 意 識 の 向 上 に 貢 献 2. 攻 撃 を 防 御 しているのを 確 認 実 際 にWordPressなどに 対 するSQLインジェクションや クロスサイトスクリプティングなどの 攻 撃 を 検 知 してい ることを 目 の 当 たりにし WAF 導 入 の 決 断 をして 良 かったと 実 感 36
Barracuda Web Application Firewall シリーズ 希 望 小 売 価 格 初 年 度 エネルギー 充 填 サービス 費 用 込 128 万 5 千 円 ~( 税 別 ) ライセンス 専 用 マネジメントサーバ 等 は 必 要 ありません Model 960 Open Model 360 128.5 万 円 Model 460 180 万 円 Model 860 Open Model 660 257 万 円 360 460 660 860 960 実 サーバ 数 5 10 25 150 300 スループット 25Mbps 50Mbps 200Mbps 1Gbps 4Gbps 秒 間 トランザクション(リクエスト 数 ) HTTP 3,000 6,000 10,000 25,000 55,000 HTTPS 2,000 4,000 6,000 12,000 20,000
Barracuda Web Application Firewall 仮 想 アプライアンスシリーズ O S ゲ ス ト Apache Apache IIS WAF Linux Linux Windows Barracuda OS ハイパーバイザ (VM ESXi / Xen など) サーバ 対 応 するハイパーバイザ VM ware ESX/ESXi CITRIX XenServer Microsoft Hyper-V Model 660 + 追 加 コアライセンス 最 大 計 8コア 600Mbps Model 660Vx Model 360Vx Model 460Vx 360Vx 460Vx 660Vx CPUコア 数 2 3 4 目 安 スループット 25Mbps 50Mbps 100Mbps Windows Azure Amazon AWSにも 対 応 可 能 秒 間 トランザクション(リクエスト 数 ) HTTP 3,000 6,000 9,000 HTTPS 2,000 4,000 6,000
なぜ Barracuda WAFなのか? 開 梱 後 30 分 シグネチャで XSS/SQLインジェクション 対 策 完 了 L7 DDoS 対 策 IPレピュテーションが 可 能 なぜ? 日 本 語 Web GUIで 管 理 サイト 運 営 に 必 要 な 機 能 を 全 て 搭 載 認 証 LB SSL 豊 富 なアプライアンスのモデル 仮 想 版 も 提 供 低 価 格 128.5 万 ( 初 年 度 保 守 込 ) NEW Windows Azure Amazon AWSにも 対 応
各 種 情 報 のご 案 内
Barracudaの 情 報 をGETしよう! バラクーダネットワークス 日 本 オフィシャルサイト http://www.barracuda.co.jp/ Facebook バラクーダネットワークス Barracuda Networks Japan YouTube Barracuda Japan チャンネル https://www.youtube.com/user/barracudajapan/featured Foursquare バラクーダネットワークスジャパン 株 式 会 社 41
実 際 に 試 してみたい 無 償 貸 出 機 実 際 の 環 境 でお 試 しいただけるよう 無 償 貸 出 機 をご 用 意 しております ご 利 用 頂 くには 貸 出 機 がインターネットへアクセスできるようにFWの 設 定 変 更 が 必 要 です プロキシはサポートしておりません 無 償 リモート 検 証 環 境 FWの 設 定 変 更 ができないお 客 様 には 簡 易 構 成 となりますが 弊 社 へリモートア クセス 頂 いてお 試 しいただけます ハンズオンセミナー オンラインセミナー セミナーを 定 期 開 催 しております スケジュール 等 は 弊 社 までお 問 い 合 わせください 弊 社 トレーニングルーム 弊 社 サーバルーム 42
管 理 GUIを 今 すぐ 体 験 http://demo.barracuda.co.jp 30 日 間 無 償 評 価 機 申 込 GUIデモ ID:guest Pass:なし
ありがとうございました 詳 細 な 製 品 のご 説 明 導 入 方 法 についてのご 相 談 評 価 機 のご 依 頼 など 電 話 :03-5436-6235 メール:jpinfo@barracuda.com バラクーダネットワークスジャパン 株 式 会 社