ペンタセキュリティシステムズは10月1日、「ICS-Report 2015年上半期」を公開した。ICS-Reportは、同社が年2回(上半期/下半期)発行するWebアプリケーションへの攻撃を調査したトレンドリポート。同社製Webアプリケーション・ファイアウォール(WAF)である「WAPPLES」で収集された検知ログの統計データを基に、ICS(Intelligent Customer Support)のシステムで解析し、攻撃動向などを分析している。今回、1143のWAPPLESの顧客からのデータを対象に、2015年1月1日~6月30日まで収集した。

「WAPPLESルールによる検知Top10」は、WAPPLESの検知ルール別に発生しているアラートの頻度を出力。上半期は、「エクステンション・フィルタリング(Extension Filtering)」が42.5%でトップ、これに「インバリッドHTTP (Invalid HTTP)」が11.4%、「リクエスト ヘッダ フィルタリング(Request Header Filtering)」が8.5%と続いた。

WAPPLESルールによる検知Top10

エクステンション・フィルタリングは、通常Webサイトで使用されるファイル形式ではなく、脆弱性が存在するシステムファイルへのアクセスを検知する。これらのシステムファイルへのアクセスが一般ユーザーにアクセスが許可された場合、Webサーバの動作とWebサービスに深刻な影響を与えるため、非常に危険となる。

インバリッドHTTPとリクエスト・ヘッダ・フィルタリングは、Webサイトの脆弱性を突いた攻撃を検知する。通常使用されるWebクライアントではなく、「The SlapperWorm」などの自動ツールを使った攻撃が頻繁に行われ、WAPPLESはこのような攻撃の属性をもって検知を行う。

「OWASP 2013基準Web攻撃類型Top10」は、WAPPLES検知ルールにより発生したアラート情報を「OWASP Top 10」と照らし合わせ、攻撃を類型化している。上半期は、「機密データの露出(SensitiveData Exposure)」の検知が29.9%と最も多く、「機能レベルのアク セス制御の欠落(Missing Function Level Access Control)」が29.0%と僅差であった。

OWASP 2013基準Web攻撃類型Top10

機密データの露出は、「OWASP Top 10 リスク」のA6に該当するセキュリティ脅威。キャッシュカード番号、パスワード、病院診察記録などの機密情報が、暗号化されていないデータとして送受信・保存された場合、この攻撃のターゲットとなる。

多くのWebアプリケーションは、暗号化を反映せずにデータの送受信および保存を行っている。暗号化システムや権限別アクセス制御が反映されていない場合、簡単なトラフィックのキャプチャでも電話番号や住所といった個人情報が盗まれ、悪用されるおそれがある。

「Web攻撃発信国Top5」は、WAPPLES検知ルールにより発生したアラートを発信元アドレスに基づいて国別に分類し、頻度の高い攻撃発信国を出力している。上半期は、2014年の下半期と同様に「韓国」が83.4%と最も頻度の高い攻撃発信国となった。続いて「アメリカ」が6.1%、「中国」が5.3%となった。

Web攻撃発信国Top5

韓国からの攻撃は依然として多いが、2014年下半期と比べると約3億件減少した。攻撃件数が増えたのは「タイ」で3000万件ほど発生し、トップ5に入った。2014年下半期が4位だった「日本」は、順位が5位に下がったにもかかわらず、攻撃検知件数が3倍の約2700万件に増えた。上半期には、日本とタイからの攻撃件数が急激に増えたことがわかる。

「Web攻撃の目的」は、WAPPLES検知ルールにより発生したアラートをその実行の目的ごとに分類し頻度を出力している。上半期は「脆弱性スキャン」を目的とした攻撃が約4億件(48.3%)で、最も多く検知された。この次に「サーバ運用妨害」が13.8%、「金銭的損害」が12.7%と続いた。

Web攻撃の目的

脆弱性スキャンは、Webサイトの脆弱性を洗い出す攻撃のための事前調査。自動化された攻撃ツールを用い、HTTP定義ではない不正なリクエストおよびレスポンスを返す、RFC定義ではない不正なURIをリクエストする、Webサイトのディレクトリ構造を漏洩する、意図的にエラーメッセージを表示させるなどを行う。

サーバ運用妨害は、Webサーバの正常運用を妨害すること。不正な実行コードにより内部のバッファを超えるようにする、リクエストにて必要以上のメソッドおよびヘッダを送り付けるなどがある。

金銭的損害は、認証を迂回するためにCookieを改竄して攻撃を行い、他のユーザー情報を取得し、そのユーザーになりすます、不正なパラメータを挿入しアプリケーション動作を妨害するなど、ユーザーに対し金銭的損害を及ぼすおそれがある。

「WAPPLESルール別危険度」は、WAPPLESルールを対応への早急性に照らし合わせ「緊急」「高」「中」「脆弱性の下調べ」といった危険度にて分類し、攻撃の発生頻度を出力している。上半期は「中」レベルが最も頻度が高く68.8%、攻撃件数は約10億5千万件で、前年度下半期に比べ、約6億件増加している。「高」が12.3%、「緊急」が10.7%であった。

WAPPLESルール別危険度

「Web攻撃の月次推移」は、対応への早急度の高い4つの攻撃に対する月次の推移を出力している。上半期では、前年度下半期の分析結果で2位だった「バッファ オーバーフロー(Buffer Overflow)による攻撃が最も多く、「プライバシーアウトプットフィルタリング(Privacy Output Filtering)の順に続いた。

Web攻撃の月次推移

これらの攻撃は攻撃難易度が高くない反面、攻撃が成功した場合、プログラム誤作動やWebサービス提供不能状態、機密情報の漏洩など致命的な損失につながるおそれがあるため、適切なセキュリティ対策を設けて対応する必要がある。