先頃発生した米陸軍公式サイトへの攻撃は、大きなニュースになりました。『Newsweek』では次のように報道されています。
ハッカーは午前1時頃、ツイッターで犯行声明を出した。ポップアップに「シリア電子軍によるハッキング」というメッセージを書き込み、米陸軍の公式Webサイトのユーザのスクリーンショットを投稿した。そこには、陸軍メンバーのメールアドレス全リストが含まれていた。
Webサイトは午前3時までにシャットダウンされたが、ハッカーはサイトのアーカイブを保存していた。さらにハッカーは、「栄光のシリアアラブ防衛軍」という画像の投稿を表明した。
陸軍のWebサイトが使用しているLimelight CDN管理パネルにハッカーが侵入したことは明らかです。
ここで重要なのは、ホスティングサービスやCDNまたはクラウドプロバイダが「セキュアな環境の提供」を主張していたとしても、Webアプリケーションのセキュリティは確保されていないことがほとんどだという点です。つまり、Webアプリケーションのセキュリティ保護は、皆さまが独自に対策を講じなければならないのです。したがって、プロバイダに対して、どのようなWebアプリケーションセキュリティを提供できるのかを具体的に問い合わせ、それを補完する方法を検討する必要があります。
今回の攻撃は大きなニュースになりましたが、Webサイトの改ざんは非常に高い頻度で発生しています。Zone-Hによると、過去5年間でおよそ550万、年平均でほぼ100万ものWebサイトが改ざんの被害にあっています。
Webサイトの改ざんは複数の脅威ベクタが使用されるので、おきまりのパターンで対応できるものではなく、包括的な対策が必要です。つまり、Webアプリケーション、サーバ、ユーザ、デバイス、リモートアクセスを保護する方法を考えなくてはなりません。
Webアプリケーションとサーバの脆弱性:攻撃者は、既知と未知(ゼロデイ)の攻撃を仕掛けてWebサーバを乗っ取ります。この攻撃には、不正なファイルアップロード、SQLインジェクション、コマンドインジェクション、リモートファイルインクルード、ShellshockやHeartbleedなどのパッチの未適用などがあります。ほとんどの場合、基盤となるOSへの不正アクセスや、リモートアクセス型トロイの木馬(RAT)が使用されます。以上の準備が整えば、Webサイトの改ざんは簡単です。
AdminとDevice:この2つのユーザ名は、フィッシング、スピアフィッシング、ソーシャルエンジニアリングとソーシャルメディアストーキングの標的となる頻度が高いユーザ名です。たとえば、マルウェアをシステムにインストールして認証情報を窃取し、キーストロークをログに記録します。また、オンプレミス、クラウド、プライベート、公的サービスで同じパスワードを使用しているユーザが多いので、ここにも大きなリスクが潜んでいます。Webサイトの管理パネルにアクセスする認証情報を手に入れてしまえば、改ざんは非常に簡単です。
ウォータリングホール(水飲み場)型攻撃(戦略的Web攻撃):これもadminを標的にしていますが、間接的な攻撃です。攻撃者はadminのプロファイリングを行い、どのサイトを閲覧しているかをチェックします。そして、閲覧先のWebサイトをハッキングし、ブラウザベースのマルウェアを仕込みます。この攻撃者は標的となるWebサイトに特別興味があるわけではなく、そのサイトにアクセスする閲覧ユーザ(admin)を狙う目的で悪用します。Verizonによる2015年度データ漏えい/侵害調査報告書(DBIR)によると、攻撃者の動機が特定されているもののうち、およそ70%がこのタイプです。
認証が不十分:2要素認証を採用していない認証、弱いパスワード、セキュリティが確保されていないリモートアクセスは、Webアプリケーションを狙った攻撃ベクタとして頻繁に悪用されます。
ところがほとんどの企業は、セキュリティのサイロ化、スキルの欠落、セキュリティ予算の緊縮化、購買/管理センターの分断といった課題に直面しています。
バラクーダネットワークスは、総合脅威保護(Total Threat Protection)イニシアティブの一貫として、Barracuda Web Application Firewall、Barracuda Firewall、Barracuda NextG Firewall、Barracuda Web Filterをはじめとするセキュリティ製品を展開しています。このイニシアティブは、複数の脅威ベクタに対抗する高機能なセキュリティ保護機能を手頃な価格で提供することを目的とします。具体的には、メール、Webアプリケーション、リモートアクセス、ネットワークユーザによるWebブラウジング、モバイルからのインターネットアクセス、ネットワーク境界など、プライベートクラウドやパブリッククラウド環境内に存在するさまざまな脅威ベクタを保護します。このイニシアティブは、高い実績を誇るセキュリティソリューション、ソリューション共通の管理インターフェイス、一元的なサポート窓口、そして手頃な価格などすべて兼ね備えています。バラクーダの総合脅威保護について詳しくは、http://cuda.co/ttpをご覧ください。
こちらの動画では総合脅威保護を詳しく解説しています。是非ご覧ください。
※本内容はBarracuda Product Blog 2015年6月18日Army’s Public Website Defaced. What Can You Do to Protect Your Own?を翻訳したものです。
Neeraj Khandelwal
本稿は、バラクーダネットワークスのWebサイトに掲載されている『バラクーダラボ』7月8日付の記事の転載です。