本コラムは、GMOクラウド株式会社の特設サイトに掲載されている「GMOクラウドアカデミー ~あなたの興味が知識に変わる」より転載したものです。GMOクラウドアカデミーは、クラウド・ホスティングの「悩み」「問題」「課題」の解決を目的に、現場の声を集約した「生きた」コンテンツを提供します。

こんにちは。GMOクラウドの宇野です。 今回はウェブコンテンツの脆弱性を狙った攻撃への対策についてご紹介いたします。

Ⅰ.結構狙われています! あなたのウェブサイトの脆弱性
Ⅱ.ウェブアプリケーションファイアウォール(ModSecurity)の設定方法
Ⅲ.おわりに

Ⅰ.結構狙われています! あなたのウェブサイトの脆弱性

このシリーズではセキュリティ対策について取り扱ってきました。すでにご確認いただいている方にはお分かりいただけると思いますが、悪意ある攻撃の手法はさまざまで、その対策も個別に行う必要があります。今までは主にサーバー(システム)についてのセキュリティ対策について、ご紹介してきましたが、今回はより上のレイヤーであるウェブコンテンツの対策について触れていきます。

近年、PHPなどの何かしらのプログラムが動作する動的なコンテンツや、データベースを必要とするウェブコンテンツを設置される方が多くなってきました。小さいもので言えばメールフォームなどのCGI、よく使われるものであればWordPressやMovableType、EC-CUBEなどのCMSと呼ばれるシステム、中にはフレームワークを使って独自のシステムを構築される方々も少なくありません。

悪意ある第三者はサーバーセキュリティの脆弱性だけではなく、ウェブコンテンツの脆弱性も標的にしてサーバーを乗っ取ろうとしています。

ちょっと待ってください!また思いませんでしたか?「ウチはコーポレートサイトはほとんどHTMLで作ってる。プログラムなんて無いから関係ないよ。」なんて・・・。

本当に一つもプログラムはありませんか? 企業さまのホームページであれば、メールフォームは設置されていませんか? 悪意ある第三者にとってメールフォームも攻撃の対象です。例えばメールフォームに脆弱性があり、自由な内容で指定のメールアドレスに送信が可能だったとすると、意図して設置しているメールフォームがスパム配信プログラムに変貌してしまいます。またプログラム内に受け取った値を元にサーバー内で動作するコマンドを実行するような処理があれば・・・好き勝手にサーバーを操作されかねません。スパム配信サーバーになってしまうと、サーバー全体の動作が重くなったり、正常なメールであっても、配送先で処理を受けつけなくなる場合があります。

このような危険を防ぐためにもウェブコンテンツの脆弱性対策はしっかりと行っていきたいところです。入力値の無害化などプログラムの修正を行われることをお勧めします。一方で第三者による脆弱性への攻撃は日々進化、変貌しており、一筋縄ではいきません。プログラムの脆弱性対策が間に合わなかったり、プログラム開発元との契約などの兼ね合いから、すぐに対応を行えないこともあります。今回はこのような状況に有効なウェブアプリケーションファイアウォール(ModSecurity)をご紹介します。

ウェブアプリケーションファイアウォールはプログラムに渡される値を検査して、不正とみなされた場合はアクセスを拒否することができる機能です。PleskではModSecurityがインストールされています。早速活用してみましょう。

Ⅱ.ウェブアプリケーションファイアウォール(ModSecurity)の設定方法

[Pleskログイン] ⇒ [ツールと設定] ⇒ [ウェブアプリケーションファイアウォール(ModSecurity)]




初期設定では[オフ]になっておりますので、[検出のみ]に変更します。ルールセットや構成は利用用途や検出結果を元に、お客さまの状況に合わせてご変更ください。

設定後、意図して不要なパラメータを付与したURLでアクセスを行うと、ログにその判断結果が残ります。ログはModSecurityの設定ページから確認が可能です。内容を確認した上で、誤検知があったらIDを確認し、ルールを無効化しましょう。

ログやセキュリティルールのIDの確認方法については、同設定画面やPlesk添付のガイドに詳細が記載されていますのでご参照ください。本ページではスペースの都合から説明を割愛いたします。

ModSecurityの検知を有効化後、経過を確認して誤検知が減ったら、モードを[ON]にします。これで不審と判断されたアクセスは遮断されるようになります。

Ⅲ.おわりに

いかがでしょうか。設定は行えましたか?セキュリティ対策は定期的な見直しが重要ですが、このウェブアプリケーションファイアウォールは特に運用後の確認や対応が必要なため、管理者に対して負担がかかりがちです。

弊社ではウェブアプリケーションファイアウォールの運用を専門のスタッフが行うソリューションをご提供しております。WAFの運用にご不安を感じられている方、サーバーへの負荷が気になる方、詳細なレポートをご要望の方におかれましては攻撃遮断くんのご利用をご検討ください。

○攻撃遮断くん

http://solution.gmocloud.com/security/kogekisyadankun/

※本診断を行うことによりご利用サーバーのセキュリティを担保するものではありません。
※ご利用のプランやPleskのライセンス等により、表記や手順が異なる場合があります。
※ご紹介した設定を行ったことによる不都合について弊社では責任を負いかねます。
※サポート窓口ではPlesk上での操作手順についてご案内を行っております。ModSecurityそのものの機能やルールセット詳細のご説明、判定理由についてのご案内は行っておりません。

※ご利用中のクラウドサービスによっては、利用できない場合があります。

この記事を書いた人 GMOクラウド 宇野
GMOクラウド株式会社お客さまサービス部所属。
2007年に同社へ入社後、技術部に配属。社内インフラ業務に従事。
現在はお客さまサービス部に所属し、お客さまに代わってサーバ設定や調査を行う設定代行サービスを担当。お客さまの悩みを解決するため日々奮闘しています。
NO BEER NO LIFE。
GMOクラウド 宇野の記事一覧" target="_blank">GMOクラウド 宇野の記事一覧
本コラムは、GMOクラウド株式会社の特設サイトに掲載されている「GMOクラウドアカデミー ~あなたの興味が知識に変わる」より転載したものです。GMOクラウドアカデミーは、クラウド・ホスティングの「悩み」「問題」「課題」の解決を目的に、現場の声を集約した「生きた」コンテンツを提供します。