WAPPLES(ワップル)

WAFとは、Web Application Firewall（ウェブアプリケーションファイアウォール）の略で、その名の通り、Webアプリケーションの脆弱性を悪用した攻撃などからWebアプリケーションを保護する製品の事です。

現在、不正プログラムは、2.5秒に1つという驚異的なスピードで発生しております。

最近話題になっている、サイトの改ざんや不正アクセス、情報漏洩など悪質かつ巧妙な手口の攻撃はファイアウォールやIDS/IPS（※1）などでは、防ぐ事が出来ません。

そういった悪質かつ巧妙な手口の攻撃を防ぐ為に、Webサイトの脆弱性診断、ソースコード改修、セキュアコーディング開発など企業でも様々な対策を取っていると思いますが、最近の進化にあった対策を行い、更に継続させていく為には莫大な時間と費用を費やす結果となっているのが現状です。

そこで、今注目を集めているのがWAF製品です。

WAF製品を利用する事で以下の効果を期待できます。

・脆弱性を悪用した攻撃を検出する

・脆弱性を悪用した攻撃Webアプリケーションを防御する

・複数のWebアプリケーションへの攻撃をまとめて防御する

WAFは脆弱性を修正するといったウェブアプリケーションの実相面での根本的な対策ではありませんが、根本的な脆弱性対策を実施する事が困難な状況では大変有効な製品と考えられております。

ウェブサイトを運営するうえでウェブアプリケーションの脆弱性を悪用した攻撃を防ぐためには、「脆弱性を作りこまないこと」、「脆弱性が見つかったら修正すること」が重要です。

しかし、ウェブサイト運営者の事情により、これらの根本的な脆弱性対策を実施することが困難な状況があります。

【事前対策】
ウェブアプリケーションの脆弱性を悪用する攻撃にセキュリティ事件の発生を低減する施策

直接管理出来ないウェブアプリケーションに攻撃対策を実施したい状況

• 開発者や運営者が異なるウェブアプリケーションにおいて、脆弱性を悪用する攻撃に対して同じ対策を実施したい場合。（大手企業のウェブサイト運営者、レンタルサーバ等を提供する企業のウェブサイト運営者など）

脆弱性の修正が困難な状況

1.開発者にウェブアプリケーションの改修を依頼出来ない状況

• 他社に開発を依頼していた場合、依頼先企業が開発事業から撤退していたり、依頼を受け付けない場合
  その場合、他の企業へ改修を依頼出来ますが、改修費用が高くなり予算内で改修出来ない可能性があります。

2.改修出来ないウェブアプリケーションに脆弱性が発見された状況

• 商用製品やオープンソフトウェアを使用してWebサイトを構築した場合
  該当ソフトウェアの改修に直接関与出来ず脆弱性を修正できない事があります。

【事後対策】
事故が起きた場合、被害を最小限に抑え、早期復旧を実現する施策

ウェブアプリケーションへの攻撃をすぐに防御する必要がある状況
ウェブアプリケーションに脆弱性がありウェブアプリケーションの脆弱性を悪用する攻撃を受け被害を受けた場合、それ以上の被害が生じないように対策を講じる事が重要です。
その為、被害原因の調査や原因を解消する為に必要に応じてウェブサイトを停止する事があります。

しかし、インターネット中心に事業を展開している企業にとってウェブサイトを長期間停止する事は機会損失が大きく、事業継続に多大な影響を与えかねません。このようにウェブアプリケーションの脆弱性を修正する時間を許容出来ない場合などには有効と考えられます。

参考情報

IPA　独立行政法人情報処理推進機構
「Web Application Firewall 読本　改訂第2版」2011年2月28日　公開
http://www.ipa.go.jp/files/000017312.pdf
安全なウェブサイトの作り方　改訂　第5版」2011年4月6日　公開
http://www.ipa.go.jp/security/vuln/documents/website_security.pdf

※1　WAF機能がついている機種もある為、例外もございます。

PCIDSSとは？

Payment Card Industry Data Security Standardsの頭文字をとったもので、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCISSC(Payment Card Industry Security Standards Council)によって運用、管理されています。

導入が必要な企業

カード情報を「保存、処理、または伝送する※1」企業であるカード加盟店、銀行、決済代行など行うサービス・プロバイダーが、年間のカード取引量に応じて、PCIDSS 準拠する必要があります。 カード取引量がPCIDSS準拠の基準に満たさなくても、各カードブランドが制定しているセキュリティー基準プログラムに準拠する必要があります。

PCIDSS遵守の対応が想定されるお客さま

イシュアー、アクワイアラー、サービス・プロバイダー、加盟店

 金融業　　　　　　　　 　 ：クレジットカード会社、クレジットカード発行金融機関 

 流通業　　　　　　　　 　 ：大手百貨店、スーパー、量販店、鉄道、航空会社　　　 

 通信／メディア／公共　 　 ：携帯電話会社、通信会社、ユーティリティ、新聞　　　 

 製造業　　　　　　　　 　 ：石油業界 他　　　　　　　　　　　　　　　　　　　　 

PCIDSS　12個の概要
※PCIDSS　要件とセキュリティ評価手順　バージョン2.0参照

WAFと関係がある項目

要件6：安全性の高いシステムとアプリケーションを開発し、保守する

一般公開されているWebアプリケーションは、アプリケーションのセキュリティ脆弱性を手動／自動で評価するツールまたは手法によって少なくとも年1回および何らかの変更を加えた後にレビューする

一般公開されているWebアプリケーションの手前にWebアプリケーションファイアウォールをインストールする

PCISSC（PCIセキュリティ基準協議会）承認のQSAC（認定審査機関）であるテュフラインランドジャパン株式会社（http://www.jpn.tuv.com)が実施している100種類以上のテストに合格しました。

PCI-DSS 適合証明書　2009年12月

近年、Webページの改ざんや機密情報の漏えいなど、企業のWebサイトを狙った悪質な攻撃が後を絶ちません。

また、企業のサイトだけではなく、多くのアプリケーションもWeb化される傾向にあり、攻撃者のターゲットとして魅力的なものになってきています。

攻撃目的は多種多様で、企業への営業妨害や個人情報の販売など年々悪質なものになってきております。ほとんどのWebアプリケーションにおいて、どんなユーザーでも、Webブラウザからデータベースへなんらかのトランザクションを発生させることができ、通常の動作をする限りは定められた情報しかデータベースから取り出せないが、膨大な機密情報まであと一歩のところまで極めて簡単にたどり着くことが出来ます。

社会情勢の変化によりクレジット業界で策定された「PCIDSS」等の対策基準など、企業セキュリティへのプレッシャーも年々強くなってきています。

まだまだ対策をされていない企業も多いですが、昨今では、このような攻撃を防ぐため取り組んでいる対策として、Webサイトの脆弱性診断を行いセキュリティホールを発見し、その後アプリケーションプログラムを修正することなどがあります。しかし、Webサイトへの攻撃手法が多様化している中、その都度、脆弱性診断をしなければいけないのでしょうか？多額の費用を投資し、日々修正することに、本当に費用対効果はあるのでしょうか？

検討課題

1.日々攻撃が変化している中、新しい攻撃が本当に防げるのか？　
2.多額の費用を投資して、プログラム修正する必要があるか？
3.セキュリティの専門化ではない方々が、今後も対応していく必要があるのか？

Open Web Application Security Project（OWASP）という、安全なWebアプリケーションやWebサービスを実現するためのツール開発やドキュメントの作成を行っているプロジェクトが、3年に一度、Webアプリケーションの脆弱性をランキングしており、その最新の情報である、「OWASP Top 10 – 2010 The Ten Most Critical Web Application Security Risks」によるランキングは下記の内容です。

　 1. インジェクション（SQLインジェクション、OSインジェクション等）
　 2. クロスサイトスクリプティング
　 3. 不完全な認証とセッション管理
　 4. 危険な直接的オブジェクト参照
　 5. クロスサイト リクエスト フォージェリ (CSRF)
　 6. セキュリティ設定の間違い
　 7. 安全ではない暗号保管
　 8. URLアクセス制限の不備
　 9. 安全ではない通信
　10. 安全ではないリダイレクトとフォワード

Webアプリケーションの脆弱性をついた攻撃のうち、およそ8割がこのランキングのトップ1、2の攻撃といわれております。これらの攻撃がどのような攻撃なのかを見ていきましょう。

【SQLインジェクション】

SQLインジェクション攻撃は、主にWebアプリケーションと連動して動いているデータベースをターゲットにした攻撃です。データベースを操作するための言語である「SQL」を、Webアプリケーション開発者が想定していないような形で利用することで、データベース内部を不正に操作することを目的とした攻撃です。

登録されている個人情報の漏えいや、価格情報の改ざんといった、企業にとって致命的となる損害を引き起こす可能性の高い攻撃のひとつです。

攻撃例

このようなログインページが用意されていた場合、通常であれば適切なログイン名とパスワードを入力することで利用可能となります。しかし、ここでログイン名やパスワードの内容にSQLを入力することが可能であった場合、特殊な文字列を入力することでログイン認証そのものを無効化することが可能となり、ユーザー名とパスワードを知らなくてもログインすることが可能となります。また、ここでSQLが使用できるということはデータベースを操作することも可能となるので、データベース内部のすべての情報を抜き出したり改ざんしたりすることが可能となることを意味します。

【クロスサイトスクリプティング】

ブログや掲示板に対して悪意のある利用者が書き込みを行う際に、プログラム（スクリプト）を埋め込むことで、第三者がその内容を閲覧したタイミングで埋め込まれたプログラムを勝手に実行させてしまうという攻撃です。

プログラムの内容によっては、さまざまな個人情報や機密情報を悪意のある利用者へ送信するようなものや、サイト内の情報を書き換えるようなものがあります。

また、他の種類の攻撃のための準備となる情報を取得するために使用されます。

攻撃例

攻撃スクリプトに対してリンクを張っておき、利用者がそのリンクをたどっていった場合、サイト内容が改ざんされてしまうケースや、その改ざん内容によってはフィッシングサイトへ勝手にアクセスさせられることがあります。

また、ECサイトだった場合はアクセス情報を再利用され、勝手に買い物をされてしまうようなケースがあります。

【攻撃被害事例１（SQLインジェクション）】

海外からの不正アクセスにより5,964件のクレジットカード情報が流出か

EC用のWebサイトに対して海外サーバからの不正アクセスがあり、調査の結果、同サイトの利用者のクレジットカード情報の一部が流出したことを確認したと発表した。同社では現在、第三者のセキュリティ専門会社の指導の下で不正アクセス対策の強化を実施しており、環境整備に努めている。なお、同社での通販業務は、よりセキュリティ効果の高いシステムを導入するまで運用を停止するとしている。

調査結果によると、6月10日3時25分から6月21日5時32分にかけて海外（中国・韓国）のIPアドレスよりWebサイトに対し不正アクセスが行われ、データベース上のクレジットカード情報を窃取したものと確認されたという。この不正アクセスにより流出した可能性のある顧客情報は、同サイトで2008年3月4日から2010年6月21日までの期間に商品をクレジットカード決済にて購入した顧客5,964件のクレジットカード情報（カード番号、名義、有効期限）で、その他の個人情報の流出の形跡はないとしている。

【攻撃被害事例２（クロスサイトスクリプティング）】

YouTubeにXSS攻撃、不正ポップアップなどの被害広がる

動画共有サイトの米YouTubeを狙った攻撃が発生し、ショッキングなデマが流れたり、コメントが表示されなくなるなどの影響が広がった。7月4日から5日にかけて、米セキュリティ機関のSANS Internet Storm Centerや英Sophosなどが伝えた。

それによると、この攻撃ではYouTubeのコメントシステムに存在するクロスサイトスクリプティング（XSS）の脆弱性が悪用された。この影響でコメントが表示されなくなったり、画面に「ニュース速報：（歌手の）ジャスティン・ビーバーが交通事故で死亡」というデマがポップアップ表示されるなどの被害が広がった。ほかにも不正なポップアップが出たり、悪趣味なWebサイトにリダイレクトされたりするケースが相次いだという。

Googleは攻撃発生から2時間ほどでこの問題に対処したと伝えられている。

SANSによれば、YouTubeが使っているコメントアプリケーションの出力データの暗号化処理に問題が存在した。これを突いて攻撃者がcookieを盗み、JavaScriptコードを仕込んでユーザーのWebブラウザで実行させることができてしまったとみられる。

【今までの検知方法】

ブラックリストとは？
基本的な接続はすべて許可するが、リストアップされているものからの接続はすべて遮断します。
常にログをレビューする必要があり、接続を遮断するべきところからのアクセスを見つけたら、すべてこのブラックリストに登録する必要があります。未知の不正な接続があった場合、最初の接続は許可されてしまうため、未知の不正なものに対しての耐性はありません。

ホワイトリストとは？
基本的な接続はすべて遮断するが、リストアップされているものからの接続のみ許可します。 事前に接続を行うものを特定し、ホワイトリストに登録しておく必要があります。
あらかじめわかっている場合は問題ありませんが、新しいところからの接続の場合、最初の接続は問答無用に遮断されるため、利用者側の使い勝手を考慮する必要があります。

シグネチャベースのパターンマッチングとは？
第2世代の検知方法です。基本はブラックリストタイプで、 過去に認識された攻撃リクエストのパターン（シグネチャ）をデータベース化し、リクエストの内容をシグネチャと比較することで攻撃検知を行う手法です。 シグネチャは定期的に更新する必要があります。また、シグネチャに登録されていないような新しい攻撃には対応することができません。

ロジック分析エンジンの優位性・・・1

ルールベース（ロジック分析エンジン）とは？
第3世代の検知方法で、あらかじめプログラミングされた26（現時点）種類の攻撃検知エンジンの集まりです。個々が独立することで処理の高速化と運用の簡素化を実現しています。

シグネチャベースのマッチングの限界
リクエストの内容に対し、「禁則文字列が含まれるかどうか？」「文字列がどのように並んでいるか？」という検知方法のため、本来検知してはいけないものまでも検知してしまうことがあります。（過剰検知）また、検知する対象が一定の決まりによって作られているものの場合、検知するのは難しくなってきます。

クレジットカード番号を識別できるか？
一見ランダムに生成されていそうなクレジットカード番号。実は発行会社によって番号の作り方が定められております。

※WAPPLESはクレジットカード番号の作り方（生成ロジック）を知っているため、クレジットカード番号であると判断することが可能です。

ロジック分析エンジンの優位性・・・2

SQLインジェクション？

※WAPPLESはSQLの仕様（ロジック）を知っているため、2～8のリクエスト内容は「SQLではなく単なる文字列」と判断できるため検知しません。

過剰検知が発生した場合、管理者がそれらのリクエストをホワイトリストに手動で登録することでWebサーバへリクエストを到達できるようにする必要があります。

Open Web Application Security Project（OWASP）という、安全なWebアプリケーションやWebサービスを実現するためのツール開発やドキュメントの作成を行っているプロジェクトが、3年に一度、Webアプリケーションの脆弱性をランキングしております。
その最新の情報である、「OWASP Top 10 – 2010 The Ten Most Critical Web Application Security Risks」によるランキングは下記の内容です。

　　1.インジェクション（SQLインジェクション、OSインジェクション等）
2.クロスサイトスクリプティング
3.不完全な認証とセッション管理
4.危険な直接的オブジェクト参照
5.クロスサイト リクエスト フォージェリ (CSRF)
6.セキュリティ設定の間違い
7.安全ではない暗号保管
8.URLアクセス制限の不備9.安全ではない通信10.安全ではないリダイレクトとフォワード

このOWASPはPCI-DSS（Payment Card Industry Data Standard）においても重要な位置付けで、PCI-DSS要件6.6が求めるWAF機能については、このOWASPのトップ10に入ってくる脆弱性については最低でも防御できる必要がある。との記載があるほどです。

WAPPLESは実装されている26のルールによってOWASPのトップ10であげられているような脆弱性に対し、確実に防御することが可能となります。

まず、WAPPLESが実装するルールについて、どのような攻撃が防げるのかについては下記表を参照してください。また、これらのルールがどのようにOWASPに対応しているのかについてはその次の表にまとめました。

【WAPPLESのルールと防御内容】

【OWASPのトップ10とWAPPLESのルール対応表】