ホワイト ペーパー

最新のアプリケーション脅威 ADVANCED WAF の必要性

アプリケーション セキュリティを第一に考える

ホワイト ペーパー | 最新のアプリケーション脅威 Advanced WAFの必要性 2

なぜ従来の WAF では不十分なのか

従来の WAF は、クロスサイト スクリプティング（XSS）や SQL インジェクションといった既知の攻撃の対象となるコードを実行する Web アプリケーション サーバの問題を解消するために開発されました。WAF は、これらの一般的な脆弱性に対応するソリューションとして長年にわたって導入されてきましたが、誤検知や運用の複雑さといういくつかの問題を抱えています。オープンソースの WAF である ModSecurity は、しばしば、悪質な要求を検知するためのフィルタベースの受動的な防御策をすり抜けようとする迂回攻撃や回避攻撃のターゲットとなっています。

次世代ファイアウォール（NGFW）は、「アプリケーション認識」機能を備え、一部のインジェクション攻撃（XSS、SQL インジェクション、その他）もあわせて阻止できると謳っています。しかし、NGFW もやはり受動的なフィルタ検出を採用しており、すべての HTTP 要求を検査することはありません。IPS と同じように、要求をサンプリングし、最初の数バイトを検査するだけで、要求のペイロードをすべて調べるわけではないのです。そのため、NGFW 技術の弱点をついたアプリケーション層を迂回する攻撃が多発する結果となっています。加えて、NGFW をはじめとするファイアウォール技術に実装された IP アドレス レピュテーション フィードは、ボットネットなどの自動攻撃に対し効果がないことが実証されています。

WAF 技術は年と共に改善されてきてはいるものの、いまだに受動的なフィルタベースの方法により Web 要求の悪質なペイロードを検出し、プロトコルのコンプライアンスをチェックしているというケースがほとんどです。加えて、WAF ポリシーの管理の煩雑さによって、多くの組織で一部のアプリケーションが保護されないままになっています。注目を集めたセキュリティ侵害の多くで、既知のアプリケーションの脆弱性が悪用されていますが、これは攻撃対象となった組織がアプリケーション サーバへのパッチの適用や、WAF ポリシーの展開をすばやく行えなかったことが原因です。

これらの課題に加え、自動化技術の進歩と簡単に利用できるボットネット サービスによって、脅威の検出がさらに困難になっています。ヘッドレス ブラウザなどの自動化技術によって、人間とボットの識別が困難になっており、たとえ CAPTCHA テストを使用したとしても、正確な見極めは決して容易ではありません。ボットネットは、無数にある感染しやすい IoT デバイスや、ケーブル モデム、ブラウザを悪用しており、ボットネット攻撃の検出と緩和に送信元の IP アドレスを役立てることはほぼ不可能です。

脅威をめぐる状況はこの 5 年ほどで劇的に変化しました。従来の Webアプリケーション ファイアウォール（WAF）は、かつてはアプリケーション層攻撃の緩和に大きな効果を発揮していました。しかし今では、攻撃の高度なテクニックや俊敏さに十分に対応できず、シグネチャが脅威の進化に取り残されているケースが多々見受けられます。たとえ従来の WAF で脅威を緩和できたとしても、WAF を適切に導入・管理するのは容易ではありません。目まぐるしく進化する脅威を緩和するための対策を効果的に自動化する、新たな手法が求められるようになってきています。

ホワイト ペーパー | 最新のアプリケーション脅威 Advanced WAFの必要性 3

図 1： 従来の WAF と NGFW を迂回する自動攻撃

自動化による攻撃の拡大

種類に関係なく、ほとんどの攻撃が自動化されています。DDoS 攻撃、データ侵害、脆弱性スキャン、クレデンシャル スタッフィング、ブルートフォース攻撃、リソース ホーディング（リソースの囲い込み）などの攻撃は、ほぼすべてが自動で実行されるようになっています。攻撃者は、攻撃対象の組織よりも少ない資金・人材しか持ち合わせていない場合が多いものの、自動化を利用することで、大規模な攻撃を仕掛け、脆弱性を探ろうとしてきます。これらの自動攻撃の多くは、悪質なペイロードを含まず、正規のユーザ トラフィックに見せかけることで防御を迂回する設計になっています。

アプリケーション層（レイヤ 7）DDoS 攻撃は、正規の要求によりリソースを大量に消費するURL を標的とし、アプリケーション インフラストラクチャに過剰な負荷をかけることができるため、今では一般的な攻撃ベクトルとなっています。同様に、ログイン認証を迂回するためのクレデンシャル スタッフィング（盗み出したユーザ名やパスワードを自動で使用）やブルートフォース攻撃も、攻撃者によって正規の要求として作成されます。これらのログイン攻撃の多くは、DoS攻撃として検知されるのを回避するために、少量のトラフィックで時間をかけてリソースを消費させるものとなっています。

一般的なサイトのトラフィックのうち、悪質な自動トラフィックやボットが占める割合は 30 ～40% ほどですが、その 90% 以上が同じサイト内のターゲット アセットに向けたものとなっています。ターゲットとなるのは、ログイン ページ（ブルートフォース攻撃やクレデンシャル スタッフィングの場合）やリソースを大量に消費するURL（レイヤ 7DoS 攻撃の場合）です。リソース ホーディング攻撃では、チケットやスニーカーといった魅力的な商品の購入ページが標的となります。スクレイピング攻撃の場合も同様に、後で取り出して使用するためのデータが狙われます。これらの標的型攻撃は単に検出が難しいだけでなく、大量のインフラストラクチャ リソースを消費します。

攻撃の自動化に使用されるツールには、ヘッドレス ブラウザ（Phantom.js や Selenium など）、脆弱性スキャナ（ペネトレーション テスターによって使用されるのと同じもの）、コマンドライン スクリプト、ブラウザ拡張などのほか、マルウェアに感染したマシンなども含まれます。

ブラウザは最弱のリンクか ?

ブラウザは、アプリケーション セキュリティの最弱のリンクである場合が少なくありません。攻撃者は、電子メール メッセージやソーシャルメディアの投稿に一般的なフィッシング攻撃を埋め込むことで、ユーザを感染させようとします。悪質なリンクをクリックすると、標的にされたマシンにマルウェアがインストールされます。このマルウェアを使って、ボットネット軍の感染マシン部隊に協力をあおぎ、前述の攻撃のいずれかを実行するというわけです。

サーバ エージェント

専用アプライアンス悪質な

ボット

信頼できるボット

攻撃者

顧客

DMZ

従来のWAF/NGFW

悪質なボット

信頼できるボット

攻撃者

顧客

DMZ

F5 Advanced WAF

ホワイト ペーパー | 最新のアプリケーション脅威 Advanced WAFの必要性 4

データ収集のためのより一般的な手段として、マルウェアは、リモートアクセス型トロイの木馬（RAT）やキーロガーといった形態をとります。これらの手段により、攻撃者はユーザ名やパスワード、連絡先リストなど、闇サイトで値がつくであろう機密データを収集します。ブラウザやモバイル アプリがクライアントの場合、クレデンシャルの盗難を防止することは極めて困難です。これらのクライアントでは、エンドポイント デバイスのセキュリティ態勢を整えるための選択肢が限られてきます。

ユーザがデバイスの感染に気づかず、インターネット サービスによって機密データが保護されていると信じ込んでいるケースも少なくありません。HTTP 暗号化では、転送中のデータが保護されるものの、エンドポイントに到達した時点でそれらのデータは保護の対象ではなくなります。

アプリケーション セキュリティ制御の強化

WAF を能動的なセキュリティ制御へと進化させ、クライアント エンドポイントのチェックとアプリケーションのセキュリティ態勢の動的な強化に対応できるようにする必要があります。F5 Advanced WAF は、進化を続けるアプリケーション層攻撃を検出・阻止するための対応策を採用しています。Advanced WAF では、任意のクライアント セッションに関連する脅威を徹底的に評価するための 2 大メカニズムとして、動作分析と動的なコード インジェクションを統合しています。

図 2： サーバ エージェントや専用のアプライアンスを用いることなくボットを検出するAdvanced WAF

正常なアプリケーション トラフィック動作の基準値をプロファイリングすることで、異常なトラフィック パターンを見つけやすくなります。自動化によって攻撃者の能力が増しているのと同じように、これらの技術は人間にはできない方法によって正常なトラフィックと異常なトラフィックを識別します。F5 Advanced WAF は、最新のアナリティクスと機械学習を用いて動的なシグネチャを生成し、管理者の介在なしに悪質なトラフィックをブロックします。

Advanced WAF は、JavaScript インジェクションを利用して、クライアントが人のユーザを持つブラウザかどうかを見極めることで、クライアントのフィンガープリントを確定し、ボットなどの自動ツールを容易に検出できるようにします。クライアント フィンガープリントによって、IPアドレスの背後にいる攻撃者を追跡することも可能です。Advanced WAF のプロアクティブなボット対策はクライアント セッションを 1つずつ確認し、クライアントの特性を見極めると同時に、信頼できるボットと悪質なボットを識別します。セッションの確認はユーザに対して透過的に行われることから、CAPTCHA テストに関連するユーザ エクスペリエンス（UX）に影響が及ぶことはありません。

コードインジェクションによりキー入力を動的に暗号化することで、たとえデバイスがマルウェアに感染している場合であってもユーザを保護することが可能です。F5 の DataSafe1 技術は、ユーザ名とパスワードのフィールドでこの暗号化を実行することで、クレデンシャルの盗難を防止します。F5 Labs の調査 2 によると、データ侵害の 86%でID もしくはアプリケーションがターゲットとなっており、このような防御が極めて重要になってきます。

サーバ エージェント

専用アプライアンス悪質な

ボット

信頼できるボット

攻撃者

顧客

DMZ

従来のWAF/NGFW

悪質なボット

信頼できるボット

攻撃者

顧客

DMZ

F5 Advanced WAF

5ホワイト ペーパー | 最新のアプリケーション脅威 Advanced WAFの必要性

東京本社〒107-0052 東京都港区赤坂 4-15-1 赤坂ガーデンシティ19階TEL 03-5114-3210 FAX 03-5114-3201

お問合わせ先：https://f5.com/jp/fc/

西日本支社〒530-0012 大阪府大阪市北区芝田 1-1-4 阪急ターミナルビル 16 階TEL 06-7222-3731 FAX 06-7222-3838

合同会社

©2018 F5 Networks, Inc. All rights reserved. F5, F5 Networks, F5のロゴ、および本文中に記載されている製品名は、米国および他の国における F5 Networks, Inc.の商標または登録商標です。本文中に記載されている製品名、および社名はそれぞれ各社の商標、または登録商標です。

これらの仕様はすべて予告なく変更される場合があります。本文中の記載内容に誤りがあった場合、あるいは記載内容を更新する義務が生じた場合も、F5ネットワークスは一切責任を負いません。F5ネットワークスは、本文中の記載事項を予告なく変更、修正、転載、または改訂する権利を有します。

DC0418 | WP-SEC-222132511

API は自動攻撃に対する防御が困難なことで知られており、モバイル API がターゲットになるケースが増えています。ブラウザではなく、モバイル アプリの機能によってのみ、より強固なセキュリティ制御を実行することが必要になってきます。新しいF5 Anti-Bot Mobile SDK3 では、マウスを数回クリックするだけで、既存のモバイル アプリに最新のセキュリティ機能を速やかに統合することが可能です。

自動攻撃にフォーカスすることで、以下のようなメリットがもたらされます。

自動攻撃にフォーカスし、より能動的なセキュリティ対策を採用することで、従来の WAF アプローチによって次のような重大なメリットを実現できます。

運用効率の向上

すべての Web アプリケーションで、ブラウザとモバイル アプリがクライアントとして共有されることから、ほぼすべての Web アプリケーションを対象とした総合 WAF ポリシーを容易に導入できます。

WAF ポリシーやアクティブなパッチ機能を持たない Web アプリケーションは過去のものとなります。

リスクの軽減

自動スキャニングが行えないことで、攻撃者がアプリケーション インフラストラクチャの最新の脆弱性を見つけるのに手間取ることになります。その結果、パッチを適用していないサーバがゼロデイ攻撃を受けるリスクが大幅に軽減されます。

リソース利用の改善

トラフィック量が最大で 40% 減少することで、アプリケーション サーバの運用コストが削減され、特にパブリック クラウド環境では顕著な効果が期待できます。負荷の軽減によってアプリケーション サーバのパフォーマンスの向上が可能になり、ユーザ エクスペリエンスの向上につながります。さらには、ベースライン負荷が軽減されることで、Web アプリケーションがアプリケーション層攻撃の影響を受けにくくなります。

ここで説明した手法は、Web アプリケーション セキュリティの見直しに向けた青写真となるものであり、F5 が脅威環境の変化をどう捉えているかを示しています。Advanced WAF などのツールを利用して、積極的なセキュリティ アプローチをとることで、セキュリティ プロフェッショナルはより効果的な管理を行い、多くのアプリケーションを保護できるようになります。F5 はWeb アプリやモバイル アプリのための包括的なボット対策、ブラウザでのクレデンシャル保護、機械学習を利用した自動動作分析を取り入れることで、Advanced WAF 分野を先導しています。

1 https://www.f5.com/pdf/products /application-level_field_encryption_for_credential_and_data_protection.pdf2 https://f5.com/labs/articles /threat-intelligence /cyber-security/ lessons-learned-from-a-decade-of-data-breaches3 https://www.f5.com/pdf/products / integrate_F5_anti-bot_mobile_SDK_with_any_mobile_app.pdf