サイバーセキュリティの最前線:WAF を突破する最新ボット攻撃とその対策
ケリー・コッピンガー
|サイバー犯罪 | 2024年3月06日
Web アプリケーションファイアウォール (WAF) は、決まったルールに基づいて悪意のある通信をフィルタリングするセキュリティツールです。セキュリティの専門家はこれまで、WAF を使って自社のサービスや Web サイトを、悪意のあるユーザーエージェントやブラックリストのIPアドレスなどの脅威から守ってきました。しかし、高度化したボットの出現により、WAF の有効性が疑問視されるようになっています。
ボットがますます高度化する中で、WAF は人間のユーザーとボットの違いを見分けられるのでしょうか。ほとんどの場合、答えはノーです。これは、WAF の設計に課題があるからです。WAF は既知の脅威には対処できますが、現在のサイバー攻撃に使われている複雑で柔軟なボットをリアルタイムで見つけて対処するには、WAF だけでは限界があります。
WAF の基本的な動き
Web アプリケーションファイアウォール(WAF)(英文)は、Web アプリケーションを守るために作られた特別なソフトウェアです。一般的なソフトウェアの脆弱性を利用した攻撃から守ることがその主な目的です。WAF は、Web トラフィックを調べて、GET や POST といったHTTP リクエストを分析します。そして、あらかじめ設定されたルールやポリシーに従って、攻撃シグネチャ(例えば、悪意のあるユーザーエージェントやブラックリストに登録された IP アドレスなど)に一致するかどうかを確認し、一致するものがあれば、それらをフィルタリングしてブロックします。要するに、WAF は安全なトラフィックと危険なトラフィックを分けるためのフィルターのようなものです。この仕組みを実現するために、WAF は通常、ネガティブ、ポジティブ、またはハイブリッドといった 3 つのセキュリティモデルの中から一つを選んで使います。
- ネガティブセキュリティモデル:このモデルは「ブラックリスト方式」とも呼ばれます。このモデルでは、既知の攻撃シグネチャに一致するリクエストをブロックします。具体的に悪意があるとわかっているもの以外は、すべてのトラフィックを許可します。この方法は既知の脅威に対しては有効ですが、ブラックリストにない攻撃を見つけることができないことがあります。
- ポジティブセキュリティモデル:このモデルは「ホワイトリスト方式」とも呼ばれます。このモデルでは、指定された条件に合わないものはすべてブロックされます。このアプローチは、新しい攻撃でさえも防ぐことができるため、より制限が多くなり、設定を慎重にしないと正しいトラフィックを誤ってブロックしてしまう可能性があります。
- ハイブリッドセキュリティモデル:このモデルは、ブラックリスト方式とホワイトリスト方式の両方の特徴を組み合わせたものです。まず攻撃シグネチャを使って通信をフィルタリングし(ブラックリスト方式)、残った通信がアクセスを許可している通信と合っているか確認します(ホワイトリスト方式)。この方法はセキュリティと使いやすさのバランスをとることを目的としていて、悪意のある通信をブロックしつつ、誤ってブロックすることを最小限に抑えます。
WAF はいくつかの方法で設定できます。クラウドベース、ホストベース、ネットワークベースなどがあり、通常、リバースプロキシを使って配置されます。つまり、ユーザーとサーバーの間に立ち、Web アプリケーションにアクセスする前にトラフィックを検査する役割を果たします。
WAF では不安が残るケース
WAF は既知の脅威に対しては効果がありますが、事前に定義されたルールに頼っていることが制限にもなります。WAF は、SQL インジェクションやセッションハイジャック、クロスサイトスクリプティングといった既知の攻撃から Web サイトやアプリを守るように設計されています。WAF は、害のないクローラーや悪意のあるボットトラフィックなどを区別するためのルールを使います。特に、WAF は既知の攻撃シグネチャを持つリクエストを見つけ出します。
繰り返しになりますが、WAF は既知の脅威だけをブロックできます。そのため、はっきりとした攻撃シグネチャがなく、変化し続ける高度なボットのブロックはできません。さらに、アカウント乗っ取りなどの多くのボット攻撃は、見た目ではただのユーザーがログインしようとしているように見えるので、通常のユーザーと区別することができず、WAF ではブロックすることができません。
また、WAF はボットを管理する際に IP レピュテーションに大きく依存しています。リクエストの IP レピュテーションが悪い場合、その IP からのすべてのアクティビティが悪いと仮定します。逆に、IP レピュテーションが良ければ、その IP から来るすべてのリクエストを通過させる可能性が高くなります。この記事(英文)でも述べているように、ボットオペレーターは現在、高品質な住宅用 IP を安く手に入れることができ、WAF ではボットを見つけて防ぐのに十分な解決策とはなりません。
高度なボットと悪意のあるユーザーが WAF をすり抜ける3つの方法
回避戦術:IP スプーフィングと IP ローテーション
静的なルールセットを突破する最も簡単な方法は、それを単に避けることです。そのために、ハッカーはしばしば IP スプーフィングを行い、パケットヘッダー内の IP アドレスを変更して正規のソースからのアクセスを装います。これによって信頼できる送信元からのアクセスのように見せかけることができて、WAF の IP ベースのフィルタリングルールを突破できます。悪意のあるユーザーは、幅広い範囲の IP アドレスをローテーションするボットネットやプロキシサービスを使用する場合もあります。各リクエストは異なるソースから来たように見え、IP ベースのブロックではアクセスを阻止することができません。
IP レピュテーションシステムに大きく依存している WAF は、特にこの手口に弱いです。IP が変化し続けるため、WAF が一貫して悪意のあるトラフィックを検出してブロックすることが難しくなります。この手法は、分散型サービス拒否(DDoS)攻撃や自動ウェブスクレイピング(英文)に特に多く見られ、多様な IP から多数のリクエストが送信され、WAF がすべての悪意のあるソースを追跡してブロックする能力を圧倒します。
SSL の暗号化による悪意あるトラフィックの隠蔽
攻撃者は、SSL/TLS 暗号化を使って、悪意のあるデータを暗号化された通信の中に隠し、Web アプリケーションファイアウォール(WAF)を突破します。SSL/TLS 暗号化は、データを送信する際に内容を守るためのもので、SSL 復号化機能のない WAF は、暗号化されたデータを見ることができません。悪意のあるユーザーは、有害なリクエストを暗号化して、WAF がその中身をチェックしないようにすることができます。
リクエストサイズを大きくしてスキャンの制約を悪用
悪意のあるユーザーは、Web アプリケーションファイアウォール(WAF)を突破するために、特にリクエストサイズに関する制限など、WAF のスキャン機能の制限を悪用します。多くの WAF は、リクエスト内の一定のバイト数しかスキャンしないことを知っているため、悪意のあるユーザーは意図的に大きなリクエストを作成します。通常、HTTP/HTTPS の GET または POST リクエストは、数百バイトから 1 〜 2 キロバイト程度です。しかし、攻撃者は、大きなヘッダーやクッキー、POST ボディテキストなどを使用して、これらのリクエストを拡張し、WAF の効率的なスキャンサイズを超える 8 キロバイト以上にします。多くの WAF は、異常に大きなリクエストをスキャンまたは記録しないように設定されているため、この戦術を使用すると WAF を効果的に突破できます。この方法は、大きなリクエストのスキャンにかかる計算コストが原因です。その結果、一部の WAF は、コスト競争力を維持するためにデフォルトで強化スキャンを無効にしています。そのため、ウェブアプリケーションや API はこのようなパディング攻撃に対して脆弱になっています。
CHEQ による将来を見据えたウェブセキュリティ
高度なボットとサイバー攻撃に対して、今までの Web アプリケーションファイアウォールには限界があることが分かっています。そこで、より動的な解決策が必要です。CHEQ は、これらの問題に対応するために作られた「GTM ネイティブ」という保護システムを提供します。従来の WAF とは違い、CHEQ は悪意のある活動をリアルタイムで検出し、従来の WAF では不可能だった広範な脅威に対する強固な防御を提供します。
CHEQ は、ユーザーエクスペリエンスへの影響を最小限に抑えながら、高度なセキュリティ機能を提供します。CHEQ はお客様の GTM の技術とシームレスに統合され、ユーザーエクスペリエンスを損なうことなくセキュリティ対策を強化します。CHEQ を使用すると、サイトは「安全ゾーン」になり、Web サイトや正当な訪問者を、悪意のあるスクレイパーやスキャルパーボット、高度なボットネットなどの脅威から保護します。
CHEQ で高度な保護を実現
CHEQ を使って、サイバーセキュリティ戦略を向上させましょう。無料トライアルを試して、当社のソリューションが既存のインフラストラクチャにスムーズに統合し、変化し続けるデジタルの脅威から貴社を守る方法をご確認ください。