サイバーセキュリティの最前線:WAF を突破する最新ボット攻撃とその対策

template-wa.php

アーカイブ動画

--------------------------------

  • Blog
  • サイバー犯罪
  • サイバーセキュリティの最前線:WAF を突破する最新ボット攻撃とその対策

サイバーセキュリティの最前線:WAF を突破する最新ボット攻撃とその対策

ケリー・コッピンガー

  | 

サイバー犯罪 | 2024年3月06日

Web アプリケーションファイアウォール (WAF) は、決まったルールに基づいて悪意のある通信をフィルタリングするセキュリティツールです。セキュリティの専門家はこれまで、WAF を使って自社のサービスや Web サイトを、悪意のあるユーザーエージェントやブラックリストのIPアドレスなどの脅威から守ってきました。しかし、高度化したボットの出現により、WAF の有効性が疑問視されるようになっています。

ボットがますます高度化する中で、WAF は人間のユーザーとボットの違いを見分けられるのでしょうか。ほとんどの場合、答えはノーです。これは、WAF の設計に課題があるからです。WAF は既知の脅威には対処できますが、現在のサイバー攻撃に使われている複雑で柔軟なボットをリアルタイムで見つけて対処するには、WAF だけでは限界があります。

WAF の基本的な動き

Web アプリケーションファイアウォール(WAF)(英文)は、Web アプリケーションを守るために作られた特別なソフトウェアです。一般的なソフトウェアの脆弱性を利用した攻撃から守ることがその主な目的です。WAF は、Web トラフィックを調べて、GET や POST といったHTTP リクエストを分析します。そして、あらかじめ設定されたルールやポリシーに従って、攻撃シグネチャ(例えば、悪意のあるユーザーエージェントやブラックリストに登録された IP アドレスなど)に一致するかどうかを確認し、一致するものがあれば、それらをフィルタリングしてブロックします。要するに、WAF は安全なトラフィックと危険なトラフィックを分けるためのフィルターのようなものです。この仕組みを実現するために、WAF は通常、ネガティブ、ポジティブ、またはハイブリッドといった 3 つのセキュリティモデルの中から一つを選んで使います。

  • ネガティブセキュリティモデル:このモデルは「ブラックリスト方式」とも呼ばれます。このモデルでは、既知の攻撃シグネチャに一致するリクエストをブロックします。具体的に悪意があるとわかっているもの以外は、すべてのトラフィックを許可します。この方法は既知の脅威に対しては有効ですが、ブラックリストにない攻撃を見つけることができないことがあります。
  • ポジティブセキュリティモデル:このモデルは「ホワイトリスト方式」とも呼ばれます。このモデルでは、指定された条件に合わないものはすべてブロックされます。このアプローチは、新しい攻撃でさえも防ぐことができるため、より制限が多くなり、設定を慎重にしないと正しいトラフィックを誤ってブロックしてしまう可能性があります。
  • ハイブリッドセキュリティモデル:このモデルは、ブラックリスト方式とホワイトリスト方式の両方の特徴を組み合わせたものです。まず攻撃シグネチャを使って通信をフィルタリングし(ブラックリスト方式)、残った通信がアクセスを許可している通信と合っているか確認します(ホワイトリスト方式)。この方法はセキュリティと使いやすさのバランスをとることを目的としていて、悪意のある通信をブロックしつつ、誤ってブロックすることを最小限に抑えます。

WAF はいくつかの方法で設定できます。クラウドベース、ホストベース、ネットワークベースなどがあり、通常、リバースプロキシを使って配置されます。つまり、ユーザーとサーバーの間に立ち、Web アプリケーションにアクセスする前にトラフィックを検査する役割を果たします。

WAF では不安が残るケース

WAF は既知の脅威に対しては効果がありますが、事前に定義されたルールに頼っていることが制限にもなります。WAF は、SQL インジェクションやセッションハイジャック、クロスサイトスクリプティングといった既知の攻撃から Web サイトやアプリを守るように設計されています。WAF は、害のないクローラーや悪意のあるボットトラフィックなどを区別するためのルールを使います。特に、WAF は既知の攻撃シグネチャを持つリクエストを見つけ出します。

繰り返しになりますが、WAF は既知の脅威だけをブロックできます。そのため、はっきりとした攻撃シグネチャがなく、変化し続ける高度なボットのブロックはできません。さらに、アカウント乗っ取りなどの多くのボット攻撃は、見た目ではただのユーザーがログインしようとしているように見えるので、通常のユーザーと区別することができず、WAF ではブロックすることができません。

また、WAF はボットを管理する際に IP レピュテーションに大きく依存しています。リクエストの IP レピュテーションが悪い場合、その IP からのすべてのアクティビティが悪いと仮定します。逆に、IP レピュテーションが良ければ、その IP から来るすべてのリクエストを通過させる可能性が高くなります。この記事(英文)でも述べているように、ボットオペレーターは現在、高品質な住宅用 IP を安く手に入れることができ、WAF ではボットを見つけて防ぐのに十分な解決策とはなりません。

高度なボットと悪意のあるユーザーが WAF をすり抜ける3つの方法

回避戦術:IP スプーフィングと IP ローテーション

静的なルールセットを突破する最も簡単な方法は、それを単に避けることです。そのために、ハッカーはしばしば IP スプーフィングを行い、パケットヘッダー内の IP アドレスを変更して正規のソースからのアクセスを装います。これによって信頼できる送信元からのアクセスのように見せかけることができて、WAF の IP ベースのフィルタリングルールを突破できます。悪意のあるユーザーは、幅広い範囲の IP アドレスをローテーションするボットネットやプロキシサービスを使用する場合もあります。各リクエストは異なるソースから来たように見え、IP ベースのブロックではアクセスを阻止することができません。

IP レピュテーションシステムに大きく依存している WAF は、特にこの手口に弱いです。IP が変化し続けるため、WAF が一貫して悪意のあるトラフィックを検出してブロックすることが難しくなります。この手法は、分散型サービス拒否(DDoS)攻撃や自動ウェブスクレイピング(英文)に特に多く見られ、多様な IP から多数のリクエストが送信され、WAF がすべての悪意のあるソースを追跡してブロックする能力を圧倒します。

SSL の暗号化による悪意あるトラフィックの隠蔽

攻撃者は、SSL/TLS 暗号化を使って、悪意のあるデータを暗号化された通信の中に隠し、Web アプリケーションファイアウォール(WAF)を突破します。SSL/TLS 暗号化は、データを送信する際に内容を守るためのもので、SSL 復号化機能のない WAF は、暗号化されたデータを見ることができません。悪意のあるユーザーは、有害なリクエストを暗号化して、WAF がその中身をチェックしないようにすることができます。

リクエストサイズを大きくしてスキャンの制約を悪用

悪意のあるユーザーは、Web アプリケーションファイアウォール(WAF)を突破するために、特にリクエストサイズに関する制限など、WAF のスキャン機能の制限を悪用します。多くの WAF は、リクエスト内の一定のバイト数しかスキャンしないことを知っているため、悪意のあるユーザーは意図的に大きなリクエストを作成します。通常、HTTP/HTTPS の GET または POST リクエストは、数百バイトから 1 〜 2 キロバイト程度です。しかし、攻撃者は、大きなヘッダーやクッキー、POST ボディテキストなどを使用して、これらのリクエストを拡張し、WAF の効率的なスキャンサイズを超える 8 キロバイト以上にします。多くの WAF は、異常に大きなリクエストをスキャンまたは記録しないように設定されているため、この戦術を使用すると WAF を効果的に突破できます。この方法は、大きなリクエストのスキャンにかかる計算コストが原因です。その結果、一部の WAF は、コスト競争力を維持するためにデフォルトで強化スキャンを無効にしています。そのため、ウェブアプリケーションや API はこのようなパディング攻撃に対して脆弱になっています。

CHEQ による将来を見据えたウェブセキュリティ

高度なボットとサイバー攻撃に対して、今までの Web アプリケーションファイアウォールには限界があることが分かっています。そこで、より動的な解決策が必要です。CHEQ は、これらの問題に対応するために作られた「GTM ネイティブ」という保護システムを提供します。従来の WAF とは違い、CHEQ は悪意のある活動をリアルタイムで検出し、従来の WAF では不可能だった広範な脅威に対する強固な防御を提供します。

CHEQ は、ユーザーエクスペリエンスへの影響を最小限に抑えながら、高度なセキュリティ機能を提供します。CHEQ はお客様の GTM の技術とシームレスに統合され、ユーザーエクスペリエンスを損なうことなくセキュリティ対策を強化します。CHEQ を使用すると、サイトは「安全ゾーン」になり、Web サイトや正当な訪問者を、悪意のあるスクレイパーやスキャルパーボット、高度なボットネットなどの脅威から保護します。

CHEQ で高度な保護を実現

CHEQ を使って、サイバーセキュリティ戦略を向上させましょう。無料トライアルを試して、当社のソリューションが既存のインフラストラクチャにスムーズに統合し、変化し続けるデジタルの脅威から貴社を守る方法をご確認ください。

無料トライアルの申し込みはこちら!

筆者

ケリー・コッピンガー

ブランドマーケティング シニアマネージャー

CHEQ のブランドマーケティング部門の責任者として、ホワイトペーパーや、広報、コンテンツマーケティング、コピーライティング、メディア掲載、編集など、コンテンツやブランドに関する全てを統括しています。前職では、ニューヨークのテクノロジー企業数社に勤務していました

Request a Demo

最新の記事

もっと記事を見る
サイバー犯罪

Bad Actors Awards:最も危険で悪質な攻撃者 5 選

ケリー・コッピンガー | 2024年4月04日
サイバー犯罪

進化する OTP ボット:サイバーセキュリティの最大の脅威

サニャ・トライチェワ | 2024年3月21日
サイバー犯罪

忍び寄る脅威 – ボット詐欺の兆候 8 選

サニャ・トライチェワ | 2024年2月22日
Web サイト運用・セキュリティ対策

サイバーセキュリティ監査のベストプラクティス 5 選

CHEQ | 2024年2月13日
マーケティング

【2024 年最新版】「アフィリエイトマーケティング」を成功させる “ニッチ” 7 選

サニャ・トライチェワ | 2024年1月25日
プライバシー&コンプライアンス

IAB TCF 2.2 とGoogle CMP認証の理解

ジェフリー・エドワーズ | 2024年1月12日
Web サイト運用・セキュリティ対策

ボット対策でデジタルプレゼンスを救う

サニャ・トライチェワ | 2023年12月21日
マーケティング

アドフラウド検出でマーケティング効果を高める方法

サニャ・トライチェワ | 2023年12月13日
サイバー犯罪

スパムによるユーザー登録を防ぐ 5 つの方法

サニャ・トライチェワ | 2023年9月13日
マーケティング

PPC 最適化を AI ツールで改善する 5 つの方法

サニャ・トライチェワ | 2023年8月29日
Web サイト運用・セキュリティ対策

CHEQのGA4コネクタによるクリーンなデータと実用的な洞察の活用法

Amit Kochman | 2023年8月22日
Web サイト運用・セキュリティ対策

ウェブサイトとデータを保護 ボットをブロックすべき8つの理由

サニャ・トライチェワ | 2023年8月02日

不正トラフィックに影響されない
Go-to-Market セキュリティを
今すぐ始めませんか?

今すぐスタート