ウェブサイト攻撃を未然に防ぐソリューション
日常生活やビジネスシーンで必要不可欠な存在となったインターネット。その利便性を高めるウェブアプリケーションとウェブサイト間の連携は今や当たり前。今回はウェブアプリ・サイトを保護するソリューションである『WAF』と次世代型の『WAAP』について、それぞれの機能と違いを解説します。
◆目次
旧式ソリューションWAF
日常生活やビジネスにおいて必要不可欠になったインターネット、SNSや動画視聴、オンラインバンキングをはじめ利便性の高いウェブアプリが数多く提供され、そうしたものをサイバー攻撃から保護する役割を今も果たしています。
「Web Application Firewall」の各単語の頭文字からなる略称、ウェブアプリの防御を目的とするファイアウォール(防火壁)。ハードウェア、あるいはソフトウェアとして導入、SQLインジェクションやXSS(クロスサイトスクリプティング)、ブルートフォース攻撃といったウェブアプリの脆弱性を狙った攻撃を検知し防御します。
主に、ウェブサイト・アプリが格納されるサーバーの手前に設置され、事前に定義されたシグネチャと呼ばれるルールにより、外部からの不正なリクエストやレスポンスをフィルタリングして悪質な攻撃から防御します。今やWAFはウェブセキュリティ対策に欠かせない存在です。
API連携とWAF防壁の限界
ウェブサイト防壁となるWAFですが、API連携を狙った攻撃への対処は難しいもの。APIとは「Application Programming Interface」の略で、ウェブサイトやアプリ間でデータや機能の連携をするために用いられるインターフェースあるいはプロトコルのこと。
たとえば、登録済みSNSアカウントを使用して別のサービスにログインする際にはAPIの仕組みが用いられています。天気予報など外部の情報を一部加工して表示しているようなウェブページでもこうしたAPI連携が行われています。
APIアプリ連携の登場で、事業者はユーザーにとって便利なサービスを提供することが容易に。ただし、スムーズな連携ができる一方でこの連携部はサイバー攻撃の対象になりやすく、攻撃者がAPIを狙っている理由を以下にまとめました。
オープンアーキテクチャ
オープンアーキテクチャとは仕様を広く公開して開発を促進するための基礎のこと。オープンアーキテクチャ特性は相互連携がスムーズになる一方、仕様が公開されており、API仕様を攻撃者も把握できてしまうためセキュリティリスクを抱えやすい。
複雑多様な仕様
提供事業者ごとに複雑で、多くの仕様があり、API利用側には網羅的にチェックを実施できません。その結果、一部APIの脆弱性が残されたままになる可能性は少なくない。攻撃者はこうしたAPIの多様性やチェックの不備を突いてきます。
サービス間連携
APIはサービス間連携に用いられており、それらのサービスをダウンさせ大きな被害が生じかねません。いわゆるDoS/DDoS攻撃などに狙われた際、ダウン時には関連サービスが軒並み影響を受けます。
このような特性に起因する潜在的な脆弱性が数多く存在します。APIは多くのウェブアプリで活用されており、攻撃でサービス遅延・停止といった大きな被害は枚挙にいとまがありません。
外部環境の変化に伴って仕様変更の可能性も生じ、WAFシグネチャでは効果的に防御できず、こうした理由でAPIは狙われやすくなっていました。
実際のAPI関連インシデントの例
攻撃事例を以下に紹介します。
シングルサインオン用のAPIへの攻撃
2021年大手ソフトウェア会社のウェブアプリケーションが外部からの不正アクセスを受けました。狙われたのはSSO(シングルサインオン)用のAPI。同社提供の関連アプリケーションだけでなく、連携他社アプリケーションも対象になりました。ユーザーアカウントやSSOアクセストークンが外部に流出した可能性が生じましたが、問題は解消され、ログからも不正悪用の形跡がなかったことが判明しました。
SNSへのAPI攻撃
2022年11月大手SNSのAPIにおける脆弱性が悪用され、1700万件以上のユーザーデータが漏洩。このユーザーデータには、メールアドレスや電話番号などの非公開情報も含まれ、これらのユーザーデータはハッカー向け闇サイトで販売されていました。
新型ソリューションWAAP
「Web Application and API Protection」の略でいわゆるWAFの進化版サービス。次世代型ウェブアプリ向けのセキュリティソリューションと言えます。
先述の通りAPIには潜在的な脆弱性があり、それらを攻撃されると連携ウェブアプリにも被害が及びかねません。そのため、APIを含めウェブアプリやウェブサイトを包括的に保護する必要性に迫られています。
WAAPは、先述したWAF機能に加え、APIの脆弱性や不正ボット、高度なDDoS攻撃といった、巧妙化したサイバー攻撃の脅威に包括的な対応可能な機能を持ちます。以下にWAAPの豊富な機能を紹介します。
APIの脆弱性
WAAPはAPIの脆弱性を検出、その脆弱性を狙う攻撃から防御します。WAFがシグネチャで攻撃を検知するのに対して『WAAP』はシグネチャ検知に加え、挙動分析による通常と異なる挙動時にアラートを出します。
不正ボット
数あるボットのうち、不正ボットを識別してブロックする機能を備えています。具体的には、IPアドレス、ユーザーエージェントのブラックリスト、不正アクセスパターンなどからボットのタイプを判別してブロック。
DDoS攻撃
攻撃で大規模なアクセスを発生させ、ウェブアプリやウェブサイトをダウン、あるいはサービス停止を狙います。UDPパケット(速度を重視した通信)を大量に送信する「UDPフラッド攻撃」や、送信元IPアドレスを偽装したリクエスト(SYNパケット)を大量に送信する「SYNフラッド攻撃」が有名です。これらの攻撃からネットワーク帯域やサーバーリソースを保護する機能が標準で搭載されています。
まとめ
複数のウェブアプリでデータを共有・活用できるAPI連携。今後はより一層、API連携によるメリットを享受できるシーンが増えていきます。
その有用性を最大限活かすウェブアプリ・サイト・そしてAPI連携の適切な運用保護が重要なポイントとなります。
WAFから劇的に進化したWAAPを導入、保護レベルの底上げが今後のセキュリティ向上に求められています。
お問い合わせはこちら
費用やスケジュール・サービス詳細に関するご不明点や疑問点などもお気軽にお問合せください。原則翌営業日までにご回答しておりますが、内容によりお時間がかかる場合も…
PlatSupplyConsulting 