Web攻撃とは、データを盗む、サービスを妨害する、ユーザーを欺くなどの悪意ある目的でウェブサイト、ネットワークサービス、またはウェブアプリケーションを対象とした悪質な活動を指します。デジタル時代において、サイバーセキュリティは企業や個人ユーザーが無視できない重要な問題となっています。ウェブ攻撃手法が進化し続ける中で、一般的なウェブ攻撃に対する理解と防御が特に重要になっています。最終的な目標は、ウェブアプリケーションの円滑な運用を維持し、企業やユーザーがネットワークの損害、データの盗難、不正な競争行為を防ぐことです。
一般的なウェブ攻撃手法とは?
ウェブアプリケーションは、攻撃者の目的、対象組織の業務の性質、およびウェブアプリケーションの特定のセキュリティ脆弱性に応じて、さまざまな攻撃タイプや手法に直面する可能性があります。一般的な攻撃タイプには次のようなものがあります:1. DDoS攻撃
分散型サービス拒否(DDoS)は、一般的なサイバー攻撃手法です。その目的は、サーバーにリクエストを過負荷させ、サーバーが遅くなり、最終的には正当なユーザーからのリクエストを処理できなくなることです。DDoS攻撃はさまざまな方法で分類できますが、通常は次の3つのタイプにグループ分けされます:- ボリュメトリック攻撃: ボットネットがリソースに大量の偽のトラフィックを送信します。このタイプの攻撃では、pingフラッド、スプーフィングパケットフラッド、UDPフラッドなどが使用されます。ボリュームベースの攻撃は、ビット毎秒(BPS)で測定されます。
- アプリケーション層攻撃: アプリケーション層攻撃は、HTTP GETやHTTP POSTなどの一般的なリクエストを悪用します。これらの攻撃は、サーバーおよびネットワークリソースに影響を与えるため、他の種類のDDoS攻撃と同じ破壊的効果を得るために、より少ない帯域幅で達成できます。この層での正当なトラフィックと悪意のあるトラフィックを区別することは困難です。アプリケーション層攻撃は、リクエスト毎秒(RPS)で測定されます。
- ネットワーク層攻撃: ネットワーク層攻撃、またはプロトコル攻撃は、ターゲットに大量のパケットを送信します。ネットワーク層攻撃は、オープンなTCP接続を必要とせず、特定のポートをターゲットにしません。ネットワーク層攻撃は、パケット毎秒(PPS)で測定されます。ネットワーク層攻撃の例には以下が含まれます:
- Smurf攻撃:インターネット制御メッセージプロトコル(ICMP)パケットを使用してサーバーをネットワークレベルで洪水させ、IPの脆弱性を悪用しようとします。
- SYNフラッド:サーバーへの接続を開始し、その接続を閉じずに、結果としてサーバーを圧倒します。このタイプの攻撃は、スプーフィングされたIPアドレスを使用して膨大な量のTCPハンドシェイクリクエストを送信します。
2. クロスサイトリクエストフォージェリ(CSRF)
CSRF攻撃は、ウェブサイトがユーザーのブラウザを信頼していることを悪用します。攻撃者は、ログイン中のユーザーにリンクをクリックさせたり、ページを訪問させたりし、ユーザーの知らないうちに別のログイン済みウェブサイトで悪意のあるアクションを実行させることができます。 成功したCSRF攻撃では、攻撃者は被害者のユーザーに意図しない行動をさせます。たとえば、アカウントのメールアドレスを変更したり、パスワードを変更したり、資金の移動を行ったりすることが考えられます。アクションの性質によっては、攻撃者がユーザーのアカウントを完全に制御できる可能性があります。もし侵害されたユーザーがアプリケーション内で特権的な役割を持っている場合、攻撃者はアプリケーションのすべてのデータと機能を完全に制御できるかもしれません。CSRF攻撃が可能であるためには、以下の3つの重要な条件が必要です:- 関連するアクション: 攻撃者が誘導する理由があるアクションがアプリケーション内に存在します。これは、他のユーザーの権限を変更するような特権アクションや、ユーザー固有のデータに関する任意のアクション(たとえば、ユーザーのパスワードを変更すること)かもしれません。
- クッキーに基づくセッション管理: アクションには、1つ以上のHTTPリクエストを発行することが含まれ、アプリケーションはリクエストを行ったユーザーを識別するためにセッションクッキーのみを信頼しています。他のセッションを追跡したり、ユーザーリクエストを検証するためのメカニズムはありません。
- 予測不可能なリクエストパラメータがない: アクションを実行するリクエストには、攻撃者が決定または推測できないパラメータの値が含まれていません。たとえば、ユーザーのパスワードを変更する際、関数が既存のパスワードの値を知っている必要がある場合、攻撃者はそれを利用できません。
POST /email/change HTTP/1.1
Host: vulnerable-website.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 30
Cookie: session=yvthwsztyeQkAPzeQ5gHgTvlyxHfsAfE
email=wiener@normal-user.com
- ユーザーのアカウントのメールアドレスを変更するアクションは、攻撃者にとって興味深いものです。このアクションの後、攻撃者は通常、パスワードのリセットをトリガーし、ユーザーのアカウントを完全に制御できる可能性があります。
- アプリケーションは、どのユーザーがリクエストを発行したかを識別するためにセッションクッキーを使用します。他にセッションを追跡するためのトークンやメカニズムはありません。
- 攻撃者はアクションを実行するために必要なリクエストパラメータの値を簡単に特定できます。
<html>
<body>
<form action="https://vulnerable-website.com/email/change" method="POST">
<input type="hidden" name="email" value="pwned@evil-user.net" />
</form>
<script>
document.forms[0].submit();
</script>
</body>
</html>
- 攻撃者のページが脆弱なウェブサイトへのHTTPリクエストをトリガーします。
- ユーザーが脆弱なウェブサイトにログインしている場合、ブラウザは自動的にセッションクッキーをリクエストに含めます(SameSiteクッキーが使用されていない場合)。
- 脆弱なウェブサイトはリクエストを通常通り処理し、被害者のユーザーによって行われたものとして扱い、メールアドレスを変更します。
3. クロスサイトスクリプティング(XSS)
クロスサイトスクリプティング(XSS)は、攻撃者がユーザーと脆弱なアプリケーション間の相互作用に干渉できるウェブセキュリティの脆弱性です。攻撃者は、異なるウェブサイトを分離するために設計された同一生成元ポリシーを回避することができます。クロスサイトスクリプティングの脆弱性により、攻撃者は被害者のユーザーになりすまし、ユーザーが実行できる任意のアクションを実行し、ユーザーのデータにアクセスできます。被害者のユーザーがアプリケーション内で特権アクセスを持っている場合、攻撃者はアプリケーションのすべての機能とデータを完全に制御できる可能性があります。 クロスサイトスクリプティングは、脆弱なウェブサイトを操作して悪意のあるJavaScriptをユーザーに返すことによって機能します。悪意のあるコードが被害者のブラウザ内で実行されると、攻撃者はそのユーザーとのアプリケーションの相互作用を完全に侵害できます。XSS攻撃には主に3つのタイプがあります: 反射型XSS: 悪意のあるスクリプトが現在のHTTPリクエストから来るものです。 反射型XSSは、最も単純な種類のクロスサイトスクリプティングです。これは、アプリケーションがHTTPリクエスト内のデータを受け取り、そのデータを即座に安全でない方法で応答に含めるときに発生します。 以下は、反射型XSSの脆弱性の簡単な例です:https://insecure-website.com/status?message=All+is+well.
<p>Status: All is well.</p>https://insecure-website.com/status?message=<script>/*+Bad+stuff+here...+*/</script>
<p>Status: <script>/* Bad stuff here... */</script></p><p>Hello, this is my message!</p><p><script>/* Bad stuff here... */</script></p>
var search = document.getElementById('search').value; var results = document.getElementById('results'); results.innerHTML = 'You searched for: ' + search;You searched for: <img src=1 onerror='/* Bad stuff here... */'>4. SQLインジェクション攻撃(SQLI)
SQLインジェクション(SQLi)は、攻撃者がアプリケーションがデータベースに対して行うクエリに干渉できるウェブセキュリティの脆弱性です。これにより、攻撃者は通常は取得できないデータを表示できるようになります。これには、他のユーザーに属するデータや、アプリケーションがアクセスできるその他のデータが含まれる可能性があります。多くの場合、攻撃者はこのデータを変更または削除でき、アプリケーションの内容や動作に永続的な変更を引き起こすことがあります。ある場合には、攻撃者がSQLインジェクション攻撃をエスカレートさせて、基盤となるサーバーやその他のバックエンドインフラストラクチャを危険にさらすことができる場合もあります。また、サービス拒否攻撃を行うことも可能です。 成功したSQLインジェクション攻撃の結果、パスワード、クレジットカード情報、個人ユーザー情報などの機密データに対する不正アクセスが発生する可能性があります。SQLインジェクション攻撃は、多くの著名なデータ漏洩で使用されており、評判の損失や規制上の罰金を引き起こしています。ある場合には、攻撃者が組織のシステムに永続的なバックドアを取得し、長期間にわたって気づかれない状態で侵害が続くことがあります。 基本的なSQLインジェクション: たとえば、アプリケーションのログインフォームが次のSQLクエリを通じてユーザーを検証する場合:SELECT * FROM users WHERE username = '$username' AND password = '$password';
' OR '1'='1
SELECT * FROM users WHERE username = '' OR '1'='1' AND password = '' OR '1'='1';
' OR 1=1 --
' UNION SELECT * FROM users WHERE '1' = '1
' OR SLEEP(10) --
重要なウェブアプリケーション防御戦略とは?
上述のように、ウェブアプリケーションはさまざまな手段やタイプで攻撃を受けています。したがって、防御戦略も多様で変化しています。システムの脆弱性と攻撃手法が継続的にアップグレードされる中で、現代のインターネットの脅威状況は非常に厳しいものとなっています。特定のビジネスニーズに合った「チップ」セキュリティサービスなしでは、企業、団体、または個人が攻撃を受ける可能性があります。- DDoS保護:DDoS保護とは、悪意のあるトラフィックの急増によってサービスが圧倒され、サーバーが過負荷になる状況を指します。リアルタイムのネットワークトラフィック監視に基づき、DDoS攻撃が特定されると、トラフィックが即座に浄化され、フィルタリングされます。DDoS保護は、攻撃プロファイル、行動パターン分析、AIによる認識、その他の保護アルゴリズムに基づいた事前設定された防御戦略も提供し、サーバーが安定して稼働し続けることを可能にします。
- ウェブアプリケーションファイアウォール(WAF):WAFは、ウェブアプリケーションとインターネット間のHTTPトラフィックをフィルタリングおよび監視し、ウェブアプリケーションのセキュリティを保護します。通常、WAFはクロスサイトフォージェリ、クロスサイトスクリプティング(XSS)、ファイルインクルージョン、SQLインジェクションなどのさまざまな攻撃からウェブアプリケーションを保護します。新しい脆弱性は迅速かつ静かに現れるため、WAFはウェブシステムにとって重要です。
- ボット管理:ボット管理は、機械学習やその他の専門的な検出手法を使用して、自動トラフィックと人間のユーザーを区別し、前者がウェブアプリケーションにアクセスするのを防ぎます。
- クライアント側のセキュリティ: 新しいサードパーティのJavaScript依存関係や、ウェブアプリケーションが依存しているサードパーティのコードの変更をチェックし、悪意のあるフロントエンドの脆弱性をより早く捕捉するのを助けます。
- 攻撃面管理: 攻撃面管理ツールを使用して、ウェブページをマッピングし、脆弱性をテストし、潜在的なセキュリティリスクを特定し、これらのリスクの存在を手動で確認します。