【解説】Webセキュリティ
~Webサイトに対する攻撃・脅威を知る~

安心・安全なWebサイトの運営に欠かせない脆弱性対策、WAFによる対策について解説します。

ソフトウェアWAF「SiteGuardシリーズ詳細」

Webサイトの脆弱性を悪用した攻撃には様々なものがありますが、よく知られている攻撃および危険性の高い攻撃を中心に、以下の4つについて説明します。

SQLインジェクション

SQLインジェクション

ウェブアプリケーションの実装の不備を悪用し、アプリケーションが想定しないSQL文を実行させることでデータベースを不正に操作する攻撃です。大規模な情報漏えいにつながる可能性があるなど、攻撃を受けた場合の被害が大きくなる危険性があります。

OSコマンドインジェクション

OSコマンドインジェクション

OSコマンドを呼び出す機能を有しているウェブアプリケーションにおいて、その実装に不備があると外部の第三者によってOSコマンドを実行されてしまい、意図しない不正な命令を許してしまう恐れがあります。このような脆弱性およびそれを悪用した攻撃がOSコマンドインジェクションです。

ディレクトリトラバーサル

ディレクトリトラバーサル

パラメータとしてファイル名を扱うWebアプリケーションの実装に問題があると、意図していないファイルにアクセスされ、外部の第三者に重要な情報が漏えいする恐れがあります。このような脆弱性およびそれを悪用し、ディレクトリパスをさかのぼって、サーバー上のファイルに不正にアクセスするのがディレクトリトラバーサルです。

クロスサイトスクリプティング(XSS)

クロスサイトスクリプティング(XSS)

利用者を脆弱な標的サイトにアクセスするように仕向けることで、ウェブサイトが本来想定していない機能(スクリプト実行など)をブラウザ側で実行させる攻撃のこと、またはその攻撃が可能な脆弱性がクロスサイトスクリプティング(XSS)です。

XSSは、利用者が攻撃者の仕掛けた罠を踏んでしまうことで、攻撃者が用意したサイトとターゲットとなるサイトをまたがり、悪意あるスクリプトが実行されることからクロスサイトスクリプティング(XSS)と呼ばれています。

攻撃者にとっては罠に誘導するという手間があり、その印象からかXSSが軽視されてしまうことがあります。しかし、XSSには、悪意あるスクリプトが直接埋め込まれる持続型や蓄積型と呼ばれるタイプもあります。ショッピングサイトなどの管理者用の画面にXSSが仕掛けられてしまった場合、どうでしょうか?管理者の操作によって、不正プログラムのダウンロードや情報漏えいが生じるなど、たちまちその影響と被害が大きくなります。

【動画】短縮版:管理画面に対するXSS攻撃でクレジットカード情報を盗む手口

徳丸浩がXSSの危険性について動画で解説

このような脆弱性を悪用する攻撃に対し、どのように対策すれば良いのでしょうか?
脆弱性対策の1つの方法として、WAFを導入するという選択肢があります。

WAFによる対策について知る