ウェブサーバーのセキュリティ対策はどうすればいい？　さくらインターネットらが解説

クラウドの契約によって責任範囲が変化

　さくらインターネット株式会社は「最新のWebサイトに対するセキュリティリスクと対策」と題したセミナーを12月5日に開催した。講演は前半がさくらインターネットの谷口元紀氏（インターネットサービス部）がセキュリティ診断の前提としてウェブサーバーにおけるセキュリティに関して説明を行い、後半はアイティーエム株式会社の久光勝美氏（アプリケーションセキュリティ事業室）が脅威への対策策としてウェブアプリケーション診断を紹介した。

セミナーは会場とオンラインで行われており、参加者は300人超で会場には40人程度が参加していた

　谷口氏はクラウドにおける責任範囲について説明。ウェブホスティングサービスとしてウェブサーバーを借りる場合はOSやミドルウェア（PHPやApache、nginx、MySQL等）も含めて提供するため、ユーザーはその上に載せるWordpress/Movable TypeのようなCMS、自作のPHPアプリ等のコンテンツについて管理責任を負う。一方、さくらのクラウドやVPS、専用サーバーを使用する場合は（仮想）ハードウェアがクラウド事業者の責任範囲で、ユーザーはOS以下の管理責任がある。VPSは比較的安価に提供されるがrootを乗っ取られる可能性があるので注意が必要だろう。

さくらインターネットの谷口元紀氏

クラウドの契約形態によって責任範囲が異なる。ウェブサーバーホスティングサービスはOSやミドルウェアが固定な半面、そこまではクラウド事業社の責任範囲となる

　サーバーが乗っ取られた場合の使われ方として「フィッシング詐欺（メール送信や詐欺サイト）」、「C&C（ボットネットワークの指令役）」、「ランサムウェア」の三つの事例を挙げた。また、第三者の問い合わせページを利用したフォームリフレクション攻撃についても紹介。よくある問い合わせページでは「お問い合わせありがとうございました。質問内容は〇〇です」のような自動返信をおこなうウェブサイトがある。これを悪用し、攻撃対象のメールアドレスとフィッシングのメッセージを問い合わせとして送信することで一種の分散攻撃が行われる。谷口氏は「（このようなフォーム入力に対して）自動返信をしないで欲しい」と語っていた。

サーバーを乗っ取られた場合の被害。顧客情報がない情報提供サイトでもフィッシングサイトやボットのC&C（指令）サーバーとして使われる可能性がある

問い合わせフォームを使ってスパムを送る手法もあるので「お問い合わせを受け付けました」などのメールを送らないで欲しいという

　その上で最低限のセキュリティ対策として「ID管理強化」、「認証強化」、「検出強化」の三つを上げた。脆弱性対策が完璧に行えていたとしても管理者権限が乗っ取られてしまえば意味がない。アカウントが乗っ取られると別のサーバーを借り出すこともでき、ドメインアカウントが乗っ取られるとサーバー管理が万全でも他のIPアドレスに移し替えることもできる。そこでパスワード強度を見直し、現在のセキュリティレベル（12文字以上で大文字小文字特殊記号数字を混ぜる）に変更することや二要素認証2FAの使用を推奨していた。

ウェブホスティングのみでも認証情報を悪用されると被害は大きい。パスワード強度の見直しや二要素認証を使い、サイトにはWAFを入れたほうがよいという

さくらIDだけでも被害は多そうだ。余談だがさくらインターネットはまだFIDOに対応していないというが、利便性と安全性の両立を考えると対応して欲しい

　どこから対策をすればいいかと悩んでいる人に関しては脆弱性診断を行うことを推奨した。

診断事例では2件に1件はWebAPIに問題あり、3件に1件はアクセス制御に不備がある

アイティーエムの久光勝美氏

　続いて久光氏が講演を行った。冒頭、Veraizonのレポートを引用し、データ漏えい・侵害の60％はウェブが関係していると説明。ウェブアプリケーションがサイバー攻撃の玄関口になっていることを紹介した。ウェブアプリケーションは攻撃の難易度が低く目的が達成しやすいことを理由として挙げた。

　また、攻撃の80％が盗まれた認証情報を悪用しており、脆弱性の悪用は10％程度という。盗み出すデータの半分は認証情報であり、個人情報も多い。これらは悪用に使うほかダークウェブ経由での販売をおこなう。盗み出された個人情報の量は、情報漏えいされたかどうかを確認できるウェブサイト「Have I Been Pwned?」のデータによると、736サイトで128億件、実際にはもっと流通していると推測していた。データ漏えいの場合は機密性と完全性に影響を及ぼすが、ランサムウェアはシステムが止まって可用性が棄損するので影響が大きくなるという。

VerizonのDBIR（Data Breach Investigations Report）からの引用。攻撃の容易さからウェブアプリケーションは狙われやすい

メールアドレスを入力するだけで流出履歴があるかどうか調べられる「Have I Been Pwned?」

　また、近年モダンテクノロジーとしてWebAPIがよく利用されているが「事業者に価値のあるものは攻撃者にも価値がある」と説明。実際の診断でも2件に1件はWebAPIの問題が発見されているという。

　利用されるテクノロジーの変化に伴い攻撃手法にも変化が見られており、「OWASP Top10」の2021年のランキングトップ3は「アクセス制御の不備」、「暗号化の失敗」、「インジェクション」となっている（なお、2017年のレポートでは5位、3位、1位の順だった。）。実際の診断でも3件に1件ほどアクセス制御の不備が発見されているという。

　さらに2022年に大手ベンダー（少なくても5社）のWAF（Web Application Firewall）がJSONベースのSQLインジェクション攻撃を検知できない問題も発見されていることを紹介した。

WebAPIは事業者・開発者にとって有用だが、攻撃者にとっても有用で、利用されるテクノロジーの変化に伴いセキュリティリスクの要素も変化がある。（現在は修正されているが）昨年大手ベンダーのWAFを透過する攻撃手法が発見されている

NVD（National Vulnerability Database）の報告数の傾向。2017年以降高リスクの脆弱性が増え続けていたことが分かる

昨年、個人情報保護法が改正され罰金刑が設定されたが久光氏は「海外から見ると金額は低い」とコメント。自工会/部工会のガイドラインに関しては評価していた

最適な脆弱性診断を行うための3つのポイント

　久光氏はウェブサイトのセキュリティ対策に対して、まず原点に戻って説明した。セキュリティとは組織や会社のリスクマネジメントの一部であり、セキュリティ対策はリスクに対して保全や防御を行うことと位置付けた。その上で脆弱性診断とは既知の脆弱性の特定、ランク付けとなる。リスクは将来起こり得る悪い事象が起きる可能性であり、「可能性×影響度」で表せるという。つまり、リスクとなる脆弱性を特定、ランク付けを行い、リスクが顕在化する可能性と顕在化したときの影響度を考慮して保全や防御を行えばよい。

近年「セキュリティは経営上のリスク」と言われているが、実務担当者向けとしてはリスクを把握して対応するということとなる

　ウェブにおける脆弱性は従来、サーバーサイド（ウェブサーバーやAPIゲートウェイ、アプリケーションサーバー）で発生していたが、最近はクライアントサイドでも処理を行うケースがあるので、これも考慮する必要があるという。

従来はサーバーサイドの脆弱性が発生していたが、最近はクライアントでの動作から侵害されるケースがある

　一方で多くの顧客には最適な診断の基準がないことや、顧客と診断会社間のギャップ、そして限られた予算という共通する課題がある。代替案として専門家に相談することを挙げていたが、専門家と顧客の考えのギャップもありなかなか難しいという。

セキュリティ侵害が発生する技術課題もさることながら時間や予算と言った技術的ではない課題も多い

特に「金を生まないウェブサイト」の場合は診断にかける予算も限られており、専門家とサーバー管理者、会社の考えにギャップが生じるのが課題だ

　対策としては事前に脆弱性の診断を行うことになる。久光氏はポイントとして「侵害が発生した場合の影響を考える」、「攻撃の可能性を理解する」、「侵害された場合に生ずる費用を理解する」の3点を挙げた。

　1つ目はデータの機密性と完全性から判断可能で、2つ目はウェブアプリケーションの稼働環境、アーキテクチャ、提供機能とエンドポイントから判断できる。三番目は理解するのが難しいがIPAの「ECサイト構築・運用セキュリティガイドライン」が参考になるという。

最悪のケースを想定するのがリスク管理の基本だ。影響度と攻撃される可能性の高い箇所の特定、そして侵害された場合の追加費用を加味して診断を行う

　攻撃者がウェブサイトに侵入する場合、まずスキャナーやクローラーを使って脆弱性を探索し、既知の脆弱性を特定して攻撃を実行する。脆弱性診断は攻撃前の探査行動を行うことになる。

ウェブアプリケーションは外部に公開されているため、攻撃者はスキャナーやクローラーを利用して脆弱性を探し出す。狙えると分かった時点で実際の攻撃をおこなう。攻撃まで至らないのが脆弱性診断となる

アイティーエムのウェブアプリケーション診断／ツールの特徴

　アイティーエムでは「ツールによるウェブアプリケーション診断」、「手動でのウェブアプリケーション診断」、「手動でのSPA診断」、「Webペネトレーションテスト」の4種類のウェブアプリケーション診断サービスを用意している。

　ツール型診断は手動テストよりも安価だ。ウェブアプリケーション診断のツール型はSaaS型のオンデマンドで利用でき、セッション管理、入出力処理、ロジック流出の主要な診断項目をサポートしている。通常は「年間2回チケットプラン」として1つのURLを2回チェックできるものが21万7800円、1URLに対して一年間回数無制限のプランを33万円で提供しているが、さくらのレンタルサーバー向けの特別プランとして、前者を17万8200円、後者を27万円で提供しているという。

アイティーエムでは、4種類のウェブアプリケーション診断サービスを提供中。今回のセミナーで言及されているウェブアプリケーション診断はツールを使ったものなので一番安価だ

ツールによるウェブアプリケーション診断サービスはSaaS型のオンデマンドサービスで主要な診断項目をサポート。さくらのレンタルサーバー向けの特別料金も設定

　ただし、ツールによる診断は情報提供サイトで顧客管理機能がなく、直接の収益もないウェブサーバーのみの推奨となる。顧客管理のあるウェブサイトや直接収益のあるB2B/B2Cサイト、決済やPHIデータを直接処理するサーバーではレベルに合わせた脆弱性診断が必要となる。

　今回の説明はウェブ脆弱性診断に関した話であったが、盗まれた認証情報に対応するために、アカウント管理や漏えいアカウント調査と多要素認証の導入を推奨した。また、脆弱性の悪用に対応するためには継続的な脆弱性診断とWAF/WAAPの利用、ウェブサイトの改ざん対応として改ざん検知やマルウェア検知の導入を勧めていた。

顧客管理なしの情報提供サイトのみツール診断を推奨し、ECや医療系のサイトの場合は手動診断を必須としている

ウェブアプリケーションだけでなく、谷口氏同様に認証情報の悪用を防ぐ対策や継続的なパッチ、バージョンアップを含む脆弱性管理、WAF/WAAPの利用とサイト改ざん検知を推奨していた

　最後に両者による質疑応答があり、「WordPress以外でもWAFは有効か？」という質問には、「WAFを使うのは有効だが、WAFの定義外の攻撃には無効なので脆弱性診断をしてからの防御として使って欲しい」と回答した。また、「ウェブアプリケーションが入口という説明だったが、どこが狙われる？」という質問に対しては「犯罪者もコスパを考えているので、まず決済系が狙われる。（ダークウェブで売買して初めて収益となる）個人情報は即ターゲットにはならない」と回答した。一方で「ポイントも換金できるルートがあると突然攻撃される」と状況が変わると攻撃対象になることを示唆していた。