Azureへのウェブ攻撃の実態
目次 |
1.PaaS/IaaS市場でのAzureの急伸
AWS・Azure・Googleを始めたとした主要なパブリッククラウドは、常に攻撃者のターゲットである。それらの背景には市場のシェアが関係している。2019年第3四半期での世界のPaaS/IaaS市場は、AWS・Azure・Google・Alibabaの4社で72%を占めており、攻撃者が効率よくターゲットを探し攻撃を仕掛けているのもうなずける。
PaaS/IaaS市場シェア状況の推移 Synergy Reseach Groupのグラフをもとに作成
Synergy Research Groupのレポートを見るとAWSが40%のシェアを取り、変わらずトップであるが横ばいで伸びていない。一方でAzureは順調な伸びを見せており、数年後にはAWSに追いつきそうだ。AWSの伸びが止まっているように見えるが、PaaS/ IaaSの市場自体が急激に伸びている中での現状維持は、いまでも市場を強くけん引しているといってもよい。そういう意味では、Azureが市場の伸びを大幅に上回る速度でキャッチアップしている。実際、機能・使い勝手・コスト・教育・情報量など、企業が利用するための土壌は整っている。
ここでは多くの企業が注目しているAzureに絞って、クラウドへのウェブアプリへの攻撃を可視化していきたい。どこのクラウド事業者でもそうだが、ウェブアプリのセキュリティはクラウドの利用者が対処するべき範囲だ。クラウドを利用しているからといって全部お任せとまではいかない。可視化することでどのような対策が必要かを理解し、クラウドをより安全に使っていただきたいと考える。
ウェブアプリとしては世界で最も使われているCMSであるWordPressをAzureのIaaS環境にセットアップし、どのような攻撃がウェブサイトへやってるくるかしばらく様子をみた。
2.IaaSにWordPressを構築後、わずか8分で攻撃襲来
2020年3月8日午前1時55分にWordPressのセットアップ完了後、コスタリカから同日2時13分に最初の攻撃が襲来した。HTTP1.1のリクエスト(GET/HTTP/1.1)には、HOSTヘッダもなく明らかなプロトコル違反であった。単にインターネット上にあるウェブサイトを探すだけの非常に原始的なクローラーだ。
準備したウェブサイトはDNSに登録済みであったが、ホスト名ではなくIPアドレスでアクセスが来ていた。これは攻撃者はDNSのレコード情報からウェブサイトだと判断してアクセスしてきたのではなく、マイクロソフトが所有するIPアドレス群に対してクローラーで巡回していただけだろう。つまりウェブサイトの所有者の企業規模が小さくとも、検索サイトの順位が低くとも、攻撃のターゲットとなってしまうということだ。その場合の攻撃者の目的は、個人情報や機密情報を盗むことではなく、他へ攻撃するための踏み台とするためだ。攻撃が成功し他のサイトを攻撃してしまった場合には、ウェブサイトを所有する企業のブランドイメージを損なう恐れがある。
3.約5日間で417件の攻撃を観測
2020年3月8日1時55分~3月13日8時50分で、417件の攻撃が観測できた。下図は攻撃元のヒートマップを表している。中国・アメリカからの攻撃が多いことが分かる。攻撃元の傾向は変わることがあるので、一概に特定の国からのアクセスを拒否するというのは難しい。しかしウェブサイトがBtoBサイトで海外向けのコンテンツではない場合には、国別でのアクセス制限を実施することも効果的だろう。
攻撃元のヒートマップ 2020年3月8日 1時55分 ~ 3月13日 8時50分
下図は攻撃カテゴリの統計だ。インジェクション攻撃が多いことが分かる。セキュリティ製品を掻い潜るために難読化されたインジェクション攻撃は、ファイアウォールでも防ぐことができない。Web Application Firewall(WAF)を導入するなど、対策が必要だ。
4.攻撃の具体例
以下の実際の攻撃をもとに解説していく。
|
送信元のIPアドレスから 106.13.235.81 は、中国からのアクセスであることが分かる。そして、このIPアドレスをCleanTalkのサイトを利用してさらに詳しく調べたみた。CleanTalkとは、WordPressなどのCMSへのコメントスパムを防止するためのプラグイン提供およびスパムで使われたIPアドレスを公開している。
106.13.235.81 は、中国Baidu.comのホスティングサービスのIPアドレスだと判明した。そして、このIPアドレスから過去に18のウェブサイトへのスパム行為が報告されていた。詳細は以下のURLを確認願いたい。
スパムとして報告された 106.13.234.210
https://cleantalk.org/blacklists/106.13.234.210
クエリ文字列に含まれるパラメータが、実際の攻撃コードだ。これは2018年12月「ThinkPHPフレームワークの invokeFunctionメソッドの脆弱性」の概念実証エクスプロイトが公開されたことを機に、急増した攻撃だ。リモートから任意のコードを実行できる脆弱性で、多くのサイトが被害にあった。この脆弱性を悪用したマルウェアが他のサイトを攻撃して、踏み台となるボットを増殖していった。
これらのことから 106.13.235.81 のIPアドレスのサイトは、ThinkPHPのフレームワークの脆弱性を攻撃されすでにボットとなり、今回準備したウェブサイトをボットとするために攻撃してきたと推測できる。
そのほか非常に多かった攻撃としては、WordPressを利用していることを把握したうえで管理者アクセスを試みようとしたり、プラグインへの攻撃だった。
まとめ
ウェブサイトに利用しているフレームワークやCMSに脆弱性が発見されれば、世界中から攻撃が始まる。ウェブサイトは常に攻撃されているものとして考えておく必要があるだろう。では、どのように対策を取ればよいのだろうか。
ウェブアプリへの攻撃は、Web Application Firewall(WAF)で防御するのが一般的とされている。しかし、WAFの導入はハードルが高いと思われがちだ。確かに数年前まではそうだったかもしれない。新たにウェブサイトを公開するならパブリッククラウドを利用するのが当たり前となった今では、PaaS/IaaSに適したWAFとしてクラウド型WAFの選択肢もある。導入および運用をすべてお任せできるフルマネージド型で、お手頃価格の月額課金型のクラウドWAF、Barracuda WAF-as-a-Service SMAC Editionがお勧めだ。
関連コラムのご紹介
便利なWordPressに潜む危険性概要日本国内でも多くのウェブサイトで利用されているWord Pressに潜む危険性をスキャンしてみた結果をご紹介・解説します。 |
参考
統計データ 2020年3月16日 6時時点
タイプ | 合計 | 過去1日 | 過去1時間 |
XSSインジェクション | 0 | 0 | 0 |
インジェクション攻撃 |
229 | 29 | 0 |
強制ブラウズ | 128 | 20 | 0 |
プロトコル違反 | 134 | 25 | 0 |
セッション改ざん攻撃 | 0 | 0 | 0 |
XML構造違反 | 0 | 0 | 0 |
SQL攻撃 | 2 | 1 | 0 |
ファイル攻撃 | 0 | 0 | 0 |
認証攻撃 | 0 | 0 | 0 |
DDoS(分散サービス拒否)攻撃 | 3 | 0 | 1 |
制限違反 | 28 | 2 | 0 |
アウトバウンド攻撃 | 73 | 16 | 0 |
JSON違反 | 0 | 0 | 0 |
ボット対策 | 0 | 0 | 0 |
その他の攻撃 | 109 | 6 | 0 |
攻撃の合計 | 706 | 103 | 1 |