これからの「新しいWebセキュリティ対策」で絶対に押さえておきたい3つのポイント

新型コロナウィルスの発生以降、オンラインショッピングなどをはじめとするWebサービスの利用が大きく増えています。ニューノーマルな時代に備えて、これまで以上にWebサービスに注力される企業も多いのではないでしょうか。

Webサービスによるビジネス展開の加速は、企業と顧客双方にメリットをもたらします。しかし一方で、攻撃者に対しても、Webサービスを攻撃する価値をもたらしています。

『個人情報漏洩』『不正ログイン』『不正送金』『フィッシングサイト』等のワードはニュースなどでも取り上げられ、広く世間一般に周知されるようになりました。個人情報の漏洩や不正な操作などの問題が発生したかどうかはもちろん、発生した後どういった対処を行ったかも含め、Webサービスや企業の品質を世論は厳しくチェックします。
Webサービスの攻撃被害は、金銭的な被害だけではなく、ビジネス継続性や企業存続にまで影響を及ぼすことを正しく理解する必要があります。

では、顧客情報やビジネスを守るために必要なWebセキュリティとは何でしょうか？

「Web Application Firewall(WAF)やIPS/IDSなどを導入し、サーバサイドを守っていくことがWebセキュリティである」
と考える人が多いのではないかと思います。
もちろんこれは重要なことです。

ですが、顧客情報をなんとしても取得したい攻撃者は、従来のWebセキュリティでは対処できないような攻撃手法を積極的に取り入れてきます。

顧客情報やビジネスを守るためには、

• 最近の攻撃手法や傾向にはどういったものがあるかを知り
• それに対応できる新しいWebセキュリティの在り方を考えていく

必要があるのではないでしょうか？

そこで本記事では、マクニカネットワークスが考える新しいWebセキュリティに対する考え方や、近年の攻撃の動向についてご紹介したいと思います。

従来から一般的に考えられているWebセキュリティでは、サーバサイドを大きく3階層に分けて考えることが基本となっています。

• アプリケーション
• OS／ミドルウェア
• ネットワーク／ハードウェア

提供形態やアプローチに関する変化はありますが、このWebセキュリティに対する考え方はここ数年間変わっていませんでした。しかしながら、私たちは次の観点より、この考え方を改めていく時期に差し掛かっているのではないかと考えています。

例えば近年ECサイトを中心に、悪意のあるスクリプトを配信し、ブラウザで入力される個人情報を攻撃者のサーバへ直接送信することで個人情報を窃取する『Webスキミング』攻撃が、世界中で発生しています。

他にも、フィッシングサイトが乱立し、気づかないうちに不正ログインや不正送金されていたというニュースもよく耳にすると思います。

Webスキミングは、クライアントが不正なスクリプトを実行し、攻撃者のサーバへ個人情報を直接送信することによって攻撃が成立します。

フィッシングは、クライアントがフィッシングドメインへアクセスすることによって攻撃が成立します。

どちらもクライアントと攻撃者との間で成立するものであり、サーバサイドではその攻撃の像を捉えることができません。つまり、サーバサイドを守るという従来のWebセキュリティの考え方では、これらの脅威に対して対応することが困難であると言えます。

図1. Webスキミングとは？

新しい攻撃にのみ注目していればよいかというと、当然そういうわけではありません。従来の攻撃も引き続き猛威を振るっており、その手法は年々洗練化・多様化する傾向にあります。

いくつか例を挙げてみたいと思います。

DDoSと聞くと、ターゲットに対して「長時間」「大規模な負荷」を掛けて攻撃するイメージが強いと思います。この場合、攻撃側と防御側の根競べとなるため、互いの体力の差が勝敗を決める鍵となります。

しかし近年では、安価なDDoS攻撃サービスを利用し、「短時間・反復的」「瞬間的な負荷」を掛けて攻撃するHit & Run型も多く見受けられます。攻撃者は、防御側がDDoSを検知し遮断するまでのタイムラグを狙ってくるため、体力よりも瞬発力の差が勝敗を決める鍵となります。

脅威一つとってみても、攻撃の手法やフェーズによって求められるWebセキュリティは異なります。

図2. DDoS対策フローチャート

従来では、総当たり攻撃のような防御側に気づかれる（気づかれても仕方がない）攻撃が主流でした。そのため、防御側は「1分間に5回ログイン試行があった場合ロックする」といった閾値ベースによる制御が有効であり、今でも様々なログインシステムでこの方法は使われています。

一方で近年では、防御側に気づかれないように工夫された攻撃（スローレート攻撃や分散攻撃）が多く見受けられます。これは、攻撃者はログインロックされる閾値や条件を把握し、それを下回るようにログイン試行を行うといったものです。

これは、従来の閾値ベースによる対策だけではなく、異なるアプローチと組み合わせた形で不正ログイン対策を行う必要があることを意味します。

１つの脅威をとってみても、様々な攻撃手法に対応できる必要がありますし、今既に導入しているセキュリティ手法が今も通用するのかを定期的に確認する必要があります。

• 「気づかれないように工夫された攻撃」に対しては「いかに気づくことができるか？」
• 「気づかれる前提で行われる攻撃」に対しては「いかに即時アクションが取れるか？」

Botと呼ばれる自動化ツールやサービスを悪用した、今までとは少し趣の異なる脅威が近年見受けられます。Botの脅威は多岐にわたりますが、ここでは『スキューイング（Webアクセス分析結果が歪められること）』『買い占め・転売』についてお話します。

Webサービスの展開にあたり、「誰が、いつ、どこのリンクをたどり、どれぐらいページを閲覧したか」や「コンバージョン率」などのWebアクセス分析は、販促活動やビジネス上の決定において重要な指標になりますので、ご利用されている企業は多いと思います。

しかし、BotによるアクセスによりWebアクセス分析結果が歪められるとどうでしょうか。

「大げさな...」と思うかもしれませんが、Imperva社の調査では、Webアクセスの約1/4が悪意のあるBot通信であると言われています*。Webアクセス分析結果の1/4は歪んでいる可能性がある中で、重要なビジネス決定を下すことにはリスクがあるかもしれません。

商品の『買い占め』や『転売』は、コロナ禍において社会問題にまで発展しました。ECサイトで、競争率の高い商品や、高い転売利益の得られる商品を購入するために、Botが使用されるケースが多くあります。

そもそも日本ではBotという言葉に対して聞き馴染みがあまりないかもしれません。ですが、日本のECサイトに特化したBotツールやサービスが多く存在します。決して他人事ではありません。

少し余談ですが...。
BotはソフトウェアやSaaSで提供されますが、一定のライセンスが販売されると、Botの価値を下げないためにSold outとする傾向にあります。Sold outになったBotを入手するために、Botライセンス売買を専門にしたマーケットが存在するのですが、高機能なBotはなかなか入手することができないため、Botを入手するためのBotが売り出されるほどです。 Bot開発者は販売後もそのBotの価値を維持向上させるために改良を続けるため、Bot対処を行うECサイト事業者とのいたちごっことなっています。

本題に戻り、買い占めや転売行為が企業にもたらす主な被害は、企業イメージやブランドイメージの低下です。購入できなかった一般ユーザは、買い占め対策を行わなかった企業を批判し、転売によって吊り上げられた製品に対して嫌悪感を抱きます。

クレーム対応にかかるコスト増加や、Botによる通信過多によるインフラコスト増加など、コストにも被害が波及します。

つまりBotは、従来のネットワークやアプリケーションの領域に対してのみならず、ビジネスへインパクトを与える被害をもたらします。

従来の3階層ではWebセキュリティにはビジネスを積極的に保護する意味合いはありませんでした。Botへの対策は、ビジネスを積極的に保護するという観点で有効な手法であり、現在様々なベンダがBot対策ソリューションに力を入れています。

ビジネスを積極的に守る手段のひとつとしてWebセキュリティを選択することができるようになったと、ポジティブにとらえることもできます。

図3. ビジネスを積極的に守る手段としてのWebセキュリティ

ここまでの内容をまとめますと、新しいWebセキュリティという考え方は、ネガティブな方向にも、ポジティブな方向にも広がっていると言えます。

• クライアントサイドで発生するような、従来のWebセキュリティでは対応できていなかった領域への対応を検討する必要があること
• 洗練化、多様化する従来からの攻撃に対しても、それぞれの攻撃アプローチに適した対応が必要であること
• ビジネスに対する脅威など、従来ではWebセキュリティの領域として考えられてこなかった領域に対して、Webセキュリティとして対応が可能になったということ

図4.これからのWebセキュリティ

ここまでの内容はWebセキュリティの考え方についてのご紹介ですので、実際に落とし込むときにはもう少し細かい検討が必要です。

字数の都合上、詳細については割愛しますが、例えば「１つのWebセキュリティが突破されたとき、次どうするのか」という観点での検討は必須だと考えます。

近年ではセキュリティソリューションをSaaS型で提供するケースが多く、誰でも容易にセキュリティソリューションを購入することができます。これは攻撃者であっても同様であり、攻略したいセキュリティソリューションを購入し、突破するための研究を容易に行えるということでもあります。

また、全てのWebセキュリティが万が一突破されたときのことを視野に入れ、問題の追跡や影響範囲を特定することに特化したソリューションの導入や、ログの自動分析や統合管理なども重要になるかと思います。冒頭でもお話しました通り、事後対応の速さや判断の正確さを世論は気にするからです。

最後に、ここまでWebセキュリティに対する考え方をいくつかご紹介いたしましたが、闇雲にセキュリティ投資をすればいいというわけでもありません。何を守りたいか、何を捨てるか、どういうアプローチで守るかなど、戦略的に投資する必要があります。

本記事に書かせていただきました内容が、少しでも皆様のWebセキュリティ戦略を考えるうえでお役に立てれば幸いです。