5つのフェーズについての理解 と悪用に対抗する

WHITE PAPER
WEBアプリケーションの悪用:
5つのフェーズについての理解
と悪用に対抗するレスポンス
WebApp Secureは攻撃前に先手を打ち、
リアルタイムで悪用の検知と対抗するレスポンスを実現
Copyright © 2014, Juniper Networks, Inc.
WHITE PAPER - Webアプリケーションの悪用:5つのフェーズについての理解と悪用に対抗するレスポンス
目次
エグゼクティブサマリー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Webアプリケーションの悪用についての分析 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
フェーズ1̶スパイ活動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4
フェーズ2̶攻撃ベクトルの確立. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4
フェーズ3̶実装. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
フェーズ4̶自動化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
フェーズ5̶保守 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
悪用に対抗するレスポンス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
新しいアプローチによる防御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6
インシデントトリガーによる早期検知. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6
悪意に対抗するレスポンス. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6
スマートプロファイル. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
まとめ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
ジュニパーネットワークスについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2
Copyright © 2014, Juniper Networks, Inc.
WHITE PAPER - Webアプリケーションの悪用:5つのフェーズについての理解と悪用に対抗するレスポンス
エグゼクティブサマリー
Webアプリケーションの悪用は珍しいことではありませんが、多くの事例で、管理者による対応は後手に回っています。攻撃者はさまざまな
Webアプリケーションを駆使して、保護する必要がある重要データに対して自由自在にアクセスしています。攻撃者の手口が巧妙になると
ともに、攻撃による影響はさらに深刻さを増しています。同時に、
シグネチャベースの検知方式に依存してWeb攻撃を阻止する従来のアプ
ローチは、
ますます効果が低下しています。
攻撃を検知できなければ当然、防御策を講じることもできません。そして、Webアプリケーションの悪用に対抗するための現在のアプロー
チでは、攻撃の初期段階を十分に可視化できません。一般に、今日の高度な攻撃は、複数の暗黙的なフェーズを経て仕掛けられています。
組織を保護するためにも、
このような攻撃の特性について、管理者ははっきりと理解しておく必要があります。そうすることで、攻撃を妨害し
て阻止することが可能になります。
ジュニパーネットワークスWebApp Secureテクノロジーは、悪用の検知および対抗するレスポンスのポリシーをHTML/HTTPストリーム
に適用するという革新的なアプローチです。
このハイパフォーマンスなテクノロジーにより、
フォールス・ポジティブを伴わずに、管理者は悪
用の活動を検知できるようになります。さらに、悪意のあるユーザーを洗い出し、従来は検知できなかった攻撃を暴露して、
アプリケーショ
ンに対する新しい/既知の攻撃ベクトルを明らかにします。同時に、WebApp Secureはディセプション(欺瞞情報)
と難読化手法に基づく
レイヤーをアプリケーションの周囲に作成して、イントロスペクションやマッピングを極めて困難にすることで、悪意のあるユーザーを阻害
します。
はじめに
Webアプリケーションがビジネスで中心的な役割を果たしている場合、その悪用からの保護は特に重要です。注目を集めるWebアプリ
ケーションが悪用されれば、重要データに正面からアクセスされることもあり得ます。高い技術スキルを持つ攻撃者のグループであれば、
データへのアクセスに成功する確率も高まります。そうなれば、
コンプライアンス違反から、不正行為、競争優位の喪失に至るまで、悲惨な
結果がもたらされる可能性があります。
ここでは、いくつかの例を紹介します。
• 銀行口座の不正使用:攻撃者がフィッシング詐欺を仕掛けて顧客の口座を乗っ取り、不正な電子決済を行います。
• 電子商取引の詐欺:攻撃者が不正な取引を行ったり、
クレジットカード情報を盗み出したりします。
この結果、
ブランドの信頼性が損なわ
れて、PCI DSS(Payment Card Industry Data Security Standard)へのコンプライアンスの低下を招くことになります。
• データスクレイピング:競合会社のサイトやサービス(小売価格の設定や旅行の予約など)に有利に働くよう、金で雇われたハッキング
チームが無許可の自動化ツールでビジネスデータを要求する方法を編み出しています。
攻撃者の組織的な活動が洗練されるとともに、
このような一連の問題もさらに深刻
さを増しています。アンチウィルスと同様のシグネチャベースの検知方式に依存して
Web攻撃を阻止するという従来のアプローチは、ますます効果が低下しています。
Web攻撃を阻止する従来のアプロー
これは、2つの要因の相乗効果による結果であると考えられます。最初の要因として、
チは、アンチウィルスと同様のシグネ
Webアプリケーションはパブリックに公開されており、外部環境から簡単にイントロス
チャベースの侵入検知だけに依存し
ペクションを実行できることが挙げられます。攻撃者は時間をかけてコードの内容を分
ていました。ただし、
このアプローチが
析し、
どのような防御策が講じられているのか把握した上で、攻撃手段にすばやく手を
効果を発揮するのは既知の攻撃だけ
加えることで、
プロファイリングを回避できるようになります。2番目の要因として、Web
攻撃に関与する犯罪コミュニティが進化して独自のマーケットを形成し、ボットの作
に限られ、未知の攻撃には効果的で
成・管理用に高度な製品レベルの「指令・制御(コマンドアンドコントロール)」型のス
はありません。
イートを実現するに至ったことが挙げられます。
このボットの実体は、インターネット上
でセキュリティ侵害された一群のコンピュータであり、攻撃手段の配布、改変、難読化
といった目的に悪用されています。
このようなスイートは、すぐに使用できる改造自由な攻撃キットとしてオンラインで販売されています。
こ
のような攻撃キットのマーケットは極めて競争が激しく、マーケットのニーズに応えて常に新しい機能や技術の開発が進められています。
シグネチャベースの保護では不十分
ターゲットを狙い定めた高度な脅威を妨害して阻止するには、
このような脅威の特性について、はっきりと理解しておく必要があります。本
書では、高度な攻撃者によるWebアプリケーションの悪用方法とともに、WebApp Secureによる対抗策について説明します。
Webアプリケーションの悪用についての分析
Webアプリケーションによる攻撃の特性について、多くの管理者が誤解しており、攻撃のリスクが過小評価されるという結果を招いていま
す。
アプリケーション関連のデータブリーチは通常、
「1回限りの出来事であり、他の誰かの不運についてのショッキングなニュース」の1つと
して認識され、業界関連の報道で簡単に取り上げられた後は、次第に忘れ去られていきます。実際には、長期間にわたってアプリケーショ
ンの悪用が続いた結果、管理者が実態を把握しないまま、データが盗み出されています。低レベルの悪用に関与しているユーザーセッショ
ンを洗い出して明らかにする手段がなく、管理者は被害が生じるまで、ただ待っている状況です。現実に被害が生じてからの対応は、
アプリ
ケーションコードに防御的な変更を加えて、
できるだけ速やかに再リリースすることだけです。
実際のところ、
アプリケーションの悪用は珍しいことではなく、ただ把握が困難であるというわけです。
アプリケーションに攻撃を仕掛ける場
合、高度な攻撃者は自らの足跡に特に注意しています。攻撃を実施する際に、攻撃者は各フェーズで自身の身元を明かさないようにしなが
ら最大限の効果を得ようとしています。管理者はこの一連のフェーズについて理解した上で、悪用を効果的に識別して対応する必要があり
ます。
Copyright © 2014, Juniper Networks, Inc.
3
WHITE PAPER - Webアプリケーションの悪用:5つのフェーズについての理解と悪用に対抗するレスポンス
管理者は悪用に
気付いていない
実際には、長期間にわたってアプ
リケーションの悪用が可能な状
況で、管理者が実態を把握しな
いまま、データが盗み出されてい
ます。
フェーズ1̶スパイ活動
最初のフェーズは、スパイ活動です。攻撃者は可能な限り多くの情報を収集してから、脆弱
性を含む可能性があるアプリケーションの領域を特定します。具体的には、
ブラウザとWeb
サーバー間のトラフィックを監視するWebデバッグプロキシなどのツールを使用して、不連
続に活動を実施します。
さらに、通常のユーザーを装いながら、サイトをスキャンして、
アプリ
ケーションの仕組みについての有用な情報を収集します。サーバーでの処理に関する限り、
正規ユーザーのトラフィックとして扱われるので、
この活動は検知されることなく進められま
す。
この時点で、攻撃者はターゲットのサーバーと直接やり取りすることをやめます。その後は、
デバッグプロキシによって収集したデータをかなりの時間をかけて分析し、環境についての
有用な情報を抽出します。
この情報の例としては、ネットワークアーキテクチャ内のハードウェアやソフトウェアのタイプ、
プログラミング言
語、
ライブラリ、
ソースコード、
コメントなどが挙げられます。
この情報を参考にして、以降の攻撃のフェーズが実施されます。
フェーズ2̶攻撃ベクトルの確立
2番目のフェーズは、攻撃ベクトルの確立です。攻撃者がアプリケーションの設計と攻撃対象の範囲を把握した時点で、
このフェーズが開始
されます。
このフェーズまでは、サーバーとのやり取りは比較的無害であり、検知されることはありませんでした。ただし、
このフェーズでは、
事態が変化します。その理由として、多くの場合、攻撃者が匿名プロキシを使用してサーバーとのやり取りを始めることが挙げられます。
これ
に伴い、
ブラウザのプライバシコントロール、
ファイアウォール、
アンチウィルス、仮想マシンなど、その他の対策も利用している可能性があ
ります。攻撃者が自分のトラフィックが追跡の対象外になったことを確信した時点で、実際の活動に着手できる状況になっています。
準備を整えて、デバッグプロキシを稼働させた状態で、攻撃者は動的なページ、特にフォームやクエリ入力を受け入れるページを探し始め
ます。さらに、さまざまな入力パラメータを特定して、その境界値を導き出そうと試みます。考え方としては、境界値をアプリケーションに送
りつけて、予期しないレスポンスをサーバーで引き起こそうという試みです。たとえば、攻撃者がクエリパラメータの値を"txt"から"xml"に
変更して、情報として有用なXMLデータをサーバーから送信させるような事例が考えられます。
攻撃者は、検知できたあらゆる動的なページで、
この活動を繰り返し実行します。攻撃者はこの活動を終えた時点で、サーバーで適切に検
証される全パラメータのリストを入手していることになります。さらに重要なポイントとして、
「計算エラーが生じる」、
「致命的なエラーを
引き起こす」、あるいは「エンコードやクレンジング(最適化)が行われずに、そのままレスポンスに挿入される」
といった脆弱性を含むパラ
メータも判明しています。攻撃者は境界値に手を加えて、既知の攻撃シグネチャと一致しないようにします。その結果、ほとんどの場合、サー
バー管理者による監視は無効になります。多くのアプリケーションはエラーを追跡し、エラーの原因となったクライアントのアドレスを記録
するので、攻撃者は匿名を維持する必要があります。
この場合、管理者が活動に気が付くのは、後からセキュリティツールでログを調査した
時点になります。ただし、
この時点では通常、攻撃者は次のフェーズへの移行を終えています。
攻撃者は防御策を出し抜く
有効な攻撃ベクトルがシグネチャ
によってブロックされたとしても、
攻撃者は入力値を改変してマッチ
攻撃者が脆弱性を含む入力値を数多く入手できた場合、次のステップでは、それぞれの
入力値のテストを開始して、攻撃ベクトルの確立が可能かどうか判断します。たとえば、攻
撃者がログインフォームで"myusername"の値を送信して、SQLエラーを受信した場
合、高い確率でSQLインジェクションに脆弱性があると考えられます。攻撃者は具体的な
エラー結果を得るため、
さらに複雑な構造のSQL構文を送りつけます。
この時点で、攻撃シグネチャ検知ソフトウェア(たとえば、Webアプリケーションファイア
ウォール)が脅威を検知する確率は高くなります。ただし、サーバーの観点から見ると、攻
撃の接続はどこか他の場所からのものであると認識されるので、攻撃者は実際に検知さ
れることを気に留めていません。攻撃者の目的は、検知を防ぐことでも、
ブロックを防ぐことでもなく、検知またはブロックされる対象を明確
に把握することです。攻撃者のIPアドレスが完全にブロックされた場合でも、新しいプロキシを利用できます。
どのような環境でも構文の脆
弱性は存在するので、可能なあらゆる攻撃ベクトルとその変種を予測することはほぼ不可能です。攻撃シグネチャライブラリがあらゆる攻
撃を網羅することはあり得ません。有効な攻撃ベクトルがシグネチャによってブロックされたとしても、攻撃者は入力値を改変してマッチン
グを回避するだけで済みます。
シグネチャマッチングツールを使用しても、簡単に回避できる入力値の検証方式がさらに増えるだけという
ことになります。
ングを回避するだけで済みます。
4
Copyright © 2014, Juniper Networks, Inc.
WHITE PAPER - Webアプリケーションの悪用:5つのフェーズについての理解と悪用に対抗するレスポンス
フェーズ3̶実装
3番目のフェーズは、実装です。
このフェーズが開始されるのは、攻撃者が脆弱性とその関連する攻撃ベクトルを特定した時点です。
この
フェーズから、実際に被害が生じます。被害の範囲は、悪用される脆弱性のタイプによって左右されます。
以下に例を示します。
• 攻撃者によるデータベース内の機密情報の検索、既存の情報の削除、新しい不正情報の挿入など。
• 攻撃者がXSSの脆弱性やパラメータの返り値を利用して、悪意のあるコードをアプリケーションに埋め込む行為。
• 攻撃者が脆弱性を利用して詐欺行為に信ぴょう性を与えるという複雑な設計のフィッシング詐欺。
ほとんどの被害は、
この時点で生じています。
フェーズ4̶自動化
4番目のフェーズは、自動化です。入力パラメータの悪用といった攻撃は、多くの場合、単一の要求ベクトルです。つまり、単一のHTTP要求
で被害が発生するということです。ただし、攻撃ベクトルを実行するたびに、
メリットがもたらされる場合もあります。一般に、攻撃ベクトル
が攻撃者に収益をもたらす場合、次のステップでは、その攻撃の自動化を進めることになります。
自動化によって、攻撃者は攻撃ベクトルを
何度も繰り返して実行することで、金銭的な利益を何倍にも増やすことが可能になります。
攻撃者は成功した攻撃を自動化
する
攻撃ベクトルが攻撃者に収益をも
たらす場合、次のステップでは、そ
の攻撃の自動化を進めることにな
ります。
自動化した攻撃を実行するため、検知されていない状態を維持する必要があるので、攻
撃者は一般に、遠隔操作型のボットとして攻撃をコーディングします。ボットを使用するこ
とで、攻撃者は地理的に分散した複数のコンピュータに自動化のロジックを配布できま
す。さらに、ボットを配布することで、検知されるリスクをまったく負わずに、メリットを受
けられます。攻撃を特定した場合でも、IPベースのブロックでは十分な対策にならないの
で、
この戦術を採用されると、管理者にとって深刻な問題になります。具体的には、攻撃者
は多くの場合、既成の「指令・制御(コマンドアンドコントロール)
」型のキットを利用するこ
とで、一群のボットを迅速に立ち上げて指示を下すことが可能になります。
フェーズ5̶保守
最後のフェーズは、保守です。最終的に、攻撃は完了しました。攻撃者は自分の経験やスキルが許す限りデータを抽出して、自動化したボッ
トでエラーが発生しなければ、他のプロジェクトの作業を進められます。攻撃ベクトルの基本的な脆弱性にパッチが適用されるか、修正さ
れるのは、
この時点です。攻撃者が注意深ければ、ボットが適切に機能する上で不可欠なアプリケーションの機能領域に焦点を当てて、
この
処理全体を最初からやり直すことができます。攻撃者は新しいパッチの回避策を見つけて、
まったく新しい攻撃ベクトルを作成するか、
まっ
たく別のターゲットに移行します。
悪用に対抗するレスポンス
IT管理者は主にWebアプリケーションの悪用を発生時点では検知できないことから、Webアプリケーションの悪用に対抗するレスポンス
を要求されています。
スパイ活動の大部分は侵入検知システムに対して偽装されており、一般ユーザーのさまざまな行動パターンに隠れて
います。管理者はシグネチャベースのファイアウォールを導入して、実装フェーズの実際の攻撃をブロックできます。ただし、高度な攻撃者
は自らのアプローチに手を加えて既知の攻撃パターンを回避することで、
コンテンツファイアウォールを簡単にすり抜けられます。
フォール
ス・ポジティブの懸念により、
ファイアウォールフィルタが厳密に適用されている事例はまれであることも、攻撃者を助長しています。
利用可能な別のアプローチとして、
「ホワイトリスト」ルールの実装が挙げられます。
このアプローチでは、ネットワークファイアウォールで
ポート経由の不要な通信をすべてブロックする場合と同様に、あらゆるアプリケーションの入力を厳しく制限して、攻撃を排除します。ただ
し、Webアプリケーションの問題は複雑です。特に、開発チームが他のプロジェクトに移行している場合や、
アプリケーションの仕組みをわ
かりやすく説明できる人材がいない場合には、
このようなルールを適切に機能させるためだけに、時間やリソースを投入することは困難で
す。
攻撃者の検知は困難
スパイ活動の大部分は侵入検知
システムに対して偽装されており、
一般ユーザーのさまざまな行動パ
ターンに隠れています。
結局は、十分に考慮して入力検証やエンコードを実装するか、アプリケーションロジック
を変更して自動化による攻撃を阻止するという方向性で、
アプリケーションコード自体を
修正することが最適なアプローチになります。ただし、
アプリケーションコードへのパッチ
適用には時間がかかり、開発チームを着手中の作業から引き離すことになります。
さらに、
プロジェクトがアウトソーシングされていたり、
アプリケーションの開発主体がサードパー
ティのベンダーからオフショアに移行したりしているので、多くの事例では、アプリケー
ションコードそのものが入手できません。
一般に、管理者が攻撃に気付くのは、
トラフィックの異常、通常とは異なる時間帯で特異な
地域からのトラフィックの急増、説明のつかない事業損失といった形で攻撃の兆候や影
響が現れてからです。
この時点では、攻撃はすでに侵入に成功しています。管理者はIPア
ドレスのブロックやアカウントの無効化といった対策を講じるため、何週間も徹夜での対
応を余儀なくされますが、結局は有効な対応を実現できません。ITチームのメンバーは
手探りの状態で時間やリソースを費やして、可能な限り攻撃に対抗しようと試みます。ただし、ビジネスにはすでに被害が生じています。さ
らに悪いことに、多くの場合、
自動化による攻撃のトラフィックによって、追加のインフラストラクチャやトランザクション処理に伴うコストを
負担することになります。企業は攻撃を受けるだけに留まらず、その代償も支払う必要があるという現状を認識しています。
Copyright © 2014, Juniper Networks, Inc.
5
WHITE PAPER - Webアプリケーションの悪用:5つのフェーズについての理解と悪用に対抗するレスポンス
新しいアプローチによる防御
WebApp Secure
WebApp Secureは、
レガシーな
W e bアプリケーション向 けに 悪
用 の 検 知とレス ポンスを 実 現 す
るソリューションです。WebApp
Secureを導入することで、
フォール
ス・ポジティブを伴わずに、管理者
が悪用の活動を検知できるように
なります。
Web経由の攻撃に効果的に対抗する鍵として挙げられるのは、早期の検知とレスポンス
です。具体的には、
スパイ活動フェーズの間に悪用を特定して、犯罪者による攻撃ベクトル
の確立を阻止するためのポリシーを適用します。WebApp SecureはレガシーなWebア
プリケーション向けに悪用の検知とレスポンスを実現するソリューションであり、
このよう
なアプローチを採用しています。
WebApp Secure(MWS1000アプライアンス)はハイパフォーマンスな高可用性Web
プロキシサーバーであり、悪用の検知とレスポンスのポリシーをHTML/HTTPストリー
ムに適用します。ポリシーは、インシデントトリガー、
スマートプロファイル、悪用に対抗す
るレスポンスという3つの主要なコンポーネントで構成されています。
インシデントトリガーによる早期検知
攻撃の試行を待つことになるシグネチャベースのソリューションとは異なり、WebApp
Secureは稼働中のWebアプリケーションコードに特定の悪用検知ポイントを追加しま
す。
この検知ポイントの多くは、偽のパラメータ、関数、入力値、設定ファイルなど、
コードレベルのハニーポットであり、エンドユーザーや攻
撃者には、
アプリケーション自体の一部として認識されます。攻撃者がアプリケーションのスパイ活動中に、
このような検知ポイントに接触
した時点で、WebApp Secureは管理者にリアルタイムで警告します。検知ポイントのオブジェクトはアプリケーションのコードベースの一
部ではないので、通常の操作では呼び出されることはありません。WebApp Secureを使用することで、以下のように、
さまざまなメリット
がもたらされます。
• フォールス・ポジティブを伴わずに、管理者が悪用の活動を検知できるようになります。
• 悪意のあるユーザーを洗い出すことで、従来は識別できなかった攻撃を暴露して、
アプリケーションに対する新しい/既知の攻撃ベクト
ルを明らかにします。
• ディセプション(欺瞞情報)
と難読化手法に基づくレイヤーをアプリケーションの周囲に作成して、イントロスペクションやマッピングを極
めて困難にすることで、悪意のあるユーザーを阻害します。
攻撃の分析 - 攻撃の早期特定
フェーズ1
スパイ活動
フェーズ2
攻撃ベクトルの確立
フェーズ3
実装
フェーズ4
自動化
フェーズ5
保守
悪用の検知
WebApp
Secure
情報収集によるスマートプロファイルの作成
悪用に対抗するレスポンス
Webアプリケーションファイアウォール(PCI)
攻撃の期間
「攻撃の5つのフェーズ」が示すように、WebApp Secureは
従来のWAF(Web Application Firewall)
セキュリティ手法よりも早期に攻撃者を識別
悪意に対抗するレスポンス
WebApp Secureを使用することで、管理者は悪意に対抗するレスポンスをポリシーベースでユーザーごとに実装して管理できるようにな
ります。たとえば、
アプリケーションインタフェースでの攻撃者への警告の送信、
アプリケーションコードのダウンロードを試みる攻撃者のブ
ロック、攻撃トラフィックの発信元であるISP(Internet Service Provider)への警告といった対応を管理者が実行できます。
スマートプロファイル
WebApp Secureは既知の悪意のあるユーザーのプロファイルを作成し、該当するプロファイルのあらゆるインシデントを長期間追跡し
て、現時点での脅威の評価として集約します。
また、独自のプロファイル再識別テクノロジーを採用しており、悪意のあるユーザーが匿名プ
ロキシサーバー経由でトラフィックをルーティングしている場合でも、いったん立ち去ってから戻ってきた悪意のあるユーザーを追跡でき
ます。管理者は、個別のプロファイル用にも、共通の特性(特定の地域や脅威レベルなど)を持つプロファイル用にもレスポンスを作成でき
ます。同時に、
プロファイル情報を共有して、
アプリケーションや組織全体に一貫性のあるレスポンスのポリシーを適用できます。
6
Copyright © 2014, Juniper Networks, Inc.
WHITE PAPER - Webアプリケーションの悪用:5つのフェーズについての理解と悪用に対抗するレスポンス
まとめ
Webアプリケーションの悪用に対抗するための現在のアプローチは、攻撃の初期段階を十分に可視化できず、攻撃を検知できなければ当
然、防御策を講じることもできません。管理者がすでに進行中、あるいは侵入に成功している攻撃への対応を強いられる事例が数多くあり
ます。
このような対応には、多大な時間とリソースが必要になり、ビジネスへの被害は避けられません。
リアルタイムで悪用の早期の検知と
レスポンスを実現することで、WebApp Secureは攻撃前に先手を打って対応します。さらに、Webアプリケーションのコードレベルのセ
キュリティポリシーについて、管理者による実装を可能にすることで、ビジネスに対するWeb攻撃が成功する確率は大幅に低下します。
ジュニパーネットワークスについて
ジュニパーネットワークスは、ネットワークイノベーション企業です。デバイスからデータセンター、消費者からクラウド事業者にいたるま
で、ジュニパーネットワークスは、ネットワーキング体験とビジネスを変革するソフトウェア、シリコン、システムを提供しています。ジュニ
パーネットワークスに関する詳細な情報は、以下をご覧ください。
http://www.juniper.net/jp/ 、Twitter 、Facebook
日本
米国本社
アジアパシフィック、
ヨーロッパ、中東、
アフリカ
ジュニパーネットワークス株式会社
Juniper Networks, Inc.
Juniper Networks International B.V.
東京本社
〒163-1445
東京都新宿区西新宿3-20-2
東京オペラシティタワー45F
1194 North Mathilda Ave
Sunnyvale, CA 94089
USA
Boeing Avenue 240
1119 PZ Schiphol-Rijk
Amsterdam, The Netherlands
電話
電話
FAX
電話
FAX
03-5333-7400
03-5333-7401
西日本事務所
〒541-0041
大阪府大阪市中央区北浜1-1-27
グランクリュ大阪北浜
URL http://www.juniper.net/jp/
888-JUNIPER
(888-586-4737)
または 408-745-2000
FAX 408-745-2100
URL
31-0-207-125-700
31-0-207-125-701
http://www.juniper.net
Copyright© 2013, Juniper Networks, Inc. All rights reserved.
Juniper Networks、Junos、QFabric、Juniper Networksロゴは、米国およびその他の国におけるJuniper Networks, Inc.の登録
商標または商標です。
また、その他記載されているすべての商標、サービスマーク、登録商標、登録サービスマークは、各所有者に所
有権があります。
ジュニパーネットワークスは、本資料の記載内容に誤りがあった場合、一切責任を負いません。
ジュニパーネットワ
ークスは、本発行物を予告なく変更、修正、転載、
または改訂する権利を有します。
2000467-001 JP Apr 2014
Copyright © 2014, Juniper Networks, Inc.
7