Akamai Diversity

Akamai Japan ブログ

Apache Struts2脆弱性攻撃のゼロデイ防御に成功!

ウェブに関連する脆弱性公開直後からの「ゼロデイ攻撃」がセキュリティ上の大きな課題となっています。パッチなどの対策が間に合わないサーバーがその標的となります。2017年3月以降のApache Struts2の脆弱性を狙った攻撃で国内のサイトからも大規模な情報漏えいが多発したことは記憶に新しいところです。

これらのゼロデイ攻撃に対し、アカマイの「Client Reputation (以下CR)」が、先日公開されたApache Struts 2の新たな脆弱性(CVE-2018-11776)を狙った攻撃を、本脆弱性の公開前からブロックしていたことが明らかになりました。CRは、アカマイの有する攻撃情報に関するビッグデータをほぼリアルタイムに解析し、ウェブの防御に反映する最先端のしくみです。

CRを含むアカマイWAFのゼロデイ攻撃への対応能力については、Forrester社がまとめた最新のWAFベンダー10社比較調査「Forrester Wave™:Web Application Firewalls, Q2 2018」で最高評点を得るなど高い評価を得ていますが、今回行った分析により、ゼロデイ攻撃に対する有効性が改めて実証されました。その詳細を実際のデータを用いてご説明します。

CRは、Akamai のクラウド型WAF、Kona Site Defender (以下KSD)のオプション機能です。アカマイと契約する世界中のウェブサイトが受けた攻撃に関するビッグデータを常時分析、過去45日間に不審なアクセスを行ったIPに動的にリスクスコアをつけることで、同じ攻撃元IPからの通信を予防的にブロックし、自社のサイトを守ることができます。

まずは、今回CRがとらえた攻撃の時系列のデータをご覧ください。

CR1b.jpg

この脆弱性は8月22日にApacheチームによって公開されました。その後24時間以内にアカマイでは脆弱性攻撃を特定するWAFルールを作成し対応を始めました。ルールにより検知されたある攻撃元IP(上図A)を例にとると、この脆弱性を利用した攻撃が8月24日に試行されていたことが分かりました。

攻撃を行ったこの香港のIPアドレスAは、8月17日に別種の攻撃(PHP injection、RFI: Remote File Incrusion)を、アカマイの顧客に対して行っていました。それらの攻撃をトリガーにして、CRのリスクスコアが最も危険なことを示す「10」まで跳ね上がります。その結果、CR導入済みのお客様は、このスコアを参照し、標準的な設定の状態で、この攻撃元IPからのすべてのウェブアクセスを、リスクの高いIPからの通信として自動でブロックし続けていたことが、スコアの推移から見て取れます。

その後、 8月25日ごろから中国でこの脆弱性を狙った大規模な攻撃キャンペーン「Bleeding Thunder」が開始されたことが報道などで明らかになり、世界中で、1万3千の脆弱性のあるサイトが攻撃有効サイトとしてリストアップされた、と報じられました。この中には日本の企業も含まれているといいます。こうした攻撃側の迅速な動きに先駆けて、CRが先手を打った防御を展開できていたことが一目でお分かり頂けると思います。

これらの事実から、下記の事項が改めて実証されました。

  • ゼロデイ攻撃を行った攻撃者は一定の期間、同じIPを使って他の種類の攻撃や、脆弱性スキャンも実施していた。(約1か月間に今回のStruts2の脆弱性攻撃を含め、57の会社/組織に攻撃を行っていた。)こうした攻撃元は一定の期間、様々な攻撃に使いまわされる傾向がある。
  • CRは、新たに発見される脆弱性の公開以前に、それ以外の攻撃の挙動を検出し防御に活かすことで、(企業のセキュリティ管理者など人の手を煩わせることなく)のゼロデイ攻撃をも自動的にブロックできる。

上記のIPアドレスA以外にも、日本国内の金融業、製造業、運輸、メディアなどのアカマイ顧客に対しての本脆弱性を狙った攻撃を24日以降に観測していますが、これらの攻撃を行ったIPアドレスでも、脆弱性公開前にCRのスコアが10となっていた例が、分析で明らかになっています。

CRをアカマイのWAFと組み合わせて多層防御を構築することで、より強固で包括的なWebアプリケーション攻撃対策を施すことができます。さらにCRバージョン2.0では、お客様が所属する業種(同業種への攻撃キャンペーンに対応)や、お客様への過去の攻撃履歴なども反映し、お客様別にリスクスコアを計算して、バージョン1.0より精度高く、危険な通信を防御できるよう進化しています。

CR2.jpg

アカマイのウェブパフォーマンス、ウェブセキュリティ製品をすでにお使いのお客様には、CRの無償トライアルをご提案できますので、担当営業またはこちらのお問い合わせ窓口まで、ぜひご相談ください。

また、アカマイWAFのゼロデイ攻撃への対応能力については、高く評価した、Forrester社がまとめた最新のWAFベンダー10社比較調査レポート「Forrester Wave™:Web Application Firewalls, Q2 2018」は、下記からダウンロード頂けます。

Forrester Wave™:Web Application Firewalls, Q2 2018 レポートのダウンロード

Leave a comment