昨今、システムに対する不正アクセス被害が多く見受けられます。
今回は、一般的なセキュリティ対策であるWebアプリケーションファイアウォール(WAF)を導入していたにもかかわらず、不正アクセス被害を受けてしまい大規模な個人情報漏えいへとつながった事例をもとに、セキュリティ対策としてのWAFは導入だけではなく、運用面も見直す必要性あるという点ついてお伝えします。
WAF導入後に起きた個人情報流出被害
米金融大手のCapital One社は、自社のシステムに不正アクセスを受け、クレジットカードへの申し込みを行った消費者の氏名、郵便番号と住所、メールアドレス、生年月日、銀行口座番号、さらには残高や支払い履歴といった重要な個人情報の流出被害に合ってしまい、これによりアメリカ、カナダ合わせて1億人以上の消費者へ影響が及びました。
CapitalOne社では、利用するシステム上にオープンソースのWAFである、Apache ModSecurityをセキュリティ対策として導入していましたが、導入していたWAFの設定ミスとSSRFという脆弱性を突くサイバー攻撃によって不正アクセスを受けてしまいました。
不正アクセス被害を低減するために
この度ご紹介した事例では、WAFの設定ミスを突かれてしまったことが不正アクセスを受けた原因の一つになりますが、セキュリティ対策としてWAFを導入しても、ルールが正しく設定されていなければサイバー攻撃からの被害を低減することはできません。
AWSでのWebサービス運用に必須?Web Application Firewall(WAF)とは?
また、セキュリティ対策としてApache ModSecurityが利用されていましたが、本事例での不正アクセス発生時に、Apache ModSecurityにおいてSSRFの脆弱性に対する攻撃を防ぐルール自体が含まれていませんでした。
現状SSRF攻撃はAWS側EC2の設定で被害を低減させることはできますが、脆弱性やサイバー攻撃の手法は日々新たに生まれてくるため、根本的な対策が必要となります。
本事例から見えてくるWAF導入後の課題としては、以下四点を自社でカバーできることが理想的な運用となります。
1.最適なルール作成と適用
2.適用したルールが期待効果を得られているかどうか
3.誤検知を起こして正常な通信へ影響を及ぼしていないかどうか
4.新たな脆弱性に対して対応できているかどうか
しかしながら、24時間365日眠らないサイバー脅威に対し、常時新規脆弱性とその対策方法をリサーチし、誤検知を起こすことなく最適なルール作成と適用といったフローを自社内で継続していくことは簡単ではありません。
専門家による運用課題解決ソリューション
NHNテコラスでは、このようなWAF運用に対する課題に対し「AWS WAFの運用自動化」や、本事例のようにAWS WAFを利用していない環境でも使用できる「WAF + DDoS対策自動化」といった各種セキュリティソリューションをご紹介しております。WAFの運用課題に対する対策をお探しの際には、是非ともNHNテコラスまでお気軽にお問い合わせください。
AWSのセキュリティ対策にオススメ!
コストパフォーマンスよく実現する方法
・with コロナ期における企業システムの直近の脅威について
・NHNテコラスで推奨しているセキュリティ対策
・中小企業のお客様におすすめできるサービス