CDNetworks、クラウド・セキュリティWAFサービスリニューアル~Naxsiを採用した新しいWAFで検知性能が向上し運用負荷を軽減
CDNetworks、クラウド・セキュリティWAFサービスリニューアル~Naxsiを採用した新しいWAFで検知性能が向上し運用負荷を軽減

グローバルCDNサービスプロバイダの株式会社シーディーネットワークス・ジャパン(東京都新宿区、以下CDNetworks)は、既存のCDNプラットフォームに組み込まれたクラウド型Webセキュリティサービスであるウェブ・アプリケーション・ファイアウォール(WAF)について、サービス名称も新たに全面リニューアルされたワンランク上のアップグレードサービスの提供を開始したことを発表いたします。 下記にアップグレードされたサービスと機能について説明します。 1.対象サービス クラウド・セキュリティ「アプリケーション・シールド」 (旧:ウェブ・アプリケーション・ファイアウォール/WAF) https://www.cdnetworks.co.jp/cloud-security/application-shield/ 2.サービスアップグレード概要  (1) WAF機能に加えてDDoS防御機能を標準装備  ・DDoS防御機能は、リアルタイムに攻撃を検知/防御する常時ブロック型に  ・WAF機能は誤検知の少ないNaxsiベースのシグネチャを採用、運用が容易に  ・Bot防御対策は、JavaScriptチャレンジ、ヒューマンインタラクション、デバイスフィンガープリントなど、様々な機能により脆弱性を突いた攻撃に対応 *オプション  (2)セキュリティ診断サービスおよびログの提供 *オプション  (3)CDNプラットフォームに完全統合されたセキュリティサービス  ・CDNプラットフォーム上のエッジサーバやリレーサーバ(中継サーバ)上でサービスが稼働  ・別POPへの切り替えや、専用POPを経由しないためパフォーマンスが改善  (4)CDNサービスと共通のカスタマーポータルを提供、管理上の利便性が向上  (5)完全自社開発、自社サポート  ・CDNやDDoS、WAF、Botなど、すべてのサービスを完全自社開発・自社サポート  ・機能アップデートや修正も迅速に対応可能、より高いレベルのサポートを提供 3.提供条件:CDNetworksのクラウド・セキュリティサービスを新規に利用されるすべてのお客さま 4.提供開始日:サービス提供開始済み 本件については、営業担当またはWebサイトよりお問い合わせください。 *電話での問い合わせ:03-5909-3373(営業部) *Webサイトからの問い合わせ:https://www.cdnetworks.co.jp/contact/ =========================================================== LIVEオンラインセミナー開催のお知らせ 「コロナ禍 新しいビジネス様式でのセキュリティ対策とは」 ■開催日程:2020年6月9日(火)15:00-16:00 ■お申し込み:https://pr.cdnetworks.co.jp/event-webinar-security/ =========================================================== CDNetworksは、引き続きグローバル規模のセキュリティ脅威に対抗しつつ、2020年度も引き続き新種を含むさまざまなサイバー攻撃に耐えうるクラウド・セキュリティ・プラットフォームの構築とサービスをお客さまに提供して参ります。 以上 About CDNetworks CDNetworksは、通信パフォーマンス改善の専門家として、世界6大陸に広がる自社配信プラットフォームにおいて、スピード、信頼性、そして安全性の面で最高のパフォーマンスを発揮しながら、企業に向けたネットワーク・インフラと地域ごとの専門知識の提供をサポートしています。CDNetworksは、独自開発の優れた配信技術と配信プラットフォームを活用した大規模なサービス力で国内外のWeb高速化、動画/ライブの高速化、VPNなど企業WANの高速化といったパフォーマンスの改善を軸にクラウド・セキュリティやエッジ・コンピューティングといったネットワーク関連事業の分野にも進出し、特にアジアにおける市場をリードしています。2000年に設立されたCDNetworksは、日本・韓国・中国・シンガポール・インド・イギリス、カナダ、そしてアメリカにオフィスを構えています。 詳細については、https://www.cdnetworks.co.jpをご覧ください。 [本件に関するお問い合わせ先] 株式会社シーディーネットワークス・ジャパン マーケティング担当 増山慈子 TEL: 03-5909-3373 Mail: marketing@cdnetworks.co.jp

週刊BCN主催 全国キャラバン2019 in 東京 講演ダイジェスト【その2】
週刊BCN主催 全国キャラバン2019 in 東京 講演ダイジェスト【その2】

本記事は、2019年3月20日に開催された「週刊BCN全国キャラバン2019」の開催レポート、第2回目の記事になります。 ☞講演資料のダウンロードはこちらよりどうぞ >>ダウンロードフォーム 第1回 ≫ こちら 第2回 (本記事) ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー CDNetworksのパートナープログラムに興味はありませんか? CDNetworksでは、WEB高速化対策のCDN(コンテンツ・デリバリ・ネットワーク)を主軸に、クラウド・セキュリティ、クラウドコンピューティング、データセンターなど、ネットワーク・インフラに関する全般的なサービスを提供しております。 今後、私たちのビジネスにご協力をいただけるパートナー様を広く募集しております。是非お問い合わせ・ご相談ください。 >>お問い合わせフォーム ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー 前回の記事では、いよいよ来年に開催が迫った東京オリンピックに備えたセキュリティ対策について、過去事例から想定される攻撃や対策について、解説させていただきました。 本記事では、日々高度化が進むBotによる攻撃を判別する手段やBot対策の必要性についてをご説明いたします。 ======================= <CDNetworks講演> 「ウェブセキュリティにおけるボット対策の重要性とは?」   より高度なボット対策 ますます進化を遂げる、より高度なBotを判断・ブロックする手段として次のような新しい技術が出てきています。これからBot対策を検討しているお客さまは、これら技術にも対応したサービスの導入をお勧めします。 1.振る舞いから判断 人が直接操作しているかどうかをその振る舞いによって判断します。 例えば、マウスを利用して画面を移動して特定リンクをクリックしたり、キーボードを利用して単語を入力したりなど、またモバイルなら指で画面をスクロールしたかなどのような動作を見ています。 Botは、事前条件に従ってアクションがプログラミングされているため、このような一連の行動はありません。 (クリックで拡大)   2.機器独自の”指紋”から判断 クライアントに設置されているフォントリスト、プラグイン、画面サイズや方向、解像度など、偽造が難しいさまざまな情報を使って機器端末独自の識別番号(指紋)が作成されます。 正常なブラウザであればこの情報を提供できますが、Botの場合にはこの情報を提供することができません。 (クリックで拡大)   (クリックで拡大)   CDNetworksは、これら最新技術に対応したBot対策「クラウド・セキュリティ・ボットマネージャ」を提供中です。 引き続き、Bot攻撃防御のために全力で皆さまをサポートいたします。   利用シーン CDNetworksのクラウド・セキュリティサービスを導入したお客様のご利用例です。 利用シーンその1:ホテル予約サイト 経緯:DDoS攻撃によるWebサイトの表示遅延対策としてCDNetworksのDDoS対策サービスを導入 効果:DDoS攻撃のトラフィックが排除され表示遅延が解消、自社サーバの増強が必要なくなり、表示速度も売り上げも維持 (クリックで拡大)   利用シーンその2:チケット販売サイト 経緯:Botによる不正予約や大量購入の防止対策としてCDNetworksのBot対策サービスを導入 効果:Botによるアクセスの減少により、正規の一般顧客の予約が確保され売り上げ増加、サイトの負荷が軽減 (クリックで拡大)   このほかにも、様々な業種のお客さまが抱える課題を解決した、CDNetworksの導入実績が多数ございます。   まとめ いついかなる時もあらゆる企業は常に攻撃の脅威にさらされています。 Webセキュリティ対策、さらにBotアクセスによる対策は、今やどの企業にも必要な命題と言えます。 (クリックで拡大)   (クリックで拡大)   CDNetworksでは、皆さまのビジネス課題解決を全力でサポートいたします。 1年後に迫ったオリンピックに向けたWebセキュリティ対策に早急に取り組みましょう!…

週刊BCN主催 全国キャラバン2019 in 東京 講演ダイジェスト【その1】
週刊BCN主催 全国キャラバン2019 in 東京 講演ダイジェスト【その1】

本記事は、2019年3月20日に開催された「週刊BCN全国キャラバン2019」の開催レポートを2回にわたってお届けします。 ☞講演資料のダウンロードはこちらよりどうぞ >>ダウンロードフォーム 先般開催された週刊BCN主催のリセラー向け全国キャラバン/東京会場に、CDNetworksが協賛・講演いたしました。 お忙しい中にもかかわらず、会場に足をお運びいただきました皆様には厚く御礼申し上げます。誠にありがとうございました。 ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー CDNetworksのパートナープログラムに興味はありませんか? CDNetworksでは、WEB高速化対策のCDN(コンテンツ・デリバリ・ネットワーク)を主軸に、クラウド・セキュリティ、クラウドコンピューティング、データセンターなど、ネットワーク・インフラに関する全般的なサービスを提供しております。 今後、私たちのビジネスにご協力をいただけるパートナー様を広く募集しております。是非お問い合わせ・ご相談ください。 >>お問い合わせフォーム ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー   講演では、いよいよ来年に開催が迫った東京オリンピックに備えたセキュリティ対策について、過去事例から想定される攻撃について理解を深めていただくとともに、その対策としてCDNetworksの「クラウド・セキュリティ・ボットマネージャ」をご紹介させていただきました。 ======================= <CDNetworks講演> 「ウェブセキュリティにおけるボット対策の重要性とは?」   オリンピックとサイバーセキュリティ これまで開催のオリンピックの際に発生した攻撃です。 (クリックで拡大)   来年の東京オリンピックでも過去のオリンピックでの事例から、これらのような攻撃が予想されます。 (クリックで拡大)   2016年のリオ五輪では、オリンピック史上最大規模のボットネットによる攻撃がありました。 (クリックで拡大)   また、同年にDyn社が受けた攻撃は、ボットネット「mirai」によるもので、Dyn社のサーバが攻撃を受け、サービスが約6時間停止した事象がありました。 大企業であっても思わぬことが原因でサーバがダウンし、サービスが停止してしまう可能性が常にあり、どこに脅威が潜んでいるかわかりません。悪性ボットによる脅威は常に身近にあるものとして考えておいたほうがよいでしょう。 (クリックで拡大)   近年増加している悪性ボットによる新しい脅威として、以下のようなものがあります。 ① 興行チケットの買い占め チケットを買い占めて、購入締切日の直前ですべてキャンセルをするなどの悪質な行為を繰り返すボットによる攻撃 ② 競合サイトから価格情報盗み取り Web上の価格情報を頻繁にチェックして回って常に競合の価格よりも安い価格で販売したり、競合サイトのコンテンツを盗む(スクレイピング)んだりなど、悪質な行為を繰り返すボットによる攻撃 ③ ID/パスワードの総当たり攻撃(ブルートフォース・アタック) 手あたり次第、考えられるすべての数字パターンを試してIDやパスワードを解読、これによる個人情報流出の被害を生むボットによる攻撃 これら攻撃のインパクトとしては、金銭的損失や企業ブランドへのダメージが大きいといわれています。 本来、人間が行っていた攻撃を今日ではボットが行う時代に移り変わっているということです。このような状況からも、速やかなるボット攻撃への対策が必要とされています。   国による対策 「mirai」のような、IoT機器の初期設定の脆弱性をついた攻撃を未然に防ぐために、NICT(情報通信研究機構)の検査による取り組みが始まりまっています。これは「mirai」によるIoT機器を踏み台にした攻撃を少しでも減らすことが目的です。 (クリックで拡大)   しかし、これだけでは完璧な対策とは言えません。 そこで、各企業においても、それぞれでボット攻撃への対策が必要とされています。   ボット対策の第一歩 一般で提供されているDDoS攻撃対策は、いつ来るかわからない攻撃に対して備える保険のようなものですが、まだ起こっていないことへの対策費とし捉えた場合、少しコストがかかり過ぎる傾向にあります。 (クリックで拡大)   また、一般的なボット攻撃対策は、ボットを駆除するためのJavaScriptやキャプチャなどのさまざまな機能の実装に手間がかかる傾向にあります。 このような理由から、これら対策の導入にはかなり高い障壁があります。 (クリックで拡大)   そこで、これらを解決する手段の一つとして、CDNetworksのクラウド型セキュリティサービスの導入をお勧めします。 このサービスは、自分たちでコストのかかる設備を整えたり、さまざまな機能を実装したりする必要はなく、クラウド上で提供されているサービスを導入して利用いただくだけで、スムーズかつコスト効率よくボット攻撃に備えることができます。…

パスワードの使いまわしの危険性~最近流行りのパスワードリスト攻撃とその対策
パスワードの使いまわしの危険性~最近流行りのパスワードリスト攻撃とその対策

パスワードリスト攻撃とは?   最近、パスワードリスト攻撃が流行しています。   これは、従来型の総当たり攻撃の代表格であるブルートフォースアタックや辞書アタックとは異なります。パスワードリスト攻撃の場合は、攻撃者がどこかで入手した正しいID・パスワードのリストを用いて正規ルートから不正アクセスを試みるため、ID単位のログイン試行回数はとても少ないケースが多く、正規アクセスとの判別を行うことが非常に困難なケースも予想されます。   そもそもユーザ側が、どのサイトでも同じパスワードを使いまわしている場合、とあるサイトで抜きとられてしまうと他のサイトで攻撃利用されて簡単にアクセスが成功してしまうという危険性があるため、なるべくサイトごとで異なるIDとパスワードの組み合わせをお勧めします。   さらには、提供者側のWEBアプリケーションでも2段階認証を利用するなどのさらなるセキュリティ対策の検討をするべき時期が来ています。   攻撃者側にしてみれば、ランダムにパスワードを試していくブルートフォースアタックよりも、頻繁に利用されるだろうパスワードを上位から順に試していく辞書攻撃が効率的であり、さらにはどこかで盗んできた正しいID・パスワードのリストは、いちばん手軽なラッキーアイテムであると言えます。   また、辞書攻撃で使われるリストも、ある程度公開情報を参考にしているのが一般的と思います。逆を言えば、私たちもそのパスワードリストを事前に参照して、ユーザが頻出パスワードを設定する事を禁止させるのもシステムとして一つの防御対策になると思います。     代表的なリスト提供サービス   ではここで、代表的なリスト提供サービスをご紹介しましょう。   ■OpenWall -攻撃者が利用する一般的なパスワードクラック用のリストを提供 -有償版と無償版のリストを提供 https://www.openwall.com/wordlists/       試しに無料版で入ってダウンロードしてみてみました。 https://download.openwall.net/pub/wordlists/passwords/     password.gzを解凍するとpassword.lstというファイルがありますので.lstビューワーを使って開いてみます。“Last update: 2011/11/20 (3546 entries)“、無料版は長らく更新されていないようです。パスワードが頻出順に並んでいますが、この中に私も普段使っているパスワードが含まれていたため少々驚きしました。   ここで、頻繁に使われているパスワード「TOP20」をご紹介します。   1 123456 11 1234 21 service 2 12345 12 qwerty 22  canada 3 password 13  money 23  hello 4 password1 14  carmen…

Security Days Spring 2019 Tokyo 講演ダイジェスト【その2】
Security Days Spring 2019 Tokyo 講演ダイジェスト【その2】

  本記事は、2019年3月8日に開催された「Security Days Spring 2019 Tokyo」の開催レポートの全2回にわたってお届けしている開催レポート・第2回目の記事となります。 第1回 ≫ こちら 第2回 (本記事)     なお、記事の末尾には、講演資料のダウンロードリンクを設置しています。あわせてご利用ください。   前回の記事では、BOTとは?について、特にビジネスへのインパクトが大きい BAD BOT による攻撃の実態、BOT Managerによる対処方法について、詳しくご説明しました。   今回は引き続き、CDNetworksのBOT Managerのヒューマン・インタラクション・チャレンジ機能によるBAD BOT防御のフローについてご紹介します。   ======================= < CDNetworks講演 > 「知らずのうちに悪さをする迷惑ボットによるアクセスの実態と対処法」    ヒューマン・インタラクション・チャレンジ JavaScriptで処理できるBAD BOTによる機器の操作は、どう遮断したら良いのでしょうか? 下図のフローで、人間的な動作の要素の有無により、BOTによるアクセスか否かを判別します。 (クリックで拡大)   BOT Managerのヒューマン・インタラクション・チャレンジ機能による防御フローをご紹介。 ① 1stアクセスでBOT Managerを介してお客様のサーバにリクエストが届きます ② リクエストに応じてWebページをそのまま返します ③ BOT Managerがキーボードのタイピング操作やスクロール操作、さらにはマウスの動きなどを観察し、その動作が機械的でないかどうか、などのアクティビティを吸い上げます ④ 人間的な動作があれば通過させて、なければブロックします(Webサーバに到達させません) (クリックで拡大) BOT Manager:ヒューマン・インタラクション・チャレンジ機能のデモンストレーションの様子   ■BOT Manager の防御ステップ ① 1stアクセスで取り込みます(ココは必ず通り抜けてしまいます) ② 2ndアクセスでチェック・防御します   (クリックで拡大) しかしながら、「BOT Managerで100%の防御が可能です」とは言い切れません。…

Security Days Spring 2019 Tokyo 講演ダイジェスト【その1】
Security Days Spring 2019 Tokyo 講演ダイジェスト【その1】

本記事は、2019年3月8日に開催された「Security Days Spring 2019 Tokyo」の開催レポートを全2回にわたってお届けします。   第1回(本記事) 第2回   当日は会期最終日ということもあり、多くのお客様にご聴講を頂き、おかげさまで大盛況となりました。 お忙しい中にもかかわらず、当社講演にご来場いただいた皆様には厚く御礼申し上げます。誠にありがとうございました。   本講演では、BAD BOTを利用した攻撃手法、迷惑アクセス行為や攻撃パターンのデモンストレーションなど、攻撃者の視点から見たBOT攻撃について解説し、BOT対策への理解を深めていただくための講演をさせていただきました。   本稿では、講演の一部内容をダイジェスト版としてご案内いたします。   なお、記事の末尾には、講演資料のダウンロードリンクを設置しています。あわせてご利用ください。     ======================= < CDNetworks講演 > 「知らずのうちに悪さをする迷惑ボットによるアクセスの実態と対処法」     BOTとは?   BOTは、GOOD BOTとBAD BOTが存在します。 皆さまのWebサイトにアクセスし、ビジネスインパクトを与える動作をするのがBAD BOTです。 (クリックで拡大)   今や、Webアクセスの半数以上はBOTによるものと言われており、今後もこの割合はますます増加する一方です。CDNetworksを含めた各社が提供しているBOT対策ツールやサービスの活用は、こうしたBOTからのアクセスを可視化して攻撃を検知/ブロックし、お客様サーバへの負荷を軽減します。   (クリックで拡大)   ここで、BAD BOTの行為がビジネスに与えるインパクトについて事例を紹介します。気づかないうちに大きなインパクトを与える事態になっているかもしれませんので、担当者は注視しておくべきでしょう。   ・航空会社の例 キャンペーンで発売された航空券をBOTが先占したり買い占めたりしてしまい、一般の利用者が購入しようとしても、既に満席表示で予約が取れない   ・ホテルサイトの例 宿泊予約をBOTが大量に行い、キャンセル料発生直前や、支払い期限前に全キャンセルするような行為を繰り返される   ・ECサイトの例 競合サイトによる価格やコンテンツの定期的なチェックなどにより、BOTからのアクセスが増加してサーバへの負荷が増加する   (クリックで拡大)     BAD BOTについて   BAD BOTをJavaScriptに対処”できるBOT”と”できないBOT”に独自の見解で区分けしてみました。…

セキュリティマネジメントカンファレンス 2019 冬 講演ダイジェスト【その2】
セキュリティマネジメントカンファレンス 2019 冬 講演ダイジェスト【その2】

  本記事は、2019年2月20日大阪、2月27日東京にて開催された「ビジネス+IT主催 セキュリティマネジメントカンファレンス 2019 冬」の全2回にわたってお届けしている開催レポート・第2回目の記事となります。   第1回 ≫ こちら 第2回(本記事)   なお、記事の末尾には、講演資料のダウンロードリンクを設置しています。あわせてご利用ください。     ======================= 前回の記事では、昨今のセキュリティ脅威トレンドとサイバー攻撃のビジネスモデルなどについてご説明しました。 今回は、ネットワークの見え方、CDNetworksが提供するクラウド型サービスについてご紹介します。     個社とセキュリティベンダのネットワークの見え方の違い   個社(1つの会社)の観点からみると、ダークウェブで売られていた情報を購入した攻撃者が、ターゲットとする個社に攻撃を仕掛ける構図がイメージできます。 (クリックで拡大)   一方で、セキュリティベンダの観点からみると、攻撃者と個社との間にセキュリティベンダが立ちはだかることで、個社への直接攻撃を防いでいます。攻撃者は高度化し続けていますが、同時に守る側のナレッジや技術力も向上しています。   (クリックで拡大)     Why CDNetworks?   CDNetworksはCDN事業でアジア最大級、100都市200を超える設備(PoP)を持つグローバルカンパニーです。世界中のCDN PoPから情報をリアルタイムに集めてそれを展開することができるため、世界各国のWebパフォーマンスとセキュリティ対策の両立ができるのです。 特にセキュリティ脅威においては、これまでに蓄積されたノウハウや攻撃に対するナレッジが非常に多くありますので、昨今話題のIoTを踏み台にしたBot対策にも対応可能です。   (クリックで拡大)     まとめ   CDNetworksが創業以来主力としてきたWeb高速化サービスのCDNだけでなく、 クラウド・セキュリティサービス、データセンター事業、CPEまで含めたSD-WANなど、企業ネットワークからアプリケーションまで、幅広いレイヤでの品質向上を実現します。 下記がCDNetworksのクラウド・デジタル・ネットワークの概要図です。   (クリックで拡大)   CDNetworksは、ひきつづき今後もより一層皆さまのネットワーク環境を強力にサポート・牽引していきます!     展示ブースのご紹介   展示ブースではCDNetworksのクラウド・セキュリティサービスをはじめ、Web高速化サービス、データセンター事業、SD-WAN、デジタルネットワークサービスなど、お客様のご相談内容に応じて、各種サービスをご紹介させていただきました。 東京会場展示ブース   人気だったノベルティ(アニマル顔のミニタオルです)     CDNetworksのクラウド型セキュリティサービス   CDNetowkrsでは、クラウド型のWebセキュリティサービスを提供しています。CDNでセキュリティ対策を行うメリットは、グローバルに豊富なキャパシティを有するCDNの配信プラットフォームをセキュリティ対策にも利用できることです。つまり、「Webパフォーマンスの向上」と「Webセキュリティの強化」のいいとこ取りができる点が大きなメリットと言えます。…

セキュリティマネジメントカンファレンス 2019 冬 講演ダイジェスト【その1】
セキュリティマネジメントカンファレンス 2019 冬 講演ダイジェスト【その1】

  本記事は、2019年2月20日大阪、2月27日東京にて開催された「ビジネス+IT主催 セキュリティマネジメントカンファレンス 2019 冬」の開催レポートを全2回にわたってお届けします。   第1回(本記事) 第2回   なお、記事の末尾には、講演資料のダウンロードリンクを設置しています。あわせてご利用ください。   当日はお忙しい中にもかかわらず、当社講演にご来場、展示ブースにお立ち寄り頂いた皆様には御礼申し上げます。誠にありがとうございました。 講演では「ネットワークとセキュリティの未来を変える~CDNetworksの統合型基盤のゆくえ」と題して、昨今のセキュリティ脅威トレンドに加えて、CDNetworksのグローバルプラットフォームを活用したクラウド型のセキュリティ対策について等、ご紹介をさせていただきました。   =======================   < CDNetworks講演 > 「ネットワークとセキュリティの未来を変える~CDNetworksの統合型基盤のゆくえ」   (クリックで拡大)     昨今のインシデント「IPA情報セキュリティ10大脅威2019」   「IPA情報セキュリティ10大脅威」のランキングにおいて、2019年に新しく4位にランクインした「ソフトウェアサプライチェーン攻撃」は、今年企業がもっとも注視すべき攻撃です。   (クリックで拡大)     この攻撃には、下記の2タイプがあります。    ①ソフトウェアサプライチェーン攻撃   ソフトウェアサプライチェーンが正規ルートで提供するソフトにマルウェアが埋め込まれていたために、そのソフトをダウンロードし利用したユーザは被害を受けたケースです。   (クリックで拡大)      ②関連会社経由での攻撃   大企業は堅牢なサイバーセキュリティの仕組みを構築しており、攻撃者もこれを切り崩すことはとてもハードルが高いことを理解しています。そこで、大企業とつながっている子会社・関連企業・取引先を攻撃して、これを踏み台に本丸に侵入するという手口です。   小さな会社でも踏み台に狙われる可能性は多分にあり、インシデントが発生すれば取引が終了し、ビジネスが傾く可能性もあるため、セキュリティ対策には細心の注意を払う必要があります。   (クリックで拡大)     攻撃者のモチベーション 昔は見返りを求めない、ギーク的ないわゆるオタクな攻撃が多かったと言われていますが、今はそうではなく、サイバー攻撃をビジネスとして捉える見方もあります。攻撃者の観点から見ると、サイバー攻撃は利益率が非常に高い闇のビジネスです。   (クリックで拡大)     数年前くらいから、0day(ゼロデイ)攻撃という言葉を耳にするようになりましたが、0dayとは、ソフトウェア、OSなど、開発者が意図しない脆弱性が発見されてから緊急プログラムがアップデートされるまでの期間、脅威にさらされる状況の事を指し、脆弱性が発見されて修正プログラムが提供される日より前にその脆弱性を攻略する攻撃は、ゼロデイ攻撃と呼ばれています。   そして闇ビジネスでは、これら0dayの脆弱性を探して高値で売るビジネスが横行しています。ここでは、見つけるのが難しいとされる脆弱性ほど高値がつく傾向にあります。   (クリックで拡大)…

WAF(Webアプリケーションファイアウォール)導入の必要性

  過去1年間に情報漏洩事故を経験した企業の担当者によると、そのうちの42%が外部からのサイバー攻撃によるセキュリティ事故であり、その中で最も多かったのは、SQLインジェクションやXSS(クロスサイト・スクリプティング)などのWebアプリケーションに対する攻撃でした。(参照: Forrester Analytics Global Business Technographics® Security Survey, 2017)   どれだけ開発者が完璧なsecure codingを作成し、知られている脆弱性に対し安全だとしても、未だ公開されていないゼロデイ攻撃(未知の攻撃)が存在する限り安心はできないでしょう。   今回はWebサービスを運用するにあたって、なぜWAFの導入ならびに運用が必要なのかについて解説します。     セキュリティ・コンプライアンスを守るために   PCI-DSS(Payment Card Industry Data Security Standard)は、カード決済サービスを提供していなくとも、インターネット・ビジネスを展開する企業にとって取得すべき標準的なセキュリティ認証として広く受け入れられており、多くの企業がこの認証を取得するよう努めています。また、取得していない企業も、これを参考にしてセキュリティ標準プロセスを作成し運用しています。   ご存知の通りCDNetworksは、提供中の主要CDNサービスに対して、8年連続でPCI-DSS認証を取得し、セキュリティ強度の高いサービス提供を維持しています。   >>本件に関するプレスリリース(2018年7月24日発表)はこちら   WAFは、特にPCI-DSSが導入を推奨していることから、昨今導入する企業が急増している注目のセキュリティ対策です。PCI-DSSの 6.2項では、下記のとおりWAFの導入について規定しています。   ====================== (日本語) 下記の通り、Webベースの攻撃を自動的に検知・ブロックする技術的ソリューション(Webアプリケーションファイアウォールなど)の導入 – Webベースの攻撃を検知・ブロックするために、利用中のWebアプリケーションの前に配置されていること – アクティブに稼働中であること、適用可能な限りの最新版であること – 監視ログを生成していること – Webベースの攻撃をブロックする、またはすぐに調査アラートを上げられること   (英語) Installing an automated technical solution that detects and prevents web-based attacks (for example, a web…

ボット攻撃対策~Interop Tokyo 2018 講演ダイジェスト【その2】
ボット攻撃対策~Interop Tokyo 2018 講演ダイジェスト【その2】

CDNetworks講演 「迫りくる新たなWebセキュリティ脅威に備えるために今すべきこととは?  ~効果的なDDoS対策と高度化するボット攻撃対策など、CDNで実現できる次世代型防衛対策の最前線」   本記事は、2018年6月15日(金)に開催されたInterop Tokyo2018での、CDNetworks講演内容のダイジェストを全3回にわたってお届けいたします。是非ご一読ください。 第1回 CDNとDDoS対策 >>こちら 第2回(本記事) 第3回 また、各記事の末尾に講演資料のダウンロードリンクを設置しています。あわせてご利用ください。 =======================   前回の記事では、近年のサイバー攻撃の現状とCDNで効率的に攻撃を防衛できる仕組みについて紹介しました。 今回は、高度化する新種のボット攻撃による被害例とその防御手法について説明します。   ボット対策   CDNのWebセキュリティソリューションの活用メリットを最大限に生かせるのが、ネットワーク上流においてDDoS攻撃を駆除することができる、今注目のボット攻撃対策です。   まず、ボットとはなにかご存じでしょうか?   (クリックで拡大)   以下のグラフのとおり、ボットからのアクセスは決して少なくありません。 ここで興味深い傾向として、小規模なWebサイトほど、ボットからのアクセスの割合が多いということです。 そして残念ながら、小規模なWebサイトほど、悪性ボットからのアクセスも多いことが分かります。 これらよりわかることは、サイバー攻撃の脅威は誰にでも起こりうるということです。   (クリックで拡大) Webサイトアクセスのうち約半数はボットアクセス   しかし、サーバリソースの大半を占めているボットについて、やみくもにすべてのボットを除去してしまえばよいという訳ではありません。 なかには良性ボットも存在しますので、悪性ボットのみを除去するボット管理が必要となります。     ボットによる被害例   単にボットと考えがちですが、ボットを甘く見ると大変なことになります。 ここでいくつかの被害例をご紹介しましょう。   (クリックで拡大)   「フェイクオーダー(偽注文)」 ネット予約サービスにおいて、攻撃者が悪性ボットを利用して航空チケット、ホテルなどの予約を先占し続けて決済直前にキャンセルするという事を繰り返す手法です。   「不要なトラフィックを増やす」 悪性ボットに頻繁にWebサイトへのアクセスを繰り返させることでWebサーバに負荷を与える手法です。ウェブ管理者は、増加するアクセスに対応するためにWebサーバを増設しなければならず不要なコストを支払うことになります。   「Webサイトのコンテンツ盗用や複製」 競合会社のWebサイトをモニタリングして良コンテンツを盗用して自社サイトに掲示したり、価格情報をモニタリングして競合会社より安く設定するなどの手法です。     従来のボット対策とは   従来のボット対策には以下のようなものがありますが、最近ではボットも高度化してきており、これらの対策だけでは効果的にボットからのアクセスを止めきれない現実があります。   (クリックで拡大)     新しいボット対策とは…