ペンタセキュリティ

ペンタセキュリティシステムズ株式会社

2013年上半期Webアプリケーション脅威解析報告書

2

2013年上半期Webアプリケーション脅威解析報告書

Duksoo Kim

Director, Chief Technology Officer

R&D Center

Sung Hwan Cho

Software Engineer, Product Development

R&D Center

Taejoon JUNG

Manager, Product Management

R&D Center

Jin-young JANG

Security Researcher & Engineer, Product Management

R&D Center

JungHee Jin

Technical Writer, Japanese Pre-sales

Japan Business

Jacob Jackson Pollock

Security Researcher & Engineer, International Pre-sales

Global Business

Jin Young Choi

Security Researcher & Engineer, International Pre-sales

Global Business

3

2013年上半期Webアプリケーション脅威解析報告書

目次はじめに

Web脅威の動向のサマリー

解析詳細1. WAPPLESルールによる検知Top10

2. OWASP 2013 TOP10基準Web攻撃類型

3. Web攻撃発信国Top５

4. Web攻撃の目的

5. WAPPLESルール基準危険度

6. Web脅威の動向

WAPPLESルールのマッピング1. OWASP 2013 TOP10

2. Web攻撃の危険度

3. Web攻撃の目的

付録WAPPLESルールの紹介

I.

II.

III.

IV.

V.

4

2013年上半期Webアプリケーション脅威解析報告書

I. はじめに

本報告書は、ペンタセキュリティシステムズ株式会社(韓国本社)のWebアプリケーションファイアウォール(WAF)のWAPPLESより収集された検知ログの統計情報を基盤とし、当社のICS(Intelligent Customer Support)により解析した内容となります。 本報告書の作成目的は、検知ログの統計データの共有によるWeb脅威の動向を把握しWAPPLESをインストールしたお客様により改善されたセキュリティサービスを提供することにあります。本報告書で採用しているデータは、官公署を除外した、検知ログの統計情報の収集および利用に同意している顧客、693のWAPPLESにて2013年1月1日から2013年6月30日まで期間を基準とします。当該のデータには、顧客より収集した検知ログの統計データのみであり、個人情報およびWAPPLESの保護対象の情報などは一切含まれていません。

5

2013年上半期Webアプリケーション脅威解析報告書

II. Web脅威の動向のサマリー1

2013年上半期では、BYOD (Bring your own device)へと業務環境が変わりつつある中、ソーシャルネットワークの一般化とともにこのような環境に有機的に対応しているモバイル端末の普及が加速されています。このような環境の変化を背景により簡単に脆弱性を洗い出し次の本格的な攻撃を実行するための準備である、脆弱性の下調べが頻繁に行われていることに注目します。 「WAPPLESルールによる検知TOP10」にて検知頻度の順、１と３の「エクステンションフィルタリング」と「プライバシーアウトプットフィルタリング」のような企業の機密情報及び個人情報の漏洩を目的としている攻撃が増加しており、「OWASP 2013 TOP10基準Web攻撃類型」では37.4%を占めている「機能レベルのアクセスコントロールの欠落」のようなWebサイト運用上の重要な情報が出力されてしまう恐れのあるURLへのアクセスが頻繁に行われていたことが見て取れます。このような試みが成功されると、不正にアクセス権限を取得することにより、機密情報の漏洩や悪意ある者が管理者権限にてシステムを操作できる状態に陥るため、的確なWebアプリケーションレベルのセキュリティ対策を設ける必要があります。昨今の攻撃の手口は巧妙になって高度化されていく傾向が見られているため、セキュリティの強化とともにこれからの対策について常に工夫しなければなりません。

2013年上半期の脅威として、

2013 OWASP TOP10の分類にて「機能レベルのアクセスコントロールの欠落」の試みが最も多く、これは外部に公開されていないディレクトリに対し的確な権限のないアクセスが行われていたことを意味します。当社危険度分類基準にて「エクステンションフィルタリング」の試みが最も多く、これは、通常の正常なWebサイトにて許可されている拡張子ではなく、Webサーバが動作不能状態になってしまう恐れのある脆弱性のある拡張子（dll, conf, iniなど)へのアクセスが頻繁に行われていたことを意味します。

詳細は、III. 解析詳細を参考にしてください※1

6

2013年上半期Webアプリケーション脅威解析報告書

1. WAPPLESルールによる検知TOP 10

III. 解析詳細

本グラフは、WAPPLES検知ルールごとに発生しているアラートの頻度を表示しています。2013年1月1日から2013年6月30日の間、「エクステンションフィルタリング」が最も頻度の高い攻撃であり、その次が「インバリッドHTTP」、「プライバシー アウトプットフィルタリング」の順となっています。

「エクステンションフィルタリング」は、通常の正常なWebサイトにて許可されている拡張子ではなく、Webサーバが動作不能状態になってしまう恐れのある脆弱性のある拡張子（dll, conf, iniなど)へのアクセス試みを検知します。

「インバリッドHTTP」は、HTTP定義ではない不正なリクエスト(要求)およびレスポンス(応答)、存在しないWebサイトに対するリクエスト（要求）など、正常なWebクライアントではなくワームや自動化されたツールにより生成させる不正なHTTPを検知します。

「プライバシーアウトプットフィルタリング」は、住民登録番号(韓国)およびクレジットカード番号など個人情報を漏洩する試みを検知します。

エクステンションフィルタリング

インバリッドHTTP

プライバシーアウトプットフィルタリング

エラー ハンドリング

リクエストヘッダフィルタリング

インクルードインジェクション

バッファオーバーフロー

URIアクセスコントロール

リクエストメソッドフィルタリング

パラメータタンパリング

26.1%

0 5 10 15 20 25 30

3.2%

11.2%

8.7%

3.5%

7.8%

6.2%

5.7%

12.5%

15.2%

7

2013年上半期Webアプリケーション脅威解析報告書

ＷＡＰＰＬＥＳルール 検知件数（件）

< 表1. WAPPLESルールによる検知Top 10 >

エクステンションフィルタリングインバリッドHTTPプライバシーアウトプットフィルタリングエラー ハンドリングリクエストヘッダフィルタリングインクルードインジェクションバッファオーバーフローURIアクセスコントロールリクエストメソッドフィルタリングパラメータタンパリング

詳細数値情報は、WAPPLESを購入したお客様に配布される報告書のみで提供されます。

8

2013年上半期Webアプリケーション脅威解析報告書

2. OWASP 2013 TOP10基準Web攻撃類型

本グラフは、WAPPLES検知ルールにより発生したアラート情報を、OWASP2013基準の脆弱性TOP10に照らし合わせをし、類型化しています。2013年1月1日から2013年6月30日の間、「機能レベルのアクセスコントロールの欠落」が最も頻度の高い攻撃類型であり、的確な権限のないクライアントにより非公開の内部ディレクトリへのアクセスの試みが多かったことを意味します。

OWASP 2013基準Web攻撃 検知件数（件）

A1. インジェクションA2. 不完全な認証とセッション管理A3. クロスサイトスクリプティングA4. 安全でないオブジェクトの直接参照 A5. セキュリティの不適切な設定 A6. 機密データの露出 A7. 機能レベルのアクセスコントロールの欠落 A8. クロスサイトリクエストフォージェリA10. 検証されていないリダイレクトとフォワード

< 表2. OWASP2013基準Web攻撃類型Top10 >

0 5 10 15 20 25 403530

A1. インジェクション

A2. 不完全な認証とセッション管理

A3. クロスサイト スクリプティング

A4. 安全ではないオブジェクトの直接参照

A5. セキュリティの不適切な設定

A6. 機密データの露出

A7. 機能レベルのアクセスコントロールの欠落

A10. 検証されていないリダイレクトとフォワード

A8. クロスサイト リクエスト フォージェリ

11.2%

2.1%

1.2%

4.5%

24.8%

10.7%37.4%

4.7%

3.7%

OWASP TOP10に対応するWAPPLESルールについては、「Ⅳ．WAPPLESルールのマッピング－1.OWASP 2013 TOP10」を参考にしてください。

※

詳細数値情報は、WAPPLESを購入したお客様に配布される報告書のみで提供されます。

9

2013年上半期Webアプリケーション脅威解析報告書

韓国

3. Web攻撃発信国Top 5

本グラフは、WAPPLESルールによる検知ログを発信元アドレスに基づいて国ごとに分類し、頻度の高い攻撃発信国を表示しています。2013年1月1日から2013年6月30日の間、韓国が最も頻度の高い攻撃発信国であり、その次がアメリカ、中国の順となっています。

本報告書の解析対象としているデータは、韓国国内のサーバを保護対象としたWAPPLESに限定されているため、本攻撃発信国のランキングには全世界における攻撃の動向が反映されていることではありません。

Web攻撃発信国 検知件数（件)

韓国

アメリカ

中国

タイ

日本

< 表3. Web攻撃発信国Top 5 >

本報告書の解析対象としているデータは、韓国国内のサーバを保護対象としているWAPPLESに限定されているため、攻撃発信国のランキングはこのような環境上解析の結果となります。

※

アメリカ 中国 タイ

6.9%4.2% 1.2% 1.2%

86.5%

日本

詳細数値情報は、WAPPLESを購入したお客様に配布される報告書のみで提供されます。

10

2013年上半期Webアプリケーション脅威解析報告書

4. Web攻撃の目的

本グラフは、WAPPLESルールにより検知された攻撃を、その実行の目的ごとに分類し頻度を表示しています。2013年1月1日から2013年6月30日の間、脆弱性スキャンが最も頻度の高い攻撃の目的であり、その次が、情報漏洩、サーバ運用妨害の順となっています。

脆弱性スキャンは、自動化された攻撃ツールを用い、HTTP定義ではない不正なリクエスト(要求)およびレスポンス(応答)を返す(インバリッドHTTP)、RFC定義ではない不正なURIをリクエスト(要求)する(インバリッドURI)、Webサイトのディレクトリ構造を漏洩する(ディレクトリリスティング)、意図的にエラーメッセージを表示させる(エラーハンドリング)などを行って、Webサイトに潜んでいる脆弱性を洗い出すといった、攻撃のための事前調査を行うことです。.

情報漏洩は、Webサイトに対し、住民登録番号(韓国)やクレジットカード番号のような個人情報の入力および漏洩する(プライバシーインプットフィルタリング、プライバシーアウトプットフィルタリング)、個人情報の含まれているファイルをアップロードする(プライバシーファイルフィルタリング)など、ユーザの個人情報を不正に取得することです。

サーバ運用妨害は、Webサーバの正常運用を妨害することであり、不正な実行コードにより内部のバッファを超えるようにする(バッファオーバープロ―)、リクエスト(要求)にて必要以上のメソッドおよびヘッダを送り付けるなどがあります。

Webサイト改ざんは、Webサイトを不正に改ざんする(Webサイト改ざん)、SQLサーバにて実行されるコードに悪意あるコードを挿入し権限のないユーザが情報を取得し操作をする(SQLインジェクション)、Webサーバにて実行可能な.exe, .jsp, .phpなどのファイルをWebサーバにアップロードする（ファイルアップロード）、悪意あるスクリプト、ファイル、コードを挿入する（インクルードインジェクション）など、権限のないユーザがWebサイトを改ざんおよび操作することです。

脆弱性スキャン

情報漏洩

サーバ運用妨害

悪意あるコード挿入

Webサイト改ざん

金銭的損害

51%

17%

12%

11%

6%

3%

11

2013年上半期Webアプリケーション脅威解析報告書

Web攻撃の目的 検知件数（件）

脆弱性スキャン

情報漏洩

サーバ運用妨害

Webサイト改ざん

金銭的損害

悪意あるコード挿入

< 表4. Web攻撃の目的 >

金銭的損害は、コマンドメカニズムを迂回するためにクッキー(ユーザの端末PCに保存されている個人情報)の内容を改ざんし攻撃お行うことによって、他のユーザ情報を取得し、そのユーザになりすます(クッキーポイズニング)、不正なパラメータを挿入しアプリケーション動作を妨害する(パラメータタンパリング)などを行いユーザに対し金銭的損害を与えることです。

悪意あるコード挿入は、悪意あるスクリプトコードを挿入することによってユーザ情報を出力させる(クロスサイトスクリプティング)、サーバ側にスクリプトを挿入し悪意あるコマンドを実行し情報を取得する(ステルスコマンディング)、不正なアクセスにて悪意あるコードを送り付けるなどの試みです。

Web攻撃の目的に対応するWAPPLESのルールについては、「Ⅳ．WAPPLESルールのマッピング－3. Web攻撃の目的」をご参考ください。

※

詳細数値情報は、WAPPLESを購入したお客様に配布される報告書のみで提供されます。

12

2013年上半期Webアプリケーション脅威解析報告書

5. WAPPLESルール基準危険度

本グラフは、WAPPLESルールを緊急、高、中、脆弱性の下調べといった危険度にて分類し、攻撃の試みの発生頻度を表示しています。2013年1月1日から2013年6月30日の間、中レベルが最も頻度が高く、その次が緊急、高の順となっています。

WAPPLESルールごとの危険度 検知件数（件）

緊急

高

中

脆弱性の下調べ

< 表5. WAPPLESルールごとの危険度 >

中 攻撃の下調べ緊急 高

61.9%

9.4%

17.6%11.1%

WAPPLESルールの危険度は、OWASP Top１０を基準とし当社にて分類したレベルです。詳細は、「Ⅳ. WAPPLESルールマッピング－2. Web攻撃の危険度」をご参考ください。

※

詳細数値情報は、WAPPLESを購入したお客様に配布される報告書のみで提供されます。

13

2013年上半期Webアプリケーション脅威解析報告書

6. Web脅威の動向

本グラフは、緊急度の高い４つの攻撃に対しての毎月の推移を表示しています。個人情報漏えいへの試みの「プライバシーアウトプットフィルタリング」が最も頻繁に行われ、Webサーバに対しURIをリクエストする際に悪意あるファイルを挿入する「インクルードインジェクション」がその次となっています。

< 表6. 「緊急」レベルの月ごとの攻撃推移 >

危険度の高い攻撃 1月 2月 3月 4月 5月 6月

8月7月 9月 10月 11月 12月

プライバシー アウトプットフィルタリング

インクルード インジェクション

バッファ　オーバーフロー

リクエスト メソッド フィルタリング

1600

1400

200

400

600

800

1000

1200

2100

2200

x 10000

0

プライバシーアウトプットフィルタリング

インクルード インジェクション

バッファオーバーフロー

リクエストメソッドフィルタリング

詳細数値情報は、WAPPLESを購入したお客様に配布される報告書のみで提供されます。

14

2013年上半期Webアプリケーション脅威解析報告書

1. OWASP 2013 TOP10

IV. WAPPLESルールのマッピング

OWASP(Open Web Application Security Project)では、Webアプリケーションセキュリティ上で発生頻度が高く、他にも影響を及ぼす恐れのあるWeb脆弱性に関する報告書を作成しています。以下の表では2013年度OWASPが発表した10代脆弱性とこれに対応するWAPPLESルールを切り分けて表示しました。

NO. OWASP 2013 WAPPLESルール

インジェクション

不完全な認証とセッション管理

クロスサイトスクリプティング

安全ではないオブジェクトの直接参照

セキュリティの不適切な設定

機密データの露出

機能レベルのアクセスコントロールの欠落

クロスサイトリクエストフォージェリ

既知の脆弱なコンポ―ネットの使用検証されていないリダイレクトとフォワード

1

2

3

4

5

6

7

8

910

パラメータタンパリングSQLインジェクションステルスコマンディングインクルードインジェクションクッキーポイズニング不正アクセスクロスサイトスクリプティングパラメータタンパリングインバリッドURIユニコード ディレクトリトラバーサルステルスコマンディングファイルアップロードリクエストメソッドフィルタリングエラー ハンドリングインバリッドHTTPディレクトリリスティングプライバシーインプットフィルタリングプライバシーファイルフィルタリングプライバシーアウトプットフィルタリングSSLおよびTLS対応URIアクセスコントロールユニコードディレクトリトラバーサル エクステンションフィルタリングクロスサイトスクリプティングパラメータタンパリングALLURIアクセスコントロール

15

2013年上半期Webアプリケーション脅威解析報告書

レベル 説明 WAPPLESルール

緊急

高

中

脆弱性の下調べ

Webサーバが完全にハッカーによって奪われ、操られているため、深刻な機密情報漏洩が懸念される

Webサーバを踏み台としハッキングが行われ、深刻な2次攻撃へと拡大される

Webサーバの情報が改ざんされ、深刻な障害までは陥っていないが、限定された範囲内のWebサーバ上被害が懸念される

本格的な攻撃のための準備の段階であり、脆弱性を洗い出し情報を収集する

インクルードインジェクションプライバシーアウトプットフィルタリングステルスコマンディングSQLインジェクションプライバシーファイルフィルタリングリクエストメソッドフィルタリングファイルアップロードインバリッドURIバッファオーバーフロークッキーポイズニングクロス サイトスクリプティングリクエストヘッダフィルタリングURIアクセスコントロールエクステンションフィルタリングWebサイト改ざんインバリッドHTTP不正アクセスユニコードディレクトリトラバーサルパラメータタンパリングディレクトリリスティングインプットコンテンツフィルタリングエラーハンドリングレスポンスヘッダ フィルタリング

2. Web攻撃の危険度

16

2013年上半期Webアプリケーション脅威解析報告書

Web攻撃の目的は、: 1. 攻撃を行うことによって、金銭的損害を及ぼすか、金銭的利益を得ることを狙っている2. サーバーに負荷を与え、動作不能状態に陥るようにしてサーバー運用を妨害する3. Web攻撃を実行するために、事前調査レベルで対象になるWebサーバの脆弱性をスキャンする4. Webサイトを利用し、悪意あるコードを挿入しようとする5. Webサイトの内容を任意で変更する（Webサイト改ざん） 6. 個人情報、サーバー情報、データベース情報などを漏洩させようとするなどが考えられます

Web攻撃の目的 WAPPLESルール

金銭的損害

サーバー運用妨害

脆弱性スキャン

悪意あるコード挿入

Webサイト改ざん

情報漏洩

パラメータタンパリングクッキーポイズニング不正アクセスリクエストメソッドフィルタリングバッファオーバーフローインバリッドURIインバリッドHTTPリクエストヘッダ フィルタリングエラーハンドリングディレクトリリスティングレスポンスヘッダ フィルタリングステルスコマンディングクロス サイトスクリプティングインクルードインジェクションファイルアップロードSQLインジェクションWebサイト改ざんSQLインジェクションユニコードディレクトリトラバーサルプライバシーアウトプットフィルタリングプライバシーファイルフィルタリングプライバシーインプットフィルタリング

3. Web攻撃の目的

2013年上半期Webアプリケーション脅威解析報告書

17

WAPPLESルールの紹介

WAPPLESルール 説明

Webサーバに対しメモリ上Bufferをオーバーさせるような、制限値より大きなサイズのデータが含まれているリクエストを遮断

認証情報のような重要な情報が含まれているCookieを改ざんし、認証情報を取得するか、セッションをHijackingする試みを遮断

クライアント側で実行可能な悪意あるスクリプトコードを挿入する攻撃を遮断

Webサーバのファイル、ディレクトリのトポロジー(構造)の外部漏洩を遮断

Webサーバ、WAS、DBMSサーバなどの情報が含まれているエラーメッセージを遮断

悪意あるユーザにより利用される恐れのあるファイルの拡張子のリソースへのアクセスを遮断

Webサーバ側にて実行可能なファイルのアップロードを遮断

Webサーバにて実行可能なファイルの挿入を遮断

Webサイトのような公開ページ上他人に対し不愉快にさせる言葉を遮断するか、指定した言葉に変換

RFC2616HTTP/1.1基準プロトコルに準じていないアクセスを遮断

RFC2616HTTP/1.1基準プロトコルに準じ定義されている形式ではないURIへのアクセスを遮断

同じ発信元より一定の時間内閾値以上の不正なアクセスが検知されると発信元のアクセスを一時的に遮断

指定した特定のIPのセグメントや国からのアクセスを遮断

Webサイトよりリクエストされていないパラメータを挿入し送り付けるか、Webサーバから転送されたパラメータを改ざん

個人情報の含まれているファイルのアップロードおよびダウンロードを遮断

掲示板やWebページのような公開ページ上個人情報（クレジットカード番号、メールアドレス）の書き込みによる露出を遮断

掲示板やWebページのような公開ページ上個人情報（クレジットカード番号、メールアドレス）が漏洩される恐れのある場合、遮断および一部に対しマスキング処理

正常なHTTPリクエストとは異なり、ヘッダの一部の情報が抜けているか、もしくは不正な場合（自動化された攻撃ツール）遮断

安全ではないHTTPリクエストのメソッドを遮断

HTTPレスポンス(応答)よりWebサーバおよびWAS関連の情報を削除

データベースに対しの不正なSQLクエリ文の試みを遮断

Webサーバ上特定のコマンドを実行するリクエストを遮断

Webブラウザからの正常なリクエストではない自動化されたツールによるアクセスを遮断

Webサーバのユニコード関連の脆弱性を利用するディレクトリおよびファイルへのアクセスを遮断

特定のURIやファイルへのアクセスを制御

バッファオーバーフロー

クッキーポイズニング

クロス サイトスクリプティング

ディレクトリリスティング

エラーハンドリング

エクステンション フィルタリング

ファイルアップロード

インクルードインジェクション

インプットコンテンツ フィルタリング

インバリッドHTTP

インバリッドURI

IP遮断

IPフィルタリング

パラメータタンパリング

プライバシーファイルフィルタリング

プライバシーインプット フィルタリング

プライバシーアウトプットフィルタリング

リクエストメソッドフィルタリング

レスポンスヘッダフィルタリング

SQLインジェクション

ステルスコマンディング

不正アクセス

ユニコードディレクトリトラバーサル

URIアクセスコントロール

Webサイト改ざん

V. 付録

ペンタセキュリティシステムズ株式会社

韓国本社韓国ソウル市永登浦区汝矣島25-11 韓進海運ビル20階TEL. +82-2-780-7728 FAX. +82-2-786-5281お問い合わせ. +81-2-2125-6745 / wps@pentasecurity.com www.pentasecurity.com

日本支社東京都港区赤坂3-2-8, アセンド赤坂3FTEL. 03-5573-8191 FAX. 03-5573-8193お問い合わせ. 03-5573-8191 / japan@pentasecurity.com www.pentasecurity.co.jp

Copyright ⓒ 2013 Penta Security Systems, Inc. All rights reserved.