Webアプリケーションへのボットによる攻撃

セキュリティの問題も、かつてのファイアウォール、ウイルス、マルウェア対策から、Webアプリへの攻撃へと移ってきているようだ。何でもWebを介してというクラウド時代にとっては、深刻な問題ではある。

Webアプリケーションは2分に1回攻撃を受けている(ITmedia)

 昔からWebサーバーを公開したりすると10分もしないうちに不正なログインアタックが来ていることはログを見れば確認できたもので、ファイアーウォールでブロックしたり、少なくともWebサーバーにはパスワードログインのユーザはむやみに作るべきでないなと認識されたものである。


 Web画面からユーザ登録のような入力ができるCGIJavaPHPによるWebアプリケーションが可能になってくると、その不正な入力が問題となった。そしてそれは背後にあるデータベースにも悪影響を及ぼす。クロスサイトスクリプティングXSS)やSQLインジェクションといったものだった。プログラミングで何ができるかよりも、公開する以上はこうしたものへの対策がちゃんと施されているかが問題であったように思う。


 そして現在、これらを含めたWebアプリケーションへの攻撃が、ボットから自動的に行われるようになっているという。以前は自動化攻撃というものは、辞書攻撃のような不正ログインだったが、現在はWebからの入力を標的(<form>や<input>のタグを見つけるのだろう)にしてデータベースへの攻撃を仕掛けられる、かなり高度なものとなっているようだ。それがボットを介して不特定多数の世界中のPCから行われるというのだから、たまらない。データベースがDoS攻撃によって高度な侵入を試みられるということになる。


 もはやWebアプリケーション単独の対策では「銃撃戦にナイフで立ち向かう」ようなものであるという。ソニーのサイトほど重要なWebサイトではないからとはいっても、ネットの世界では悪い意味でも平等であるから、いつ攻撃を受けて被害が出ても不思議ではない状態である。何やら放射線からの防御と同じで、いかに危険からの確率を小さくするかのトータルでの対策が必要であろう。


 攻撃元のPCが存在する国としては、米国と中国が圧倒的に多いという。ここでも大国である。もともとPCの数の絶対数が多いこともあるが、セキュリティ対策の問題もあるのだろうか。日本はソニーを含め被害者側になっているかもしれないが、今後とも攻撃元の上位には来てほしくはないものである。


 それにしても、こうなると根本的にWebアプリケーションの開発、提供とは何なのかという問題になってくる。わざわざ危険を冒してまで怪しげな?Webアプリケーションを開発する必要があるのかということになるだろう。少なくとも、一般的にはパブリッククラウド上では独自Webアプリケーションは避け、外部公開されないプライベートクラウド上での開発に留めるということになるかもしれない。