セキュリティベンダーはLog4j脆弱性攻撃にどう対応したか 舞台裏からゼロデイ攻撃対策を再考する
コンテンツデリバリーネットワーク(CDN)サービスを基盤に、各種のクラウド型セキュリティサービスを手掛けるアカマイ・テクノロジーズでWebセキュリティの動向を追う中西一博氏が、非常に発見が難しくなっているWeb攻撃の実態と手口を暴き、その対策について解説する。 以前の連載:迷惑bot事件簿 Log4j脆弱性に対する攻撃の傾向 Log4jはJavaベースのロギングライブラリだ。柔軟で包括的なロギング機能を備えているため、Webアプリだけでなく組み込みデバイスに至るまであらゆるものに使われている。 12月に発見された脆弱性「CVE-2021-44228」を利用した攻撃では、Log4jの「Lookup機能」という、ログとして記録された文字列の一部を変数として扱い、置換して処理する機能が悪用された。 Lookup機能の一つ「JNDI Lookup」を使うと、HTTP GETなどの簡単なHTTPリク
Log4j脆弱性を突く攻撃が高度化 WAF回避、認証情報の窃取など JPCERTが確認
Java向けログ出力ライブラリ「Apache Log4j」(Log4j)で12月10日に判明した脆弱性について、JPCERT/CCは17日、脆弱性を突いた攻撃が高度化していると報告した。「WAF(Web Application Firewall)などによる回避には限界があることを認識する必要がある」と注意喚起している。 Log4jの機能「JNDI Lookup」が悪用されると、任意のプログラムを外部から送り込まれ、実行される可能性がある。単純な攻撃はWAFで防御できる場合もあるが、JPCERT/CCの調査で、WAFの防御をくぐり抜けようとする攻撃が見つかった。 JPCERT/CCは、意図的に脆弱性を残したまま放置したサーバ(ハニーポット)でLog4jの脆弱性を突いた攻撃を観察。10日から16日の間にハニーポットが受けた攻撃は延べ393件。「LDAP」「IIOP」などさまざまな通信規格での攻
スマホアプリの“目立たぬ弱点” 分かっていても対策が難しいワケ
コンテンツデリバリーネットワーク(CDN)サービスを基盤に、各種のクラウド型セキュリティサービスを手掛けるアカマイ・テクノロジーズでWebセキュリティの動向を追う中西一博氏が、非常に発見が難しくなっているWeb攻撃の実態と手口を暴き、その対策について解説する。 以前の連載:迷惑bot事件簿 攻撃の約20%がAPIを標的に 普段利用するスマホアプリでも、購買や決済、パーソナライズなどの目的で、ID、パスワード認証を行うものは多い。そのログインを司るAPI認証・認可サーバには日々大量の不正なログイン試行がbot(自動実行プログラム)により行われている。世界中の主要なWebベースのコンテンツを配信している米Akamai Technologies(アカマイ)では、観測データからWebベースのサービスに対する不正なログイン試行総数の約20%が、APIサーバに対するものだと分析している。 SNSなどか
狙われるWebアプリケーション、脆弱性対策とWAFに期待できることとは
狙われるWebアプリケーション、脆弱性対策とWAFに期待できることとは:守りが薄いWebアプリケーション(3)(1/2 ページ) 当連載ではWebアプリケーションのセキュリティが置かれている状況と、サイバー攻撃について具体的なデータを示し、防御策を紹介している。第1回と第2回ではWebアプリケーションの攻撃対象となる領域と、領域ごとの被害例に加えて、Webアプリケーションが攻撃を受けるまでにたどるプロセスについて簡単に整理した。今回は、Webアプリケーション側で可能な対策について脆弱性への対応とWAFを中心に解説していく。 連載:守りが薄いWebアプリケーション Webセキュリティの対策を検討する前に考えることとは? これからWebアプリケーションのセキュリティについて本腰を入れて対策を始めようとしたときに、まずどこから手を付けようと考えるだろうか? 「現状の把握」「公開される脆弱(ぜいじ
モダンなクラウド型WAF「ThreatX」が解消するファイアウォールの課題とは?
クラウド時代のセキュリティ製品を国内で展開するパロンゴは、クラウド時代に向けた新世代WAF(Web Application Firewall)であるThereatXを日本とAPACで展開する。既存のWAFの課題を解消するThreatXの概要について同社のケリー・ブラジル氏、マーク・ロトロ氏、パロンゴの近藤学氏に聞いた。 既存のWAFの限界を超えるコンテナベースのWAF 2014年にテキサスのオースティンで設立されたThreatXは、BMCでセキュリティを担当していた2人が起業したスタートアップになる。最新の攻撃に対応できない既存のWAFをリプレースすべく、新世代ファイアウォールを開発した。 BMCでセキュリティを担当していた経歴を持つ創業者が描いていたのは、従来型WAFの課題を解消することだ。Webアプリケーションに対する標的型攻撃を防御するWAFだが、シグネチャ設定が固定的で、最新の攻撃
IPレピュテーションでウェブアプリへの攻撃は防げるか - WAF Tech Blog | クラウド型 WAFサービス Scutum 【スキュータム】
はじめに IPレピュテーションはIPアドレスそのものの信頼性をスコアリングし共有する手法で、主にスパムメール対策において使われてきました。しかし近年では(他社さんの)WAFがウェブアプリケーションへの攻撃を防ぐためにIPレピュテーションを利用する、というケースが増えてきたように感じます。 筆者は、あくまで個人的な感覚としてですが、「IPレピュテーションはウェブの攻撃検知・防御では役に立たないだろう」と思っていたのですが、今回これを客観的に評価してみることにしました。 何を調べるか? IPレピュテーションというのは要するに「一度(あるいはそれ以上)悪さをしたIPアドレスは、次から許さないぞ」というアプローチです。つまりあるIPアドレスからの最初の攻撃に対しては無力ですが、一度攻撃を見つけたら、次からはそのIPアドレスからの攻撃を防ぐことができる、ということになります。 そのため調べるべきなの
WAFに関する本音が飛び交った「F5 Security Real Talk Day」
11月17日、F5ネットワークスジャパンはセキュリティに関する本音トークを楽しむイベント「F5 Security Real Talk Day」を開催。最終パネルディスカッションには、アスキー編集部の大谷イビサがモデレータとして登壇し、ゲストとともにWAF(Web Application Firewall)にまつわる本音トークを展開した。 ユーザー、パートナー、ベンダーが本音を語りあう 「F5 Security Real Talk Day」は「Real Talk」という名前の通り、ベンダーやSIerの押し売りトークとは異なる生々しい話をユーザーに楽しんでもらおうという趣旨で開催されたセキュリティイベント。100名の会場は満員となり、本音を聞きたいという参加者の関心がうかがえた。 そんなイベントの最終セッションになったのが、「WAFのホントの所、言いたい放題 『で、どのWAFが良いの?』」とい
websec-room.com - websec room リソースおよび情報
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
脆弱なWAF達で遊んでみた - とある診断員の備忘録
最近、二つの脆弱なWAFが公開されました! Vurp - Vulnerable Reverse Proxy: https://github.com/hasegawayosuke/vurp ViddlerProxy: https://int21h.jp/tools/ViddlerProxy/ 今回は巷(ごく一部かな?w)で話題のこの脆弱なWAF達で遊んでみたら非常に面白かったので、このブログでちょっとご紹介したいと思います。 脆弱なWAFとは? そもそも、「脆弱なWAF」とは一体なんなのでしょうか?一般的なWAF(Web Application Firewall)は、Webサイトの脆弱性を悪用した攻撃から、Webサイトを保護するためのセキュリティ対策の一つです。 通常は守りたいWebサイトの通信経路上の前面に配置するような構成をとります。例えWebサイトに脆弱性が存在したとしても、前面のWA
[速報]DDoS攻撃からアプリケーションを守る「AWS Sheild」発表。AWS re:Invent 2016
[速報]DDoS攻撃からアプリケーションを守る「AWS Sheild」発表。AWS re:Invent 2016 「AWS Shieldによってすべての、Volumetric、State ExhaustionなどのDDoS攻撃から保護される。これはデフォルトでオンになっており、すべての皆さんが保護されるのだ」(Amazon.com CTO Werner Vogels氏) Amazon Web Servicesはラスベガスで開催中の年次イベント「AWS re:Invent 2016」において、Webアプリケーションファイアウォールの「AWS Shield」を発表しました。 AWS ShieldはElastic Load Balancing、Amazon CloudFront、Amazon Route 53などと連係して多くのタイプのDDoS攻撃からアプリケーションを守るためのマネージドサービ
![[速報]DDoS攻撃からアプリケーションを守る「AWS Sheild」発表。AWS re:Invent 2016](https://cdn-ak-scissors.b.st-hatena.com/image/square/c263e8160c8ef391ff7b10327c3b1db9f3481605/height=288;version=1;width=512/http%3A%2F%2Fwww.publickey1.jp%2F2016%2Freinvent2016206.jpg)
AWS WAFをバイパスしてSQLインジェクション攻撃をしてみる - Soon Lazy
最近はAWS WAFを触っています。こういう防御ツールは、やはり攻撃をどれぐらい防いでくれるか気になります。AWS WAFの場合、SQLインジェクション系の脆弱性を探ってくれるsqlmapをかけたところ、攻撃をブロックしてくれたという記事があります。 記事を読んだり自分でちょっと試したりして、ちゃんとSQLインジェクション攻撃を防いでくれるんだーと思っていました。が、つい先日WAFをバイパスしてSQLインジェクション攻撃をするテクニックがあることを知りました。例えばOWASPのこのページには、そういうテクニックがいくつか紹介されています。 こうなると気になるのは、AWS WAFに対してWAFバイパスのテクニックを使うとどうなるかです。というわけで、実際に試してみました。 単純にSQLインジェクションしてみる まずは、AWS WAFがないときにSQLインジェクションができること、また、AWS
Go製WAFのuconを触ってみた - Qiita
仕事で使うことになったので触ってみました。 とりあえず基本機能だけです。 https://github.com/favclip/ucon まとめ handlerの引数はBubble.Argumentsに設定されているものが使用される handlerの型がinterface{}なので気をつけよう reflectの知識が前提なのでreflect好きな人向け 私みたいな一般人は大人しくGin,Echo,Beegoあたりを使うのがいいかも 基本 package main import ( "net/http" "github.com/favclip/ucon" ) func init() { // register middleware ucon.Middleware(ucon.HTTPRWDI()) ucon.HandleFunc("GET", "/hello", getHello) http.
「HeartbleedもShellShockもPOODLEもWAFでまとめて止められる」F5がデモ
Heartbleed(OpenSSLの脆弱性)、ShellShock(GNU Bashの脆弱性)、POODLE Bites(SSL3.0の脆弱性)など、2014年に入って立て続けにWebサーバーを脅かす深刻な脆弱性が見つかっている。こうした脆弱性に対抗するには「パッチの適用」がベストだが、脆弱性が見つかってからすぐにパッチが出るとは限らないし、稼働中のシステムに対して即座にパッチを適用するのが難しいケースもよくある。 そんなWebサーバー管理者の悩みに対して、一つの解となるのがWAF(Web Application Firewall)の導入だ。WAFを導入することにより、Webサーバー自体に脆弱性が残っていても手前で攻撃を見つけて止められる。実際にどれくらい効果があるものなのか、2014年10月29日から31日まで幕張メッセで開催された「第5回情報セキュリティEXPO」において、F5ネット
フォーティネット、AWS向けに仮想WAFを“時間貸し”方式で提供開始
写真●AWSの仮想アプライアンスマーケット「AWS Marketplace」を通じて「Fortinet FortiWeb-VM」を時間借りできる フォーティネットジャパンは2014年7月29日、米アマゾン・ウェブ・サービスのクラウドサービスAWS(Amazon Web Services)向けに、Webアプリケーションファイアウォール(WAF)の機能を最小1時間単位で貸し出す、利用時払い(pay-as-you-go)方式のサービスを開始したと発表した。 米フォーティネットのWAF「Fortinet FortiWeb」の機能をAWSのVMに搭載した仮想アプライアンス「Fortinet FortiWeb-VM」を、「AWS Marketplace」を通じて1時間(hourly)あるいは1年間単位(annual)で貸し出す(写真)。FortiWeb-VMを使うことで、AWS上に公開したWebサイト
シマンテックに聞く、相次ぐWebアプリの脆弱性対策 | RBB TODAY
アプリケーションの脆弱性が相次いで発見され、ネットや新聞などのメディアで大きく取り上げられている。 脆弱性対策に追われる現状から脱却するソリューションとして、注目を集めているのが導入や運用が容易な「クラウド型WAF」だ。今回は、ウェブセキュリティのスペシャリストとしてクラウド型WAFを提供しているシマンテック・ウェブサイトセキュリティのTrust Services プロダクトマーケティング部 上席部長の安達徹也氏に、クラウド型WAFについて2回にわたり話を聞いた。 ―― WAFが注目されている背景について教えてください。 標的型攻撃をはじめとする、企業を狙うサイバー攻撃が増加しています。また、その攻撃対象は従来の大企業から中堅・中小企業にシフトしています。中堅・中小企業は、大企業の関連会社であったり下請け会社であったりするケースが多いので、セキュリティ対策の不十分なところを攻撃して、本丸で
ベイジアンネットワークを使ったウェブ侵入検知
はじめに 私たちが提供しているSaaS型のWAFサービス、Scutum(スキュータム)では、より高精度な攻撃検知を実現するために、ベイジアンネットワークの技術を利用しています。今回は「ウェブセキュリティ」「不正検知」「異常検知」「攻撃検知」といった観点から、ベイジアンネットワークについて解説します。 ベイジアンネットワークとは? ウィキペディアによると、ベイジアンネットワークは次のようなものです。 ベイジアンネットワーク(英: Bayesian network)は、因果関係を確率により記述するグラフィカルモデルの1つで、複雑な因果関係の推論を有向グラフ構造により表すとともに、個々の変数の関係を条件つき確率で表す確率推論のモデルである。 非常に的を射た説明ですが、「わかっている人にはわかるし、わかっていない人にはわからない」という感じもするかもしれません。基本からしっかり理解したいという場合
mod_securityでWebサーバを守る(第1回)
一体、Webサイトを持たない組織は今どれくらいあるでしょうか。 Webサーバを自前で持つ、ホスティングサービスを利用する、など運用形態はさまざまですが、Webサイトを持たない組織はほとんどないと思える程に Webは普及しています。 ファイアウォールはほとんどの組織で導入済みであり、多くのWebサーバはファイアウォールの中で運用されているのが一般的です。 しかしながら、最も普及しているファイアウォールはIPアドレス、ポートレベルでのフィルタリングです。この方法でのフィルタリングでは、許可していないサービスが持つ脆弱性を狙った攻撃を阻止できるため有用ではありますが、HTTPを許可している場合Web自体への攻撃に対して無力です。一方で、HTTPを不許可にした場合にはWebサイトへアクセスできなくなってしまうため本来の目的を達成できません。しかもここ数年、Webサイトを狙ったワームや不正アクセスは
Two open source web application firewalls announced - The H Security: News and Features
At the RSA Conference, two companies, Qualys and art of defence, have each announced their own open source, cloud-based web application firewalls (WAF). WAFs examine http traffic rather than the traditional IP packets, in order to evaluate the movement of data and code. This could trap, for example, cross site scripting attacks, embedded JavaScript based attacks or request forgery; a WAF could the
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
サイバーセキュリティクラウド、クラウド型WAFの構築・運用支援サービス「誰でもWAF プラットフォーム」提供開始 - SecurityInsight | セキュリティインサイト