blog_Introduction

Cloudbric(クラウドブリック)の主要機能をご紹介いたします!

by ブログ

ご紹介ㅣCloudbric WAFの主要機能

企業のセキュリティ関連予算が毎年増加している中、どのようなセキュリティ対策を立てていますか?

過去には攻撃履歴のあるIPアドレスからのアクセスを遮断したり知られている攻撃パターンと比較して遮断したりする方法でWebサイトを保護しましたが、もうこの方法ではWebサイトを安全に保護出来なくなりました。

新種の攻撃を検知出来なかったり悪意の無いアクセスも遮断してしまったりする事が多くなっている為です。

このような問題を解決してWebサイトを保護してくれるCloudbric(クラウドブリック)WAFの主要機能についてご紹介致します。
安全なWeb環境を作る為にはどういったセキュリティ対策が必要であるかご確認ください。

紹介

– Web攻撃遮断サービス

「ロジックベース検知エンジン搭載」

クラウドブリックはより安全なWebセキュリティサービスを提供する為、既存WAF市場の検知技術とは異なる「ロジックベース検知エンジン」を搭載しています。ロジック分析を通じた検知技術で、攻撃真偽まで把握して誤検知率が低く、今までなかったWeb攻撃パターンを正確に検知して遮断出来ます。また、データの意味を論理的に分析するので誤検知も少ないです。

「OWASP主要脆弱性Top10に対応」

クラウドブリックのWAFは、OWASPが発表した主要脆弱性Top10に全て対応出来ます。
ロジックベース検知エンジンの26種の検知ルールを基盤に多様なWebサイトの脆弱性を補完してWeb攻撃を防御出来て有害なトラフィックを正確に区分して遮断しています。

 

– DDoS防御

「DDoS攻撃の定義」

DDoSはハッカーがウィルスに感染させて操る多数のゾンビPCが一斉にWebサーバに負荷をかける攻撃です。以前はトラフィックを発生させてネットワークをフリーズさせる攻撃が流行っていましたが、最近はアプリケーションの脆弱性を悪用してWebサーバを直接攻撃する場合が増加しています。

このような攻撃は、Webサーバの全ての情報が消えたり流出したりする致命的な結果を用いることがあります。

「多様なDDoS攻撃を防御」

クラウドブリックのWAFはWebアプリケーションの脆弱性を悪用した全ての非正常的なアクセスを迅速でスマートに検知/遮断します。最も多いDDoS攻撃から最新トレンドであるマルチバクタ攻撃(Slowloris, RUDYなど)まで、全範囲のDDoS攻撃からWebサイトを保護します。また、ネットワーク拡張を通じてネットワークフリーズを防ぎます。

ddos

– 無料SSL

「SSL証明書」

SSL(Secure Socket Layer)はWebサイトユーザとWebサーバ間の通信を暗号化する為にWebサーバに保存する証明書です。
SSLを使用せずにHTTP通信を行ったら、ユーザとWebサーバ間の通信が第三者に露出する可能性があります。
ユーザの大事な情報を保護する為には、SSLでWebサイトの全ての通信を暗号化しなければいけません。

「無料SSL提供」

クラウドブリックはIDソリューション分野においてグローバルリーダであるIden Trustから認証されたLet’s Encrypt証明書を無料提供しています。

また、Webサイトの有効性を証明して発行した証明書をWebサーバに保存する手間を無くす為、ユーザがサービス登録さえ完了すれば追加作業が必要ない自動SSLを使用出来るようにして利便性を高めました。

現在行っているセキュリティ対策に足りない部分はありませんか?
クラウドブリックのサービスを利用すれば、簡単・迅速に強力なWebセキュリティを導入して顧客からより信頼される企業になります。
もっと詳しい情報を知りたい方はクラウドブリックのホームページを参照もしくはお問合せメニューを利用してご連絡をお願い致します。

vevo

【コラム】Webサイト改ざんの事例と対策

by ブログ

最近大型サイトが  改ざん される事件が目立っています。
ユーザがWebサイトにアクセスしたら他のサイトに繋がるようにしたり、Webページを他のサイトに換えたりする事件が増えています。
様々なハッキング方法からWebサイトを安全に保護する為にはどういう対策を立てるべきでしょう。
今回は最近話題になった改ざん事例と対策についてご紹介致します。

「Webサイト改ざんとは」

Webサイト改ざんとは、ハッカーがWebサイトのコンテンツやシステムを任意に変造するWeb攻撃です。
企業もしくは個人情報の一部、あるいはWebサイト全体を変える不正行為に該当します。
こうしたWeb攻撃の主な目的は営利的な事から他人(もしくは他企業)を誹謗しようとする事、政治的な目的まで様々ですが、はっきりした目的も無く攻撃するハッカーもいます。

「話題になった改ざん事例」

₋Youtube
2018年4月10日、米国Youtubeサイトにある人気アーティストのPVが改ざん被害に遭いました。
ストリーミングサイトVevoのYoutubeチャンネルがハッキングされて発生した事でした。
英国BBCと米国The Vergeの報道によると、Youtubeで視聴回数1位だった「Despacito」のサムネイル画像がマスク姿で銃を構える集団の画像に置き換えられ、その後一時的に視聴できなくなったそうです。ほかにもシャキーラ、セレーナ・ゴメス、テイラー・スウィフトといった人気アーティストの音楽ビデオが相次いで改ざんされました。
被害に遭った動画はいずれもレーベルがVevoのアカウントを通じてYoutubeに公開した公式ビデオでした。
改ざん Youtube

参考:ITmedia エンタープライズ「人気音楽ビデオが相次いで改ざん被害、YouTubeのVevoチャンネルでハッキング」
http://www.itmedia.co.jp/enterprise/articles/1804/11/news058.html

₋政府機関
今は対策を立て関連法律を制定していますが、2000年代には各政府機関のサイトが改ざんされる事件が相次いでいました。
2000年1月24日、科学技術庁のホームページが日本人をののしり、ポルノサイトへ誘導する内容に改ざんされました。
その他にも総務省統計局・自動車事故対策センターなどのデータが削除される攻撃が発生しました。

参考:kogures.com 「中央官庁Webページ集中改ざん事件(2000年)」
http://www.kogures.com/hitoshi/history/virus-2000-web-kaizan/index.html

₋トヨタ自動車
2013年6月18日、トヨタ自動車はホームページの一部が不正アクセスを通じて改ざんされたという経緯書とそれに対する謝罪声明を発表しました。
ホームページのニュースサイトを閲覧したら悪性プログラムがインストールされ、この状態が6月4日から6月14日まで続きました。
幸い個人情報流出は無かったですが、この為しばらくの間ホームページ内コンテンツを閲覧出来ませんでした。

参考:日経コミュニケーション 「トヨタのWebサイトが改ざん、不正プログラムを自動実行する状態に」
http://tech.nikkeibp.co.jp/it/article/NEWS/20130619/486291/

「改ざんに備える為には」

1.改ざんチェック方法
₋Webサイトの全ページソースコードを確認
ウェブサイト上に公開されている全ページについて、不正なスクリプト(意味不明な文字列)が含まれていないかを確認してください。
同様に、ウェブページを編集するパソコンに保存されているページもチェックしてください。
ウェブページのブラウザ上での見た目は、改ざんされる前と区別がつかないため、ホームページの編集ソフト等でページのソースを表示して確認してください。
₋ftp へのアクセスログを確認
ftp のアカウントを不正に利用され、正常なページに不正なスクリプトを埋め込む事例が確認されています。
自分がアクセスしていない日時に、ftp のアクセスが行われていないかを確認してください。
特に、企業の場合は、ftp のアクセスログを定期的にチェックし、不正アクセスや改ざん検知サービスの導入を推奨します。
※ftp:File Transfer Protocolの略。ネットワークでファイルを転送する為のプロトコル。
2.Webサイト運用の見直し
ウェブサイト更新用のアカウント情報が適切に管理されているかパスワード及びアカウント共有の側面から見直してください。
使用しているパスワードが十分に複雑でハッキングされる危険が無いか、アカウント情報の共有を必要以上の人員にしていないかに対する見直しが必要です。
3.一般利用者における対策
脆弱性を悪用して感染するウイルスからパソコンを守るため、Windows OS の利用者は Microsoft の自動アップデート機能を有効にしてください。
また、パソコンのすべてのアプリケーションソフトを定期的に最新版に更新してください。
そして、セキュリティ対策ソフトをインストールしたり無料オンラインサービスを利用したりすることをお勧めします。

参考:ウェブサイト管理者へ:ウェブサイト改ざんに関する注意喚起 一般利用者へ:改ざん されたウェブサイトからのウイルス感染に関する注意喚起 (https://www.ipa.go.jp/security/topics/20091224.html)

4.企業などホームページ管理者における対策
WAFはWebサイトとアプリケーションの間に介入して通信を通したアクセスを監視及び防御するセキュリティソリューションです。
WAFを導入したらWebアプリケーションの脆弱性を狙ったWeb攻撃を検知して攻撃的通信のアクセスを防ぐ事が出来ます。
そして、Webページの改ざんだけではなく、DDoS攻撃など様々なサイバー攻撃に対応可能なWebサイトの総合セキュリティ対策を立てることが出来ます。
安全なWebサイトを作る事が企業財産を守る事です。ハッキングに遭遇する前に充分に備えてください。
Cloudbricの製品情報はこちら
製品に関するお問合せはこちら
パートナーに関する情報はこちら
パートナーに関するお問合せはこちら

cloudbric_hp_owasp_2

【コラム】10大Webアプリケーション脆弱性と対策法

by ブログ

昨今ハッカーによるWeb攻撃が単純にWebサイトをフリーズさせるたけではなく、個人情報流出や重要資料の削除などの大問題になっています。
こういうニュースを見る際に「脆弱性」という単語をご覧になりましたか?
地下市場の発達により、今は専門ハッカーでなくてもWebページにアクセスして脆弱性を見つける事が出来て、脆弱性を多く持っているWebサイトを探してくれる自動化ツールまで出来ています。
Webサイトを安全に保護する為には、ハッカーの標的になる「脆弱性」を把握してそれに対する補完及び対策を立てることが重要です。
今回はOWASPが提示した10大Webアプリケーション脆弱性について述べ、脆弱性に備える方法をご説明致します。
脆弱性

1.10大Webアプリケーション 脆弱性

OWASP Top 10(2017年)
A1: インジェクション A6: 不適切なセキュリティ設定
A2: 認証の不備 A7: クロスサイトスクリプティング (XSS)
A3: 機微な情報の露出 A8: 安全でないデシリアライゼーション
A4: XML外部エンティティ参照(XXE) A9: 既知の脆弱性のあるコンポーネントの使用
A5: アクセス制御の不備 A10: 不十分なロギングとモニタリング

 

A1 : インジェクション
SQL, OS, XXE, LDAP インジェクションに関する脆弱性は、コマンドやクエリの一部として信頼されないデータが送信される場合に発生します。
攻撃コードはインタープリタを騙し、意図しな いコマンドの実行や、権限を有していないデータへのアクセスを引き起こします。
A2: 認証の不備
認証やセッション管理に関連するアプリケーションの機能は、不適切に実装されていることがあります。
不適切な実装により攻撃者は、パスワード、鍵、セッショントークンを侵害したり、他の実装上の欠陥により、
一時的または永続的に他のユーザーの認証情報を取得します。
A3: 機微な情報の露出
多くのウェブアプリケーションやAPIでは、財務情報、健康情報や個人情報といった機微な情報 を適切に保護していません。
攻撃者は、このように適切に保護されていないデータを窃取または 改ざんして、クレジットカード詐欺、個人情報の窃取やその他の犯罪を行う可能性があります。
機微な情報は特別な措置を講じないでいると損なわれることでしょう。
保存や送信する時に暗号 化を施すことや、ブラウザ経由でやり取りを行う際には安全対策を講じることなどが必要です。
A4: XML外部エンティティ参照(XXE)
多くの古くて構成の悪いXMLプロセッサーにおいては、XML文書内の外部エンティティ参照を指 定することができます。
外部エンティティは、ファイルURIハンドラ、内部ファイル共有、内部 ポートスキャン、リモートコード実行、DoS(サービス拒否)攻撃により、内部ファイルを漏え いさせます。
A5: アクセス制御の不備
権限があるもののみが許可されていることに関する制御が適切に実装されていないことがありま す。
攻撃者は、このタイプの脆弱性を悪用して、他のユーザのアカウントへのアクセス、機密 ファイルの表示、他のユーザのデータの変更、アクセス権の変更など、権限のない機能やデータ にアクセスします。
A6 : 不適切 なセキュリティ設定
不適切なセキュリティの設定は、最も一般的に見られる問題です。
これは通常、安全でないデ フォルト設定、不完全またはアドホックな設定、公開されたクラウドストレージ、不適切な設定 のHTTPヘッダ、機微な情報を含む冗長なエラーメッセージによりもたらされます。
すべてのオ ペレーティングシステム、フレームワーク、ライブラリ、アプリケーションを安全に設定するだ けでなく、それらに適切なタイミングでパッチを当てることやアップグレードをすることが求め られます。
A7 : クロスサイトスク リプティング (XSS)
XSSの脆弱性は、適切なバリデーションやエスケープ処理を行っていない場合や、HTMLや JavaScriptを生成できるブラウザAPIを用いているユーザ入力データで既存のWebページを更新 する場合に発生します。
XSSにより攻撃者は、被害者のブラウザでスクリプトを実行してユー ザーセッションを乗っ取ったり、Webサイトを改ざんしたり、悪意のあるサイトにユーザーをリ ダイレクトします。
A8 : 安全で ないデシリアライ ゼーション
安全でないデシリアライゼーションは、リモートからのコード実行を誘発します。
デシリアライ ゼーションの欠陥によるリモートからのコード実行に至らない場合でさえ、リプレイ攻撃やイン ジェクション攻撃、権限昇格といった攻撃にこの脆弱性を用います。
A9 : 既知の 脆弱性のあるコン ポーネントの使用
ライブラリ、フレームワークやその他ソフトウェアモジュールといったコンポーネントは、アプ リケーションと同等の権限で動いています。
脆弱性のあるコンポーネントが悪用されると、深刻 な情報損失やサーバの乗っ取りにつながります。
既知の脆弱性があるコンポーネントを利用して いるアプリケーションやAPIは、アプリケーションの防御を損ない、様々な攻撃や悪影響を受け ることになります。
A10 : 不十分なロギング とモニタリング
不十分なロギングとモニタリングは、インシデントレスポンスに組み込まれていないか、非効率 なインテグレーションになっていると、攻撃者がシステムをさらに攻撃したり、攻撃を継続でき るようにし、ほかのシステムにも攻撃範囲を拡げ、データを改竄、破棄、破壊することを可能に します。
ほとんどのデータ侵害事件の調査によると、侵害を検知するのに200日以上も要してお り、また内部機関のプロセスやモニタリングからではなく、外部機関によって検知されています。

(引用:OWASP Top10 – 2017 https://www.owasp.org/images/2/23/OWASP_Top_10-2017%28ja%29.pdf)

2.脆弱性に備える為には

日々増加しているWeb攻撃に備えて、企業はWebアプリケーションを保護する為の効率的なプロセスと技術を持つ必要があります。
この為、まず自社のWebサイトに内在している脆弱性を認知・把握した後、必要に応じてWAF等のソリューションを導入するべきです。
多くの企業がWebサイトに数多くの顧客情報を保存しているので、企業は社会的責任と貢献の為に常にセキュリティを念頭に入れる義務を持っています。
全ての脆弱性について認知し、Web攻撃を防御してくれるWAFを導入して企業と顧客の資産を守りましょう。
Cloudbricのパートナーシップ制度はこちら
パートナーに関するお問合せはこちら
Cloudbricの製品情報はこちら
製品に関するお問合せはこちら

WAFER_Report

分かりやすいWAFERガイド

by ブログ
前回の「安全なWebサイトを作る3つの方法」に続いて今回はWAFERの使用法を分かりやすくご説明いたします。

1.ドメイン入力
テストするWebサイトのURLを入力します。
この時、WAFERが評価のため実際にWebサイトに無害な攻撃を実行するので、本人所有または直接管理するWebサイトのURLを入力しなければいけません。
(一度WAFERにWebサイトを登録したら他の人はそのWebサイトを登録出来ません。)

WAFER_Main Page

2.利用中のWAFサービスを選択
クラウドブリックのWAFを利用していなくてもテスト出来ます!
選択肢に該当するサービスが無い場合、「その他」を選択してください(重複選択不可)
Select

3.ドメイン所有認証
先に述べたように、Webサイトに直接攻撃パターンを実行するので、ドメインの所有者である事を認証することで悪用を防止しています。
認証方法は以下の3つから選択出来ます。
Domain

1)Cloudbricログイン:弊社のサービスをご利用中の場合、DNSが既にクラウドブリックのサーバを振り向いていて認証が完了しているので、ログインさえすれば次のページへ移動します。
login

2)DNSレコード変更:ドメインの管理ページにログインしてTXTレコードを変更してください。
TXT

3)HTMLタグを追加:<HEAD>部分にクラウドブリック提供のMETAタグを追加してください。
「例を確認します。」をクリックしたら具体的にどこにMETAタグを追加するのかが確認出来ます。
HTML

4.評価進行
ドメインの所有者である事が認証されたら、ご利用中のWAFの評価が始まります。
評価中には、進行中の攻撃パターンのカテゴリーをリアルタイムで確認出来ますし、評価の所要時間が長引いてしまうと停止ボタンをクリックして停止させる事も可能です。
そして、評価結果を待ちながら下段のBlackIPediaのリンクから最近ブラックリスト処理されたIP住所リストも確認出来ます。
Evaluate

5.結果レポート確認
評価が完了したら、結果レポートが出されます。
レポートには以下の評価項目が記載されています。

₋正検知パターンの総数及び遮断数、正検知遮断率(%)
₋誤検知パターンの総数及び遮断数(誤検知数)、誤検知遮断率(%)
₋攻撃種類のうち正検知率上位10個
(該当する攻撃種類の全体数、正検知数、正検知率)
₋正検知した攻撃の影響度の統計
₋攻撃種類の結果ページへのリンク

Report

いかがでしたでしょうか。
このように少しの間を使用してWAFERで貴社のWAFのセキュリティ性能を無料測定出来ます。
このガイドを参考してもっと簡単にWAFERを使用してください。
専門家がいなくても利用中のWAFの長短所を把握出来ます。
また、疑問点などがありましたら以下のリンクにてお問合せください。

お問合せはこちら
パートナーに関する情報はこちら
Cloudbricの製品情報はこちら

WAFER_Inforgraphic

安全なWebサイトを作る為には~3分で分かるWAFER~

by ブログ

今回は WAFER に関する紹介を分かりやすくまとめました!

前回の説明が難しかった方は特にご注目です!

前回のポストはこちらへ(安全なWebサイトを作る3つの方法)

WAFER
※イメージをクリックすると該当ページへ移動します。

お問合せ:Cloudbric株式会社(ホームページへ
Tel: 050-1790-2188 E-Mail:japan@pentasecurity.com

製品情報はこちら
パートナーシップ情報はこちら

WAFER のお試しはこちら