資料請求リスト
0

WAFで防御可能な攻撃一覧!Webサイトを脆弱性から守る方法?

WAFで防御可能な攻撃一覧!Webサイトを脆弱性から守る方法?

WebサイトやWebアプリケーションは、さまざまな脆弱性を突いた攻撃の対象となります。こうした脆弱性攻撃は、ユーザー情報の漏えいやサイト改ざんといった重大な被害を引き起こすおそれがあるため、早期かつ適切な対策が欠かせません。

この記事では、WAFで防御できる攻撃とWAFの概要や仕組みについて解説します。WAFについての理解を深め、自社のセキュリティ対策につなげましょう。ページ内のボタンからWAF製品の一括資料請求も可能です。

目次

    脆弱性攻撃を防ぐWAFとは

    WAF(web application firewall)とは外部ネットワークからWebアプリケーションを守るためのセキュリティ製品です。ファイアウォールの一種で、Webアプリケーションのやり取りを検知・管理することで不正侵入を防御します。

    Webアプリケーションはインターネットバンキングやネットショップなどで利用され、通常の企業サイトには関係ないと思われがちです。しかしWordPressやDrupalなど多くの企業サイトの構築に利用されているCMSも攻撃の対象となっています。

    実際にサイト改ざんやユーザー情報の漏えいなど被害を受ける企業サイトは多く、これらの攻撃の防御対策としてWAFは必須アイテムとなっているのです。

    WAFの仕組みと脆弱性攻撃への対応方法

    WAFはWebアプリケーションへの通信を監視し、SQLインジェクションやXSSといった脆弱性を狙う攻撃を検知・遮断します。通信データをアプリケーション層で分析することで、通常のファイアウォールでは見逃される攻撃にも対応可能です。

    主な検知方法としては、既知の攻撃パターンに基づく「シグネチャ型」と、通信の異常な振る舞いをとらえる「振る舞い検知型」があり、これらを組み合わせることで高い防御力を実現しています。

    脆弱性対策にWAFが必要とされる背景

    近年、Webアプリケーションの脆弱性を狙ったサイバー攻撃が急増しています。特にSQLインジェクションやクロスサイトスクリプティング(XSS)などは、企業サイトの問い合わせフォームやログイン画面といった日常的な機能を標的にするため、業種・業界を問わずリスクがあります。

    さらに、CMSのような汎用的なシステムを使っている場合、既知の脆弱性が狙われるケースも多く、サイト運営側で完全に対処しきることは困難です。このような状況下では、脆弱性の存在を前提に不正アクセスを遮断できるWAFの導入が、実質的な前提防御として求められています。

    WAF紹介ページ遷移画像

    WAFで防御可能な攻撃とは

    次に、WAFがどういった攻撃を防御できるのかを具体的に見ていきましょう。

    パスワードリスト攻撃

    多くの人が複数サイトで同じログインID・パスワードを使っている状況を悪用し、他のサイトで入手したログイン情報を当て込み、不正にログインする攻撃です。この攻撃により、クレジットカード情報の流出や会員情報の流出など、企業の信用に関わる問題を引き起こします。

    WAFでパスワードリスト攻撃を防御する方法については以下の記事を参考にしてみてください。

    関連記事 WAFによるパスワードリスト攻撃の対策とは?事例を用いて解説!

    XSS(クロスサイトスクリプティング)攻撃

    XSS(クロスサイトスクリプティング)攻撃は、掲示板や入力フォームのあるサイトに、不正なスクリプトを挿入し、マルウェアに感染させるサイトに誘導する攻撃です。これはWebサイトの脆弱性につけこんだ攻撃のため、WAFで防御できます。

    XSSをWAFで防御する方法については以下の記事をご覧ください。

    関連記事 WAFによるXSS(クロスサイトスクリプティング)攻撃対策の方法を解説

    SQLインジェクション攻撃

    データベースと連動するWebサイト・Webアプリケーション上でWebサイトに設置された入力フィールドにSQL文を入力するなど特定のコマンドを実行させ、データベースを操作する攻撃です。この攻撃によりデータベースの中にあるユーザー情報などを窃盗します。

    SQLインジェクションも、Webサイトの脆弱性を利用した攻撃の一種であるため、WAFを活用することで防御できます。SQLインジェクション対策をしたい方は以下の記事を参考にしてみてください。

    関連記事 WAFでSQLインジェクションは防げる?改ざん事例や事後対策も解説!

    ディレクトリ・トラバーサル(パストラバーサル)

    ファイル名を扱うようなプログラムに対して特殊な文字列を組み込みディレクトリ(フォルダ)を遡ることで、本来はアクセスが禁止されているディレクトリにアクセスします。また攻撃者は非公開のディレクトリにアクセスすることで個人情報や機密情報の窃盗を行います。

    ディレクトリトラバーサルについてさらに詳しく知りたい方は以下の「Zip Slip」に関する記事を参考にしてみてください。

    関連記事 「Zip Slip」とは?仕組みや対処法についてわかりやすく解説!

    DoS攻撃、DDoS攻撃

    DoS攻撃、DDoS攻撃は、WebサイトやWebサーバの機能を停止させたり、攻撃を目的として不正にポートスキャンを行うものです。攻撃者の目的によっては長期間のサイト表示停止に追い込まれる危険もあります。

    これらの攻撃については以下の記事で解説していますのでぜひ参考にしてみてください。

    関連記事 DDoS攻撃への対策と最適ツールの選択方法とは?

    POODLE攻撃

    POODLE攻撃は脆弱性を悪用することで攻撃者はパスワードやクッキーにアクセスしWebサイト上にあるユーザーの個人情報を窃盗します。

    このPOODLE攻撃による大きな被害は報告されていませんが、日々新種、亜種のウィルスやサイバー攻撃が発生する現代において、常に最新体制で防御することは大切です。特にWebサイトやWebサーバを狙う攻撃が増えている以上、WAFによる防御対策をしっかり行うことは企業としての重要な責務であるともいえます。

    ここまで、WAFで防御できる防御できる攻撃について紹介してきましたが、実はWebアプリケーションの防御で圧倒的な強さを発揮するWAFでも防げない攻撃があります。以下の記事ではWAFでも防げない攻撃について解説していますので、WAFが完璧でないことも知った上で、対策を立てていきましょう。

    関連記事 WAFで防げない攻撃は?防げる攻撃と利用ポイントも解説

    まとめ

    Webアプリケーションに潜む脆弱性を悪用した攻撃は、企業の信用や収益に大きな影響を与えるリスクがあります。WAFは、こうした脆弱性攻撃を未然に防ぎ、安心してWebサイトを運営するための有効な対策です。

    まずはWAFの役割や機能を理解し、自社のセキュリティ要件に適した製品を選定することが、堅牢な防御体制の第一歩となります。WAFの導入を検討される方は、まず資料請求を行い、製品について知った上で自社の現状を把握し、自社にあった製品を導入しましょう。

    WAF紹介ページ遷移画像
    新NISAに関する実態調査アンケート

    アンケート回答者の中から毎月抽選で10名様に

    Amazonギフトカード1,000円分が当たる!

    電球

    ITトレンドMoneyみんなのおサイフ事情では

    「新NISAに関する実態調査」をしております。

    ぜひご協力ください。

    it-trend moneyロゴ
    新nisaアンケートロゴ
    \匿名OK!カンタン2分で完了/アンケートに答える
    IT製品・サービスの比較・資料請求が無料でできる、ITトレンド。「WAFで防御可能な攻撃一覧!Webサイトを脆弱性から守る方法?」というテーマについて解説しています。WAF(Web Application Firewall)の製品 導入を検討をしている企業様は、ぜひ参考にしてください。
    このページの内容をシェアする
    facebookに投稿する
    Xでtweetする
    このエントリーをはてなブックマークに追加する
    pocketで後で読む
    認知度、利用経験率No.1のITトレンド WAF(Web Application Firewall)上半期ランキング
    カテゴリー関連製品・サービス
    Cloudbric WAF+
    ペンタセキュリティ株式会社
    ☆☆☆☆☆
    ★★★★★
    ★★★★★
    5.0
    BLUE Sphere
    株式会社アイロバ
    ☆☆☆☆☆
    ★★★★★
    ★★★★★
    4.8
    【SiteGuard】
    EGセキュアソリューションズ株式会社
    ☆☆☆☆☆
    ★★★★★
    ★★★★★
    0.0
    サイバー攻撃可視化ツールPrimeWAF
    バルテス株式会社
    ☆☆☆☆☆
    ★★★★★
    ★★★★★
    4.0
    【攻撃遮断くん】
    株式会社サイバーセキュリティクラウド
    ☆☆☆☆☆
    ★★★★★
    ★★★★★
    4.2
    MSS for Imperva Incapsula
    SBテクノロジー株式会社
    ☆☆☆☆☆
    ★★★★★
    ★★★★★
    0.0
    Cloudbric WMS for AWS WAF
    ペンタセキュリティ株式会社
    ☆☆☆☆☆
    ★★★★★
    ★★★★★
    5.0
    ITトレンドへの製品掲載・広告出稿はこちらから
    WAF(Web Application Firewall)の製品をまとめて資料請求