シャオチイン(Xiaoqiying)ハッキング攻撃への対応

概要

ハッキンググループシャオチイン(Xiaoqiying) は、18の公共機関および企業に対してハッキング攻撃を行ったと主張しています。
今回の攻撃事例を整理した結果、主要な攻撃経路はウェブサーバーを通じたものでした。

主な被害経路

シャオチイン攻撃の結果、被害機関のホームページが改ざんされ、トップページがこのハッキンググループのロゴに変更されました。
その後の追加的なハッキング攻撃に発展する可能性があり、代表的な例は以下の通りです：

1. ランサムウェア攻撃 によるシステム破壊。
2. ホームページを通じてデータベースにアクセスし、顧客情報や機密情報を流出。
3. バックドアを設置 して内部の他システムに対するAPT（標的型持続攻撃） を実行。
4. バックドアを隠し、他企業を攻撃するサーバーとして利用。

複数のセキュリティ報告書によると、ハッキング攻撃の80％はウェブサーバーを通じて開始され、
ランサムウェア攻撃の70％もウェブサーバーを経由して進行しています。

ウェブハッキングへの対応方法

1. ウェブファイアウォール(WAF)の必要性

ウェブサーバー攻撃を防御するためには、ウェブファイアウォール(WAF, Web Application Firewall) が不可欠です。

2. ウェブファイアウォール管理の課題

ウェブファイアウォールは効果的ですが、以下の管理が必要です：

• パターン管理：新たに登場する攻撃パターンに対応するため、継続的な更新が必要です。
• ウェブログ分析：ウェブファイアウォールで防げなかった攻撃を特定するためにログ分析が必要です。
• クレデンシャルスタッフィング：アカウント窃取攻撃にはウェブファイアウォールのみでは対応できません。

ウェブファイアウォール(WAF)の限界と代替案

WAFの構造的な限界

ウェブファイアウォールは単一セッションに基づいて攻撃の有無を判断します。
そのため、攻撃を検知できなかった場合、攻撃コードがウェブサーバーにそのまま渡されます。

代替案:
ウェブサーバーのログを分析し、攻撃コードが残っているかを確認することが、
ウェブファイアウォールを回避した攻撃に対応する唯一の方法です。

侵入防止システム(IPS)の非効率性

侵入防止システム(IPS, Intrusion Prevention System) がウェブパケット分析に適しているという主張もありますが、実環境では困難です。

• IPSはウェブファイアウォール(WAF)に比べて検知ルールが少なく、WAFで見逃した攻撃を検知することは難しいです。

例え:

ウェブファイアウォール(WAF)はプロリーグのゴールキーパー、
侵入防止システム(IPS)はユースリーグのゴールキーパーに例えられます。

PLURAのウェブハッキング対応システム

PLURAの特徴

1. PLURA-WAF：自社製ウェブファイアウォールでウェブ攻撃をリアルタイムで遮断。
2. PLURA-SIEM：統計的異常検知でクレデンシャルスタッフィング攻撃に対応。
3. ウェブヘッダーおよび本文情報の分析：全ウェブログを活用して未知の攻撃に対応。

参考資料

ブログ

• クレデンシャルスタッフィングへの対応
• PLURA-WAF デモ

マニュアル

• PLURA-WAF 使用ガイド
• PLURA-SIEM 使用ガイド