2024年8月8日更新

本記事はWafCharmダッシュボード(旧管理画面)向けの内容です。WafCharmコンソール(新管理画面)をご利用されている場合は、以下のブログ記事をご参考ください。

また、新規申し込みはWafCharmコンソールからのみ受け付けております。

※WafCharmコンソールではインターフェースの大幅な変更を行っているため、WafCharmダッシュボードとは操作手順などが異なります。

WafCharmコンソールをリリースしました


【目次】
1.はじめに
2.前提として
3.対応攻撃状況
4.カスタマイズルールの作成・適用
5.おわりに

1. はじめに
今回は WafCharm での対応可能な攻撃についてまとめます。
記載されている攻撃全てから保護することを保証するものではございません。
ルールの適用状況もACL毎に異なりますのでご注意ください。
また、セキュリティの関係で詳細については公開できません。
対応情報を利用して攻撃に利用されることを防ぐためとなります。

2. 前提として

AWS WAF v2ではWCUという制限があり、現在は5000WCUまで使用可能です。
ただし、1500WCUを超えて使用している場合にはリクエスト数などに応じて追加費用が発生する場合があります。
使用WCUについては、お客様側にて管理・判断いただいております。

そのため、ルールとしては作成可能なものの、WCUの使用状況により適用が難しくなる場合があります。

AWS WAF v2については、以下の記事もご参考ください。


第1回 : 【new AWS WAF】変更点まとめ

第2回 : 【new AWS WAF】AWS マネジメントコンソール操作(マネージドルール編)

第3回 : 【new AWS WAF】AWS マネジメントコンソール操作(オリジナルルール編)

第4回 : 【new AWS WAF】AWS マネジメントコンソール操作(パターンセット・ルールグループ編)

第5回 : 【new AWS WAF】JSON 解説


3. 対応攻撃状況
一般的な脅威からの防御としての対応攻撃を少し具体的に説明します。

■対応攻撃例一覧
 ・SQLインジェクション
 ・OSコマンドインジェクション
 ・コードインジェクション
 ・ヘッダインジェクション
 ・パストラバーサル・ディレクトリトラバーサル
 ・クロスサイトスクリプティング
 ・XXE攻撃
 ・悪質なUserAgentに関する防御
 ・その他特定のミドルウェアやOSに関する脆弱性等
  etc

■非対応攻撃例一覧
 ・CSRF

■ブラックリスト更新による対応攻撃状況
 ・ブラックリストの再マッチング処理に関する対応攻撃については
  非公開となっています。

基本的な考え方として、対応できる攻撃についてはWAFへの通信段階で異常と
判断できる条件が必要となります。
すでに漏洩したパスワードを使用したアクセスや正常なアクセスと判別がつかない
アクセスは検知できません。

また、特定の脆弱性に対する攻撃は、それが上の対応攻撃例一覧に
分類される場合において、一部を除いてその分類項目として検知されます。
例:管理画面にアクセスできる、特定のミドルウェア依存の脆弱性を用いた
SQLインジェクションを受けた場合も、あくまでSQLインジェクションとして
検知する。

4.カスタマイズルールの作成・適用
WafCharm では、お客様個別でのルール作成及び適用をカスタマイズとして
承ることが可能です。

カスタマイズ例
・アップデートがすぐにできないため、特定の脆弱性に対する攻撃の検知を優先して
実施しておきたい。

該当の脆弱性を利用した攻撃が判別可能な場合、カスタマイズルールとして作成・適用します。

・特定のパスへのアクセスを遮断したい。(必要なアクセスはホワイトリストで回避)

対象パスにアクセスしたものを遮断するカスタマイズルールを作成・適用します。

・レートベースルールを使用したい。
以下のブログを参照ください。
https://www.wafcharm.com/jp/blog/how-to-use-the-rate-based-rule/

5.おわりに
WAFを導入したことによりWEBセキュリティが全て守られるわけではありません。
脆弱性に対するアップデートや安全なサイト設計、適切な権限設定、不要な通信経路を
閉じるなど総合的な対策を実施していきましょう。