WebShell:見えない侵略者
セキュリティを高めたい
「WebShell」って、何のことですか?
情報セキュリティ専門家
「WebShell」は、ウェブサイトを裏で操れるように仕込まれた、悪意のある小さなプログラムのことだよ。たとえるなら、泥棒がこっそり家に忍び込むための隠し扉のようなものだね。
セキュリティを高めたい
隠し扉?!こっそり何をされるのですか?
情報セキュリティ専門家
その隠し扉を使って、情報を盗んだり、コンピュータを勝手に操作したりするんだ。だから「WebShell」はとても危険なものなんだよ。
WebShellとは。
「ウェブシェル」という言葉を説明します。これは、ウェブサイトを作るための言葉(PHPやJSPなど)を使って作られた、悪意のある小さなプログラムです。このプログラムを標的のコンピューター(ウェブサイトを動かす機械など)に送り込むことで、命令を実行させたり、情報を盗んだり、さらに別の悪意のあるプログラムをダウンロードさせたりします。ウェブシェルは、すでにあるウェブサイトにこっそり紛れ込ませる方法で作られることが多く、情報のやり取りにはHTTPSという安全な仕組みを使います。そのため、セキュリティ対策の道具や製品に見つかりにくく、標的のコンピューターを長い間支配下に置いたり、裏口を作ったりするために利用されます。「ChinaChopper」は、有名なウェブシェルのひとつで、中国の攻撃グループが利用しています。これは、アメリカの政府機関を狙った「ProxyLogon」攻撃でも使われました。ウェブシェルの脅威を見つけて防ぐための資料として、アメリカとオーストラリアの政府機関が共同で2020年に発表した注意喚起があります。
WebShellとは
– WebShellとは
WebShellとは、WebサイトやWebアプリケーションを不正に操作するために仕込まれた悪意のあるプログラムのことです。例えるならば、本来入ることを許されていない人間が密かに作った合鍵のようなもので、この合鍵を使うことで、攻撃者はシステムに侵入し、情報を盗み出したり、システムを改ざんしたりすることができます。
WebShellの厄介な点は、PHPやJSPといったWeb開発で一般的に使用されるプログラミング言語で記述されているため、発見が非常に困難なことです。一見すると、通常のプログラムと見分けがつかず、セキュリティ対策ソフトでも検知が難しい場合があります。
攻撃者は、WebShellを仕込むことで、まるで自分が管理者であるかのようにシステムを自由に操作できるようになり、機密情報の窃取、Webサイトの改ざん、他のシステムへの攻撃など、様々な悪事を働くことが可能になります。そのため、WebShellの存在は、企業や組織にとって大きな脅威となります。
項目 | 内容 |
---|---|
定義 | WebサイトやWebアプリケーションを不正に操作するために仕込まれた悪意のあるプログラム |
特徴 | – PHPやJSPといった一般的なプログラミング言語で記述されているため、発見が困難 – セキュリティ対策ソフトでも検知が難しい場合がある |
危険性 | – 攻撃者にシステムを自由に操作される可能性がある – 機密情報の窃取 – Webサイトの改ざん – 他のシステムへの攻撃 |
侵入経路と目的
インターネット上のサービスを提供する仕組みであるウェブアプリケーションの弱点や、正規の利用者のアカウントを不正に奪うことで、ウェブシェルと呼ばれる悪意のあるプログラムが、こっそりとシステムに埋め込まれることがあります。
攻撃者は、このウェブシェルを介してシステムに侵入し、重要な情報である機密情報などを盗み出すだけでなく、システムの設定を勝手に変更したり、さらに他の悪質なプログラムを拡散させたりするなど、様々な悪意のある行動を行います。
ウェブシェルは、一度設置されてしまうと、攻撃者にとってシステムへの侵入経路として、いつでも自由に使える状態となってしまいます。
そのため、攻撃者は長期間にわたってシステムにアクセスし続け、悪質な行動を続けることが可能になるため、システムは長期的な脅威にさらされる危険性があります。
ウェブシェルによる被害を防ぐためには、ウェブアプリケーションの脆弱性を解消するための対策や、正規のアカウントを不正利用されないための対策など、多層的な対策が必要です。
脅威 | 概要 | 対策 |
---|---|---|
ウェブシェル | 悪意のあるプログラムがシステムに埋め込まれ、攻撃者にシステムへの侵入経路を提供する。機密情報の盗難、システム設定の変更、他の悪質なプログラムの拡散などの悪用が可能になる。 | ウェブアプリケーションの脆弱性解消、正規アカウントの不正利用対策など、多層的な対策が必要。 |
隠密性の高さ
WebShellの最も恐ろしい点は、その巧妙な隠蔽性にあります。正規のWebサイトへのアクセスと見分けがつかない形で活動を隠すため、セキュリティ対策の網をやすやすとくぐり抜けてしまうのです。例えば、企業のセキュリティ対策として広く導入されているファイアウォール。外部からの不正アクセスをブロックする役割を担いますが、WebShellは正規のWebトラフィックに紛れて通信を行うため、ファイアウォールはこれを悪意のある通信と見なすことができず、通過させてしまいます。さらに、WebShellはHTTPS通信を悪用することもあります。HTTPSは、Webサイトと利用者の間でやり取りされる情報を暗号化する技術であり、セキュリティ対策として有効です。しかし、WebShellはこのHTTPS通信を利用して、悪意のある通信内容を暗号化してしまうため、セキュリティ対策ソフトは通信内容を解読できず、脅威を検知することができません。このように、WebShellは高度な隠密性を武器に、セキュリティ対策をかいくぐり、企業ネットワークに侵入します。そして、侵入後は、情報搾取やシステムの破壊など、甚大な被害をもたらす可能性があります。
WebShellの特徴 | 具体的な例 | セキュリティ対策への影響 |
---|---|---|
巧妙な隠蔽性 | 正規のWebサイトへのアクセスと見分けがつかない形で活動する | ファイアウォール等のセキュリティ対策をくぐり抜ける |
HTTPS通信の悪用 | 悪意のある通信内容を暗号化する | セキュリティ対策ソフトは通信内容を解読できず、脅威を検知できない |
具体的な事例
悪意のあるプログラムを用いて、ウェブサイトを不正に操作する攻撃は後を絶ちません。その中でも、「ウェブシェル」と呼ばれるプログラムを使った攻撃は、世界中で確認されています。
ウェブシェルは、ウェブサイトの管理者権限を奪い取り、不正な操作を可能にするプログラムです。攻撃者はこのウェブシェルをウェブサイトに設置し、外部からウェブサイトを自由に操作できるようになります。
特に有名な例として、「チャイナチョッパー」と呼ばれるウェブシェルが挙げられます。これは、中国との関係が疑われるハッカー集団によって開発されたとされており、マイクロソフト社の製品の脆弱性「プロキシログオン」を狙った攻撃などで広く使われました。
この攻撃では、アメリカ合衆国の政府機関を含む、非常に多くの組織が標的となり、組織内部の機密情報が盗み出されたとされています。チャイナチョッパーは、2010年代前半から確認されているにも関わらず、現在でも世界中で被害が報告されており、その影響力の大きさから、情報セキュリティの専門家の間で大きな注目を集めています。
項目 | 内容 |
---|---|
攻撃手法 | ウェブサイトへのウェブシェル設置 |
ウェブシェルの機能 | ウェブサイトの管理者権限の奪取、不正操作の実行 |
具体的なウェブシェル例 | チャイナチョッパー |
チャイナチョッパーの特徴 | 中国との関係が疑われるハッカー集団によって開発、マイクロソフト社の製品の脆弱性「プロキシログオン」を狙った攻撃で広く使用 |
チャイナチョッパーによる被害 | アメリカ合衆国の政府機関を含む多数の組織、組織内部の機密情報の窃取 |
チャイナチョッパーの活動期間 | 2010年代前半~現在 |
対策の重要性
昨今、不正なプログラムであるWebShellによる脅威が深刻化しています。WebShellは、攻撃者にシステムへの不正なアクセスを許し、機密情報の窃取やシステムの破壊といった甚大な被害をもたらす可能性があります。そのため、WebShellの脅威からシステムを守るためには、多層的なセキュリティ対策を講じることが極めて重要となります。まず、WebShellはWebアプリケーションの脆弱性を突いて侵入することが多いため、Webアプリケーションを常に最新の状態に保ち、脆弱性を解消することが大前提です。これは、セキュリティ対策の基本中の基本と言えます。さらに、外部からの不正アクセスを遮断するために、ファイアウォールは必須です。ファイアウォールは、外部からの不正な通信を遮断する役割を担い、システムを保護する上で最初の壁となります。また、侵入検知システムを導入することで、不審なアクセスをリアルタイムで検知し、迅速な対応を可能にします。特に、Webアプリケーションへの攻撃を防御するために、Webアプリケーションファイアウォール(WAF)の導入は非常に有効です。WAFは、Webアプリケーションへのアクセスを監視し、悪意のある通信を遮断することで、WebShellの侵入を未 earlyに防ぎます。加えて、システムへのアクセスログを定期的に監視し、不審なアクセスがないかを確認することも重要です。もし、不審なアクセスを発見した場合には、速やかに対応することが求められます。これらの対策に加えて、米国家安全保障局(NSA)などのセキュリティ機関が公開している情報も参考にしながら、自社のシステム環境に最適なセキュリティ対策を構築していくことが重要です。セキュリティ対策は、一度導入すれば終わりではありません。常に最新の脅威情報を収集し、システムの状況に合わせて対策を見直し続けることが、WebShellの脅威からシステムを効果的に保護する上で不可欠です。
対策 | 説明 |
---|---|
Webアプリケーションの脆弱性対策 | Webアプリケーションを常に最新の状態に保ち、脆弱性を解消する。 |
ファイアウォールの導入 | 外部からの不正な通信を遮断する。 |
侵入検知システムの導入 | 不審なアクセスをリアルタイムで検知し、迅速な対応を可能にする。 |
Webアプリケーションファイアウォール(WAF)の導入 | Webアプリケーションへのアクセスを監視し、悪意のある通信を遮断する。 |
アクセスログの監視 | システムへのアクセスログを定期的に監視し、不審なアクセスがないかを確認する。 |
セキュリティ機関の情報収集 | 米国家安全保障局(NSA)などのセキュリティ機関が公開している情報を参考に、自社のシステム環境に最適なセキュリティ対策を構築する。 |