2021/11/14

Webサイトにおける、IPアドレス直接指定によるリクエストブロックの効果(転載)


「不正アクセスの傾向分析とクラウドWAF利用時の注意点」の記事をアップしました。MBSD-SOCで観測したアラートの傾向を元に、セキュリティ対策の一環として取り得る対応や、クラウドWAFを使用する際の注意点について解説します。バックアップ

Webサイトを利用する際、FQDNでアクセス先を指定することがほとんどかと思います。
例えば、ブラウザのURL欄にwww.example.comと入力してアクセスした場合、リクエストのHostヘッダは「Host: www.example.com」となります。


一方で、例としてwww.example.comを名前解決したIPアドレスが198.51.100.1だとすると、このWebサイトにIPアドレスを直接指定してアクセスした場合、Hostヘッダが「Host: 198.51.100.1」のようになります。

また、IPアドレスを直接指定してHTTPSでアクセスした場合、証明書の検証に失敗してしまいますので、図2のようにブラウザに警告メッセージが表示されます。


よって、一般的なWebサイトであれば、サイト利用者による正規なリクエストはFQDNでのアクセスとなるはずです。

下図は、ある期間で観測したHTTP(S)リクエストによるアラートを、Hostヘッダの指定方法ごとに集計した結果です。


アラートの約3割がIPアドレスを直接指定したリクエストであるという傾向が見受けられました。

FQDN・IPアドレス直接指定の他に、Hostヘッダに攻撃文字列をセットしたリクエストも一定数観測しています。

下表は観測したアラートのうち、IPアドレス直接指定によるリクエストで検知したアラートを簡易的に分類し、集計した結果です。


最も割合の多い「特定の脆弱性を狙った攻撃」は、該当製品の使用有無に関わらず無差別的(バラマキ)に攻撃してきているケースを多く観測しています。「隠しファイルやパスへのアクセス試行」「IoTデバイスへの攻撃」にも同様の傾向があります。
(当然、事前に外部公開システムを検索できるサービスなどを使い、ターゲットを絞ってから攻撃してくるケースもあるものと想定されます。)

IPv4インターネットの世界には、ざっくり約43億個のグローバルIPアドレスがあります。
この43億という数はツールを使用することにより現実的なコスト(所要時間)でスキャンすることが可能と言われています。

IPアドレスをスイープ(総なめ)して無差別的に攻撃リクエストを投げてきたり、スキャンをかけてきたり、ボットネットの感染拡大を試行してくるという傾向は上記の集計結果からも読み取れるかと思います。

以上のことから、全ての環境に当てはまるとは限りませんが、Webアプリケーションに対するIPアドレス直接指定によるリクエストを拒否することで、不審なリクエスト(攻撃を含む)を軽減する一定の効果があると考えられます。
その他にも、以下の観点でメリットがあると考えられます。
  • IDS/IPSやWAFを運用している環境の場合、アラート確認の手間を削減できる。
  • リクエストやレスポンス処理にかかるサーバリソースの無駄な消費を軽減できる。
WebサーバやWAF・ロードバランサなどのアプライアンスでIPアドレス直接指定によるリクエストを拒否(ブロック)する設定を検討するのはいかがでしょうか?