Symantecが分析するWebサイト攻撃 - 攻撃手法の傾向が明らかに

この他、外部からファイル名を細工して攻撃する「ディレクトリトラバーサル」、データ入力時のパラメータに命令文を紛れ込ませる「コマンドインジェクション」などの攻撃を検知している。

Webアプリへの攻撃では、「Apache Strutsの脆弱性」を狙うものが、2014年4月以降増えている。安達氏は「お客様からの問い合わせでもっとも多いのが、『Apache Strutsの脆弱性は、WAFで対策できるのか?』というもの。Apache Strutsの脆弱性への対策に困っている担当者が多いようだ」と述べた。

Apache Strutsは、JavaでWebアプリケーションを開発する際に用いられるアプリケーション・フレームワーク。Webアプリの基盤となるものだけに、脆弱性の解消がとても難しくなっている。安達氏は「脆弱性を解消するのが難しい場合は、WAFによる対策が有効だ」と説明している。○WAFの利点は「設置が簡単で早い」「低コスト」

安達氏は「Webアプリケーションの改修には、予算取得が難しい、開発者確保が困難といった事情がある。そのため危険性の高い脆弱性でも放置されていることが多い」とした。