ここではSSRF脆弱性とは何かについてリサーチ。どのような状態のことで攻撃を受けるとどうなってしまうのか、発生する理由や実際の企業の被害事例などをご紹介します。
SSRF脆弱性とは公開サーバーの設定の不備により、通常ではアクセスできない内部の非公開サーバーへ不正アクセスできてしまう状態のことを言います。攻撃者はその脆弱性を悪用し、公開サーバーを経由してアクセスさせるリクエストを送ります。それで内部サーバーに入り込むことができたら、気密情報を盗んだり不正操作を行います。
直接はアクセスできない非公開サーバーが、公開サーバー経由だと正規コマンドとしてアクセスを許してしまうのがSSRF脆弱性ですので、攻撃者はさまざまな操作が可能になります。例えばクラウドサービスでメタデータサービスに攻撃を仕掛け、認証情報などが盗まれると機密情報を不正に取得されてしまう被害が発生します。
脆弱性診断(セキュリティ診断)とは?
目的や必要性について詳しく見る
2019年7月29日、アメリカの大手金融会社Capital Oneは不正アクセスにより1億人を超える個人情報が流出したと発表しました。流出したのはクレジットカード申込みをした顧客の氏名や住所、電話番号、メールアドレスなどです。
原因の一つはウェブ・アプリケーション・ファイアウォール(WAF)の設定ミス。SSRF攻撃を検出するルールが設定されされておらず、攻撃者はWAFを経由して不正アクセスを行い、奪取した認証情報を使って個人情報を盗み出しました。
マイクロソフトは2022年9月30日、Microsoft Exchangeサーバーにゼロデイ脆弱性があることを発表。サーバーサイド リクエスト フォージェリ(SSRF)の脆弱性(CVE-2022-41040)とPowerShell に攻撃者がアクセスできる場合にリモートでコードが実行される(RCE)脆弱性(CVE-2022-41082)です。
マイクロソフトでは、この2つのゼロデイ脆弱性を利用した標的型攻撃を認識しており、2022年11月8日にこれらの問題に対するパッチをリリース。システムにパッチを適用することを奨めています。
公開サーバーを経由したコマンドリクエストに対し、非公開サーバーが無防備であることがSSRF脆弱性の発生要因です。対策としてはファイアウォールを設定したり、アクセスをプロキシ経由にして制御するなどがあります。
こうしたアクセス制御は厳しくし過ぎると、正常のアクセスについて制限することになるので難しい部分もありますが、公開サーバーへのリクエストを厳しくチェックすることが基本。こうした設定やパッチ当てなどを怠ると攻撃者に狙われます。
当ページの監修協力であるホワイトハッカーが所属する株式会社アルファネット。事務機器用品を中心とするカタログ通販サービス「たのめーる」が有名な大塚商会のグループ企業です。
大塚商会はコンピュータ・ネットワーク関連のシステムインテグレーション事業や、コンピュータ機器の保守、アウトソーシングのサービスも中核にしており、その中でアルファネットはサイバーセキュリティ対策の専門グループ企業として活躍しています。
巨大なデータベース・ネットワークを日々守り続けているのは、ホワイトハッカーの主導による正確な診断と、ツールによる包括的な診断によるもの。大塚商会のグループ企業や顧客を中心に、そのサービスを提供してきました。
またメール訓練など、社員育成の提供にも力を入れています。
ペネトレーションテスト(Webアプリケーション侵入試験)/標的型メール訓練サービス/情報セキュリティ教育/CSIRT構築/クラウド型WAFサービス/セキュリティ診断サービス/ランサムウェア対策調査サービス