midashi10922ニュースを賑わせているFD書き換えの事件・・・の方ではなく、昨晩から今日のIT系のニュースは、昨晩の「Twitterの脆弱性」関連がトップニュースとなっていました。



実際に被害を被った方々も多いかと思います。今回は、PC版のオフィシャル(twitter.com)を狙ったアタックでした。日本では時間帯的にちょうど携帯デバイスではなく、自宅でのPCによるアクセスの多い時間でした。

今回のアタックは、XSS(クロスサイトスクリプティング)。ユーザーのブラウザ上で不正なスクリプトを起動させるといった攻撃でした。


atack<<クリックで拡大 
DTS WAFのサイトより 「Webアプリケーションレイヤーに対する攻撃例」








そして、Twitter側の公式発表では8月にパッチにより問題を解決していたとのことですが、最近のアップグレードにより再度発生が起こったようです。まさにゼロデイアタックの一例。データベースやアップグレードに依存するWAFが狙われる典型的な例なのです。


ご存知のようにDTSのWAFは、データベース/シグネチャ方式ではなく、オントロジーベースのWAFですから、ゼロデイアタックの攻撃をかわすことが可能です。「アタックを推測する」WAFなのです。

さらに、先週のエントリーのFAQでも掲載させていただいたように「DTSのWAFはソフトウエアを頻繁にアップデートする必要がない」という特徴も夕べのアタックに関連すると思います。

実害を受けた企業などもあるらしく、Webアプリケーションレイヤーの脆弱性を実感してしまった夜でした。

DTS のオントロジーベースのWAF