みんなが知らないWebの世界

こんにちは！今日からWAF（Web Application Firewall）について、10回に分けて詳しく説明していきます。でも、いきなり「WAF」と言われても「何それ？」って感じですよね。
まずは、みなさんが普段何気なく使っているインターネットの裏側で、実際に何が起きているのかを見てみましょう。
スマホでWebサイトを見るとき、何が起きてる？
朝起きて、スマホでニュースサイトを開く。友達のInstagramをチェックする。YouTubeで好きなアーティストのMVを見る。ネットで調べ物をする。

こんな日常の行動、実は物凄く複雑な仕組みで成り立っているんです。

でも、この仕組みには大きな問題がある

この便利な仕組みですが、実は大きな問題を抱えています。それは、悪意のある人も同じ仕組みを使えるということです。

悪い人たちも同じ道を使う

インターネットは基本的に「オープン」な仕組みです。世界中の誰でも、どこからでもアクセスできます。これは便利な反面、悪意のある人も簡単にアクセスできてしまうということです。
インターネットも同じです。普通のユーザーと悪意のあるユーザーが、同じ「道」を通ってWebサイトにアクセスしてきます。

なぜWebアプリケーションが狙われるの？

ここで疑問が湧きますよね。「なんでWebサイトが攻撃されるの？攻撃して何が得になるの？」

1. お金になるから

• 個人情報の販売: 名前、住所、電話番号、メールアドレスなどの個人情報は、闇市場で高く売れます。
• クレジットカード情報: これはさらに高値で取引されます。
• 企業秘密: 新商品の情報や顧客リストなど、企業の機密情報も価値があります。

2. 嫌がらせや自己顕示欲

• サイトの改ざん: 有名なWebサイトを乗っ取って自分のメッセージを表示し、注目を集めたがる人がいます。
• サービス妨害: 嫌いな企業や団体のサイトを攻撃して、サービスを止めようとする人もいます。

3. 政治的・思想的な理由

• ハクティビズム: 自分の政治的な主張を広めるために、政府や企業のサイトを攻撃する集団もいます。

4. 単純な愉快犯

• 残念ながら、「面白いから」「できるから」という理由で攻撃する人もいます。

Webアプリケーションの弱点

では、なぜWebサイトはこんなに攻撃を受けやすいのでしょうか？

1. 複雑なシステム

現代のWebサイトは、昔のシンプルなホームページとは大きく違います。

• 昔のWebサイト: 文字と画像だけの、まるで電子版の雑誌のような静的なページ
• 今のWebサイト: ログイン機能、コメント投稿、ファイルアップロード、決済機能など、様々な機能を持つ複雑なアプリケーション

複雑になればなるほど、セキュリティの穴（脆弱性）が生まれやすくなります。

2. ユーザー入力を受け付ける

現代のWebサイトは、ユーザーからの入力を受け付けます：

• ログイン情報（ユーザー名とパスワード）
• 検索キーワード
• コメントや投稿内容
• アップロードするファイル

この「入力を受け付ける」機能が、攻撃者にとっての入口になってしまうことがあるんです。

3. 大量のデータを保存している

現代のWebサイトには価値のあるデータがたくさん保存されています：

• ユーザーの個人情報
• クレジットカード情報
• 企業の機密情報
• ユーザーが投稿したコンテンツ

これらのデータは攻撃者にとって「宝の山」です。

セキュリティ対策の必要性

こうした状況を受けて、Webサイトを運営する企業や組織は、様々なセキュリティ対策を導入しています。

従来のセキュリティ対策

• ファイアウォール: ネットワークレベルでの防御。「どこからの通信を許可するか」を制御します。
• アンチウイルスソフト: サーバーにインストールして、ウイルスを検出・除去します。
• SSL/TLS暗号化: 通信内容を暗号化して、盗聴を防ぎます。

でも、それだけでは足りない

これらの対策は重要ですが、現代の巧妙な攻撃に対しては不十分です。特に、Webアプリケーション特有の攻撃（SQLインジェクション、XSSなど）には、専用の対策が必要です。

今回は、インターネットの仕組みとサイバー攻撃の現実について説明しました。「思った以上に危険な世界なんだな」と感じた人も多いかもしれません。

次回は、具体的にどんな攻撃があるのか、攻撃者はどんな手法を使うのかを詳しく見ていきます。「敵を知り己を知れば百戦危うからず」という言葉もありますが、まずは「どんな敵がいるのか」を知ることから始めましょう。

次回の内容

• ハッカーの種類と彼らの動機
• なぜWebアプリケーションが標的になるのか