例によって（？）リレーブログでございます。前回の方の記事はこちら。

potaxyz.hatenablog.jp

今回のテーマは「SSRF(Server Side Request Forgery)」です。

SSRFとは

SSRF攻撃は、攻撃者から通常到達できないサーバに対して攻撃を仕掛ける手法の一つです。 攻撃者はインターネット上の公開サーバには直接アクセスできますが、内部サーバには直接アクセスできません。ただ、公開サーバから内部サーバにアクセスできるとき、公開サーバを経由することで内部サーバに攻撃を仕掛けられるとがあります。これがSSRF攻撃です。

SSRF(例)

SSRFの被害事例

2019年7月29日、米金融大手のCapital Oneが不正アクセスを受け、1億人以上の個人情報が流出しました。

2019年3月22日、23日にCapital OneのAWS環境へ不正アクセスが発生。犯人が自分のSlackチャンネルへ違法取得したデータベースを投稿。2019年7月17日にCapital Oneへデータリークに関する情報提供があり、2019年7月19日にCapital Oneが流出の事実を確認。2019年7月29日にFBIが不正アクセス事件関与の犯人を逮捕しました。

この事件の原因は、Capital Oneが利用していたWAFに設定ミスが存在していたことです。Capital OneはAWSを利用していましたが、FirewallはAWS WAFではなくApache Modsecurityを採用した独自のものを使っていました。この独自のWAFに設定ミスが存在し、犯人はWAFを経由して、AWS EC2のインスタンスメタデータへの接続に成功したそうです。

まとめ

毎度おなじみの内容薄めでお送りしました。ｺﾞﾒﾝﾅｻｲ!

次回の方のブログはあちら。ではでは！