Web サービスに対する攻撃の一つとして、コンテンツを改ざんして不正なスクリプトを Web サイト利用者側で実行させる方法が存在します。
改ざんにより発生する不正スクリプト実行は、下の図のように、WAF で防御することが難しい攻撃です。

このような Web サイトの改ざんにいち早く気付けるように、WafCharm には簡易的な Web 監視機能が含まれています。
昨今、Web サイトが改ざんされて利用者の情報が窃取されたニュースを見かけますが、Web 監視機能を使うことで、簡易的な対策が可能です。

この記事では、WafCharm に付帯する Web 監視機能について簡単にご紹介します。

なお、この記事の内容は 2025年1月時点の以下記事を参考に作成しています。
https://www.wafcharm.com/jp/blog/about-web-monitoring-config/

WafCharmとは?

WafCharm は、株式会社サイバーセキュリティクラウドの提供する、Web アプリケーションファイアウォール (WAF) の運用を自動化するサービスです。
AWS や Azure、Google Cloud といったクラウドの WAF に対応しており、WAF のルール設定や更新を自動化することで、Web サイト運用者やセキュリティ担当者の負担を軽減し、Web サイトのセキュリティ強化を実現します。

アイレットはパートナーとして WafCharm を提供しています。
https://cloudpack.jp/service/cloud-service/wafcharm.html

Web 監視機能 (改ざん検知機能) とは?

WafCharm のメイン機能である WAF 運用機能とは別の機能で、Webサイトを監視し、所定の異常や設定不備について管理者に通知してくれる機能です。

Web 監視機能は、以下の3つの監視機能を含んでいます。

1. 改ざん検知

ウェブサイトが改ざんされていないか、簡易的にチェックする機能です。
チェックの結果、Web サイトに攻撃サイトへの URL が含まれていた場合、メールで通知します。

指定した FQDN 配下のコンテンツを、6時間毎に 1000ページまでクローリングし、HTML ファイルや、JavaScript、CSS が改ざんされていないかチェックします。
クローリングしたコンテンツ内に含まれる攻撃サイトの URL を検知します。

2. DNS監視

DNS 名前解決が可能かチェックする機能です。
名前解決ができなかった場合、メールで通知します。

1時間毎に、DNS サーバが A レコードや CNAME レコードの値を返却するか自動的にチェックし、DNS サーバーのダウンなどを検知します。

ドメインテイクオーバーや、DNS 改ざん、DNSSEC 検証などの機能は、現時点では提供されていません。

3. HTTPS 接続チェック

HTTPS 接続設定に非推奨の設定がないかチェックする機能です。
非推奨の TLS 設定や、期限が迫っている証明書などを検知し、メールで通知します。

1週間毎に、指定した FQDN に対して HTTPS 接続を行い、古いバージョンの TLS や危殆化した暗号スイート利用、期限が 一定日以内の証明書などを検知します。

利用条件

2023年6月以降に作成された WafCharm アカウントにて、追加料金無しで利用可能です。
https://www.wafcharm.com/jp/blog/wafcharm-update-june-2023/

アイレットの『WafCharm 運用保守オプション』をご利用いただいている場合は、WafCharm 導入時に Web 監視機能のご利用有無をヒアリングの上で、アイレットセキュリティチームにて設定を実施しております。

Web 監視機能の制約・注意点

3種類の監視共通の制約として、WafCharm が DNS サーバや Web サイトに実際にアクセスを行うため、外部からのアクセス制限をされている場合は、アクセス許可設定を行う必要があります。

監視対象の FQDN は WafCharm アカウントあたり最大20件まで登録可能です。
WAF 毎ではなく、WafCharm ビジネスプランやエンタープライズプランなどの契約毎の上限となっています。

また、通知先メールアドレスはFQDN 毎に最大10アドレスまで登録可能です。
WafCharm コンソールへのログインに使うメールアドレスや WAF 検知メールの宛先とは別のアドレスも利用可能です。

続いて、Web 監視機能3種類それぞれの制約や注意点も紹介します。

1. 改ざん検知機能の制約・注意点

クローリング範囲は、FQDN 配下および、その1つ外の URL までとなっています。


アクセスするのに認証が必要なコンテンツ (ログイン後に表示されるページなど) は監視対象外となります。

あらゆる改ざんを検知できるわけではありませんが、簡易的な改ざん対策としてご利用いただけるものとなっています。
より強固に対策を行う場合は、サーバのファイル変更監視や、復旧のためのバックアップなどと組み合わせての利用をご検討ください。
また、Web サイトの悪意あるスクリプト実行を防ぐ に記載のとおり、最後の砦として Content Security Policy (CSP) を設定して、クライアント側でのスクリプト実行を防止することも推奨します。

2. DNS 監視の制約・注意点

既に Web サイトの URL 監視などを行っている環境では、WafCharm の DNS 監視を有効にすると、監視が二重になり、DNS サーバ障害時などに通知が重複する可能性があります。

DNS レコードの改ざんを防げるわけではないため、DNSSEC などの併用も推奨します。

3. HTTPS 接続チェックの制約・注意点

証明書の有効期限もチェックしてくれるのですが、通知対象となる期限までの残り日数が固定です。
証明書の自動更新機能を使用していると、HTTPS 接続チェックで通知対象となってから、証明書が自動更新されるまでの間、不要な通知が上がってしまうのが悩ましいところで、WafCharm のアップデートに期待です。

おわりに

WafCharm の Web 監視機能を有効化すると、簡易的な改ざん検知機能として、Web サイトの利用者が不正な URL にアクセスしてしまうのを防ぐほか、WAF 導入環境の HTTPS 設定が適切かどうか定期的にチェックすることも可能です。

WafCharm というと WAF 運用、というイメージの方がほとんどだと思いますが、こんな便利機能もついていますよ!というご紹介でした。