サラリーマンのすらすらＩＴ日記

第１部は"攻撃の実演"ということで、行く前から興味がありました。ただ実際に見てみると、ウイルスに感染したPCの画面というわけではないので、見た目わかりにくいものでした。代表的なCMSを使ったWebサイト（もちろん攻撃のデモンストレーションのために、意図的に脆弱性を持たせたサイト）に対して、ポートスキャンして開いているポートを狙って、対象CMSに特化した攻撃ツールを使ってWebサイトに不正プログラムをアップロードします。その後、このサイトをWAFで守るとどうなるかという実演もあり、攻撃ツールで脆弱性が見つけられたものの、その脆弱性を突いた攻撃は失敗。WAFの効果をアピールするものでした。

第２部ではApache Struts2の脆弱性を狙った攻撃や、SQLインジェクション攻撃、Webサイトへ不正なiframeを挿入してドライブバイダウンロード攻撃をするという手法を紹介し、その対策としてクラウド型WAFが効果的との説明がありました。

興味深い内容でした。