183-AWS SAP AWS 「理論・実践・一問道場」SQLインジェクション

type

status

date

slug

summary

理論

SQLインジェクション攻撃:

SQLインジェクションは、悪意のあるコードをデータベースに挿入することで機密情報を抽出する攻撃手法です。これを防ぐには、アプリケーションが受け取るリクエストを検証し、危険なクエリをブロックする必要があります。

AWS WAFの役割:

AWS WAFは、HTTP/Sリクエストをフィルタリングすることで、SQLインジェクションやクロスサイトスクリプティング（XSS）などの攻撃を防ぎます。WAFは、ルールを設定して特定のパターン（例えばSQLインジェクションのパターン）を検出し、リクエストをブロックできます。

AWS WAF Web ACLとルール:

*Web ACL (アクセス制御リスト)**は、ALBやAPI Gatewayなどのリソースに適用され、リクエストを監視・フィルタリングする役割を果たします。ルールは、特定のリクエストを許可または拒否する条件を設定できます。SQLインジェクション防止のためには、SQLインジェクションのルールグループを使用します。

効率的な運用:

マネージドルールセット（例えば、AWSの標準SQLインジェクションルール）は、予め定義された攻撃パターンを自動で防ぐため、最小限の手動設定で攻撃を防ぎます。これにより、手動でIPアドレスを管理する手間（選択肢D）やボット対策の過剰な設定（選択肢B）よりも効率的に運用できます。

実践

略

一問道場

問題 #183

トピック 1

ある企業の公開APIは、Amazon Elastic Container Service (Amazon ECS) のタスクとして実行されています。これらのタスクは、AWS Fargate上で実行され、アプリケーションロードバランサー (ALB) の背後で動作し、CPU使用率に基づいてタスクのサービスオートスケーリングが設定されています。このサービスは、数ヶ月間順調に運用されていました。

最近、APIのパフォーマンスが低下し、アプリケーションが使用不能になりました。企業は、SQLインジェクション攻撃がAPIに対して多数発生しており、APIサービスが最大スケールに達していたことを発見しました。

ソリューションアーキテクトは、SQLインジェクション攻撃がECS APIサービスに到達するのを防ぎ、正当なトラフィックを通過させるソリューションを実装する必要があります。また、運用効率を最大化する必要があります。

どのソリューションがこの要件を満たしますか？

A. 新しいAWS WAFウェブACLを作成し、ECSタスクの前にあるALBに転送されるHTTPおよびHTTPSリクエストを監視します。

B. 新しいAWS WAF Bot Control実装を作成します。AWS WAF Bot Controlの管理されたルールグループにルールを追加して、トラフィックを監視し、ALBに正当なトラフィックのみを通過させます。

C. 新しいAWS WAFウェブACLを作成します。新しいルールを追加して、SQLインジェクションのルールグループに一致するリクエストをブロックします。そのウェブACLを、これらのルールに一致しない他のすべてのトラフィックを許可するように設定し、ECSタスクの前のALBにウェブACLをアタッチします。

D. 新しいAWS WAFウェブACLを作成します。新しい空のIPセットをAWS WAFに作成します。ウェブACLに新しいルールを追加して、新しいIPセットに含まれるIPアドレスからのリクエストをブロックします。AWS Lambda関数を作成してAPIログをスクレイピングし、SQLインジェクション攻撃を送信するIPアドレスを抽出して、これらのIPアドレスをIPセットに追加します。ウェブACLをALBにアタッチします。

解説

この問題では、SQLインジェクション攻撃を防ぐために、AWS WAFを使用してALBに送られるリクエストを監視する方法を問われています。SQLインジェクション攻撃は、悪意のあるコードをデータベースに挿入する攻撃手法です。

最適な解決策はCの「AWS WAF Web ACLを作成し、SQLインジェクションのルールグループを使用してリクエストをブロック」する方法です。この方法は、事前定義されたルールを利用して、SQLインジェクション攻撃を効率的に防ぎ、運用負荷を最小限に抑えることができます。

他の選択肢は、ボット対策やIPアドレスによる管理に依存しており、SQLインジェクション専用の対策としては不適切です。

選択肢Aでは、AWS WAF Web ACLを作成して、ALBに送られるHTTPおよびHTTPSリクエストを監視します。これにより、SQLインジェクションやその他の一般的なウェブ攻撃（例えばクロスサイトスクリプティングや悪意のあるボットによるリクエスト）を防ぐことができます。

AWS WAFは、事前に定義されたルールセットを使用して、リクエストに含まれる悪意のあるパターンを検出し、ブロックする機能を提供します。SQLインジェクションを含むウェブ攻撃を防ぐために、ALBに接続されているリクエストのフィルタリングと保護を行います。