ウェブシェル(WebShell) とは、バックドアの一つで、攻撃者が潜入に成功したウェブサーバに自由に出入りできるようにする、つまり「アクセス権の獲得」や「アクセス権の維持」をするために設置するものです。
攻撃者はこのウェブシェルという「入り口」を通して、ホームページの改ざん、情報不正取得、マルウエアやランサムウエアの設置など簡単に行うことが可能です。
EC事業者やASP事業者などウェブアプリケーションを中心に事業を展開している企業は、ウェブシェルを配置されれば、企業情報、個人情報の漏洩、信頼の損失を通して致命的なビジネスインパクトとなることが予想されます。
ウェブシェルの歴史は古く、インターネットの黎明期から存在してますが、近年はソースコードを難読化することによりシグネチャ型のアンチウイルスを回避していることが分かりました。
そうすることで攻撃者は、サイバー犯罪者への対応として防御側である企業などのウェブサービス提供者が脆弱性の修正や脆弱なアカウントを洗い出し問題を解決したとしても、安定的にシステムに侵入することが可能となります。
まさに、「穴の開いた金庫」のように、ウェブシェルを通してあなたや企業の重要なデータを盗み出されたり、マルウエアやランサムウエアを仕込まれたりする危険があります。
現在のウェブシェルの対抗策としてはLinuxサーバに導入するアンチウイルス製品が主流です。しかし、ほとんどはコンパイル型のボットネットやランサムウエアに重点をおいており、そもそもウェブシェルの検知は重視していないと思われます。実際にPHPで記述された112種類のウェブシェル検体を著名なLinuxアンチウイルスソフトウエアでスキャンしたところ、40%のウェブシェルが検知できないことが分かりました。また、難読化されたウェブシェルに対するアンチウイルススキャン処理は、サーバのリソースを消費するため、スキャンを実行する際に現在のサービス提供のクオリティが低下するといった問題が挙げられます。
①シグネチャ型では検知不能の場合も
難読化されたウェブシェルが次々と出てきている為、検知に限界があるアンチウイルスがほどんどであるのが実情です。
②サービス提供のクオリティ低下の恐れも
難読化されたウェブシェルを検知するため、アンチウイルスによるスキャン処理を行うと、サービス提供のクオリティが低下する問題があります。
PHPで記述されたウェブシェルなら100%検知。近年ではソースコードを難読化することによりシグネチャー型のアンチウイルスでは検出されにくいウェブシェルも検知可能。データベースなどの大切な情報を守ります。
難読化されたウェブシェルによるスキャン処理はサーバーのリソースを消費しますが、ウェブサービスが動いているサーバーではスキャンを行わないため、サーバーリソースを消費しません。そのため、既存のサービスに影響がほどんどありません。
サンドボックス環境を構築、隔離した上で動作させファイルを分析します。汚染するようなマルウエアの検知、実行したとしてもシステム全体には影響はありません。実行後には、結果をレポートします。