応用情報技術者試験 令和6年春 午前問41 解説付き過去問
問題
WAFによる防御が有効な攻撃として、最も適切なものはどれか。
正解
解説
WAF(Web Application Firewall)は、Webアプリケーションへの攻撃を検知・遮断するためのセキュリティ機能である。通常のファイアウォールとは異なり、HTTPやHTTPSといったアプリケーション層の通信内容を解析し、Webアプリケーション固有の脆弱性を悪用する攻撃に対応する。
- WAFが防御する対象
WAFは、主にWebアプリケーションに対する以下のような攻撃からシステムを保護する。
- SQLインジェクション
- クロスサイトスクリプティング(XSS)
- コマンドインジェクション
- パストラバーサル
- HTTPヘッダインジェクション
- APIの呼出しに含まれる不正なパラメータやリクエスト内容
これらは、WebアプリケーションやAPIエンドポイントに送られる入力内容を改ざんすることで、予期しない動作を引き起こすものである。WAFはそれらのパターンを検知し、不正リクエストのブロックが可能である。 - REST APIに対する攻撃との関連
REST APIは、JSONやXML形式でデータをやり取りするWebサービスの一種であり、近年のWebアプリケーションでは広く利用されている。
REST APIに対する攻撃では、意図しないパラメータや構文を通じて、認証の回避、情報漏えい、サービス妨害などが試みられる。
WAFは、これらのAPIリクエストに含まれる不正なパターンを識別し、ブロックすることで、REST APIの脆弱性を突いた攻撃への有効な対策となる。 - 他の選択肢との比較
- DNSキャッシュポイズニングはDNSサーバに対する攻撃であり、WAFでは防御できない。
- SMTPサーバの不正中継や、メールサービスに対する大量送信などは、メールシステムへの攻撃であり、WAFの防御範囲外である。