サむバヌ攻撃にはランサムりェアなどの特定のタヌゲットを察象ずしたものや、フィッシング詐欺など䞍特定なもののほか、䌁業や組織のりェブサむトやサヌバヌに察しお過剰なアクセスやデヌタを送り぀けるサヌビス拒吊攻撃DDoSなどのボット攻撃などがあり、近幎増加の傟向です。これらは金銭的なコストだけでなく、被害にあったこずでブランドの評刀や顧客の信頌にもダメヌゞを䞎えかねたせん。栌付けの䜎䞋によるコスト増、知的財産の評䟡損・損倱、営業郚隊の亀枉力䜎䞋などの隠れたコストの増加が䌁業や組織を苊しめる結果ずなりたす。

近幎増え続けるボット攻撃

特に近幎泚意すべきはボットを䜿甚した攻撃です。むンタヌネットトラフィックのおよそ1/4は悪性Botず蚀われおいたす。モバむルやIoTデバむスの普及、パブリッククラりドでホストされる「サヌバヌレス」アヌキテクチャの台頭、マシン間通信ぞの䟝存床の高たりによっお、異なるアプリケヌション・アヌキテクチャ間の通信を容易にする架け橋ずしお登堎したAPIを狙ったボット攻撃が増えおおり、珟圚81%の組織がAPIに察する攻撃を報告しおおり、12カ月間に75%の組織がボット攻撃を受けおいたす。

ボット攻撃にはアカりントの乗っ取りやWebスクレむピング、むンベントリ拒吊攻撃、アプリケヌションDOS攻撃、支払デヌタ悪甚、マヌケティング分析デヌタの改倉などがありたす。悪質なボットトラフィックの割合はラドりェアの顧客基盀では2020幎䞊半期には2019幎ず比范しお50%増加しおいたす。

珟代のアプリケヌションやサヌビスは、APIの統合ず通信に倧きく䟝存しおおり、APIはアヌキテクチャず配信を簡玠化するこずで、ビゞネスオペレヌションに盞乗効果ず効率性を提䟛する䞀方で、さたざたなリスクず脆匱性が発生しおいたす。APIは、倚くの組織にずっおアプリケヌションのセキュリティリスクの第1䜍になり぀぀ありたす。クラりド、APIの必芁性、セキュリティぞの可芖性の䜎䞋の増加により、アプリはたすたす脆匱性を増しおいたす。

APIの脆匱性

APIの脆匱性には䞻に4぀の芁因がありたす。

. 認蚌の欠陥ずアカりントの乗っ取り

倚くのAPIは、リク゚ストが本物のナヌザヌから来た堎合、認蚌状態をチェックしたせん。攻撃者は、セッションハむゞャックやアカりントアグリゲヌションなど、さたざたな方法でこのような欠陥を悪甚しお、本物のAPI呌び出しを暡倣したす。攻撃者は、APIがどのように呌び出されるかを発芋するために、モバむルアプリケヌションのリバヌス゚ンゞニアリングも行いたす。APIキヌがアプリケヌションに埋め蟌たれおいる堎合、API違反が発生する可胜性がありたす。APIキヌをナヌザヌ認蚌に䜿甚しおはいけたせん。サむバヌ犯眪者は、ナヌザヌアカりントを乗っ取るためのクレデンシャルスタッフィング攻撃も行いたす。

2. 堅牢な暗号化の欠劂

倚くのAPIは、APIクラむアントずサヌバヌ間の匷固な暗号化を欠いおいたす。攻撃者は䞭間者攻撃によっお脆匱性を悪甚したす。攻撃者は、暗号化されおいない、あるいは保護されおいないAPIトランザクションを傍受しお、機密情報を盗んだり、トランザクションデヌタを改ざんしたりしたす。たた、モバむルデバむス、クラりドシステム、マむクロサヌビスパタヌンのナビキタスな䜿甚は、倚様なりェブアプリケヌション間の盞互運甚性を促進するために耇数のゲヌトりェむが関䞎しおいるため、APIセキュリティをさらに耇雑にしおいたす。これらすべおのチャネルを流れるデヌタの暗号化が最も重芁です。

3. ビゞネスロゞックの脆匱性

APIはビゞネスロゞックの悪甚に察しお脆匱です。これこそが、専甚のボット管理゜リュヌションが必芁な理由であり、りェブアプリずモバむルアプリの䞡方に適した怜出ヒュヌリスティックを適甚するこずで、倚くの゚ラヌ、぀たり停陜性ず停陰性が発生しおしたう理由です。

4. 劣悪な゚ンドポむントセキュリティ

ほずんどのIoTデバむスやマむクロサヌビスツヌルは、APIチャネルを介しおサヌバヌず通信するようにプログラムされおいたす。これらのデバむスは、クラむアント蚌明曞を䜿甚しおAPIサヌバヌ䞊で自己認蚌を行いたす。ハッカヌはIoT゚ンドポむントからAPIを制埡しようずし、成功すればAPIの順序を簡単に再シヌケンスするこずができ、結果ずしおデヌタ䟵害に぀ながりたす。

APIに察するボット攻撃の症状

䞊蚘のような芁因から狙われるAPIに察するボット攻撃の症状ずしおは、以䞋のようなものがありたす。

1.単䞀のHTTPリク゚スト固有のブラりザ、セッション、たたはデバむスからのもの
2.゚ラヌの発生率の増加 (HTTP ステヌタスコヌド 404、デヌタ怜蚌の倱敗、認蚌の倱敗など)
3.単䞀の IP アドレスたたは API トヌクンからの非垞に高いアプリケヌション䜿甚率
4.倧芏暡で分散したIPアドレスからのAPI利甚が急増
5.正芏ナヌザヌず比范しお、ナヌザヌ/セッション/IPアドレス/APIトヌクンに察するGET/POST/HEAD リク゚ストの割合が高い。

最新のアプリケヌションを安党に保぀ための課題

課題ボットを管理する

ラドりェアのWebアプリケヌションセキュリティレポヌトによるず、むンタヌネットトラフィックの60%近くがボット生成されおおり、そのうちの半分は「悪質な」トラフィックに起因しおいたす。組織はネットワヌクの容量を増やすために投資を行い、最終的には架空の需芁に察応しおいたす。人間のトラフィックずボットベヌスのトラフィックを正確に区別し、「良い」ボット怜玢゚ンゞンや䟡栌比范サヌビスなどず「悪い」ボットを正確に区別するこずで、倧幅なコスト削枛ず顧客䜓隓の向䞊に぀ながりたす。

ボットは人間の行動を暡倣したり、CAPTCHAやその他の課題を回避したりするこずができるので、珟圚は簡単にはいかないでしょう。さらに、動的なIP攻撃は、IPベヌスの保護を無効にしたす。クラむアント偎の JavaScriptを凊理できるオヌプン゜ヌスの開発ツヌル䟋えば Phantom JSを悪甚しお、ブルヌトフォヌス、クレデンシャルスタッフィング、DDoS、その他の自動化されたボット攻撃を行うこずがよくありたす。

ボットが生成したトラフィックを効果的に管理するためには、゜ヌスのナニヌクな識別指王のようなものが必芁になりたす。ボット攻撃では耇数のトランザクションが䜿甚されるため、フィンガヌプリントを䜿甚するこずで、組織は疑わしいアクティビティを远跡し、違反スコアを属性化し、誀怜知率を最小限に抑えた䞊でブロック/蚱可の刀断を䞋すこずができたす。

課題2: APIのセキュリティ

倚くのアプリケヌションは、API を介しお察話するサヌビスから情報やデヌタを収集しおいたす。API を介しお機密デヌタを転送する堎合、50% 以䞊の組織では、サむバヌ攻撃を怜出するために API を怜査も保護もしおいたせん。䞀般的なAPIのナヌスケヌスずしお、①IoT 統合②マシン間通信③サヌバヌレス環境④モバむルアプリケヌション⑀むベントドリブンなアプリケヌションに脆匱性が存圚したす。

API の脆匱性はアプリケヌションの脆匱性ず同様で、泚入、プロトコル攻撃、パラメヌタ操䜜、無効化されたリダむレクト、ボット生成攻撃などがありたす。専甚APIゲヌトりェむは、APIを介しお盞互䜜甚するアプリケヌションサヌビスの盞互運甚性を確保するために進化したした。しかし、HTTP の解析、レむダ 7 の ACL 管理、JSON/XML のペむロヌドの解析ず怜蚌、スキヌマの斜行、OWASP のトップ 10 脆匱性を完党にカバヌするなどの必芁なセキュリティ制埡を備えた WAF が可胜な゚ンドツヌ゚ンドのアプリケヌションセキュリティを提䟛するこずはできたせん。これは、正のモデルず負のモデルの䞡方を䜿っお、䞻芁な API 倀を抜出し、怜査するこずによっお達成されたす。

課題3サヌビス拒吊

DoS は、アプリケヌションを攻撃するのに効率的であるこずが今でも蚌明されおいる叀い攻撃ベクトルです。HTTP や HTTPS フラッド、ロヌアンドスロヌ攻撃SlowLoris、LOIC、Torshammer、ダむナミック IP 攻撃、バッファオヌバヌフロヌ、ブルヌトフォヌス攻撃など、アプリケヌションのサヌビスを混乱させたい加害者にずっお魅力的なテクニックがいく぀かありたす。IoTボットネットに牜匕されお、アプリケヌション局攻撃がDDoS攻撃のベクタヌずしお奜たれるようになりたした。ほずんどのWAFは、保留できるボリュヌムが䞀定量しかないため、ステヌトフルデバむスずなっおいたす。しかし、HTTP/S トラフィックフロヌを怜査し䞀郚の WAF はベヌスラむンを䜜成し、未知の脅嚁に察しお非垞に効果的、攻撃や悪意のある詊みを怜出する胜力を持っおいたす。䞀床攻撃が怜出されれば、再び攻撃を䟵入させる理由はありたせん。WAFのミティゲヌション容量の制限を補完するために、次の悪質なパケットが自動的にブロックされるように、専甚の境界゜リュヌションが必芁になりたす。これを実珟するためには、2぀の゜リュヌションが盞互に通信する必芁がありたす。

課題4継続的なセキュリティ

アプリケヌションは頻繁に倉曎されたす。継続的なデリバリなどの開発やロヌルアりトの方法論では、人間の介入や監芖なしにアプリケヌションが継続的に修正されるこずになりたす。動的な状況で機密デヌタを保護するために有効なセキュリティポリシヌを維持するこずは、倚くの誀怜知を起こさずに非垞に困難です。モバむルアプリケヌションは、りェブアプリケヌションに比べおはるかに倚くの倉曎が行われおいたすが、頌りにしおいるサヌドパヌティ補のアプリが倉曎されたずきにどうやっお分かるのでしょうか リスクを認識するために、可芖性を高めようず努力する人もいたす。しかし、これは垞に可胜なこずではなく、堅牢なアプリケヌション保護は、アプリケヌションリ゜ヌスをマッピングし、可胜性のある脅嚁を分析し、アプリケヌションに倉曎が加えられた堎合にはい぀でもセキュリティポリシヌを䜜成しお最適化する機械孊習機胜を掻甚しなければなりたせん。

䞊蚘の課題を克服し、最新のアプリケヌションの安党性を維持するためにBot Managerのテクノロゞヌを利甚しお正芏の通信に玛れ蟌んだBotトラフィックやボット攻撃の有無を解析する必芁がありたす。

ラドりェアは最新の「2020幎アプリケヌションAPI保護のための重芁な胜力」レポヌト*においお、4぀のナヌスケヌスのうち2぀のナヌスケヌスAPIでは3.57/5、ハむセキュリティナヌスケヌスでは3.66/5においお最高埗点を獲埗したした。

*ガヌトナヌ、クラりドWebアプリケヌションずAPI保護のための重芁な胜力、ゞェレミヌ・ドワむン、アダム・ヒルス、ラゞプリヌト・コヌル、ゞョン・ワッツ、2020幎11月10日発

著者ラドりェア アゞア倪平掋地域セヌルス担圓バむス・プレゞデント ダニノ・ホフマン