セキュリティ企業Akamaiが発表した最新のインターネット状況レポートによると、昨年、アプリケーションおよびアプリケーションプロトコルインターフェースの脆弱性を悪用した攻撃は過去最高を記録しました。同社は、Log4Shell、ProxyNotShell、Spring4Shell、そしてAtlassian Confluenceによるリモートコード実行といった、よく知られた脆弱性に続き、複数の共通脆弱性(CVE)が昨年も引き続き確認されたと述べています。同社は、Open Web Application Security Project(OWASP)が近日発表するAPIセキュリティトップ10にAPIの脆弱性が含まれたことは、APIセキュリティリスクに対する意識の高まりを反映していると指摘しました。
コンテンツ配信ネットワーク(CDN)およびクラウドサービスプロバイダーのAkamaiは、APIセキュリティ企業Neosecを買収し、今後2週間以内に取引が完了する見込みです。同社はAPIセキュリティエコシステムに参入します。Akamaiのアプリケーションセキュリティ担当シニアバイスプレジデント兼ゼネラルマネージャーであるルペシュ・チョクシ氏は、この戦略により、同社は熾烈な競争と極めて細分化された業界に参入することになると述べています。
「この分野には多くの企業が参入しており、それぞれ異なる視点からセキュリティ対策を講じています」と、サンフランシスコで開催されたRSAカンファレンスのアカマイブースでチョクシ氏はTechRepublicに語った。「業界として必要なのは、教育の集中化です。脅威のベクター、攻撃対象領域、そして攻撃者はどのように攻撃を仕掛けてくるのかといった点です。お客様からの質問の多くは、検出と可視性に関するものでした。」
ジャンプ先:
- 視認性と深さが鍵
- APIの脅威はAPIの量に応じて増大する
- 2023年の攻撃ベクトル
- Akamai、フィッシング対策ミラーサイト検出ツールをリリース
- 動き続けるか沈むか
視認性と深さが鍵
「お客様にとって、このプロセスはシンプルです」とチョクシ氏は述べた。「プロセスは『可視性、検出、アラートを提供し、アプリケーションの種類をより深く理解し、よりインライン保護を提供できますか?攻撃に対抗し、シャットダウンして保護するお手伝いをしてくれますか?』という問いから始まります。お客様と話をしていて興味深いのは、API管理、トラクション、ツール、セキュリティといった領域が、お客様が求めているのは、インベントリの維持管理やアプリケーションの理解といった、非常に大きな領域であるということです。アーキテクチャ全体がモジュール化され、マイクロサービスや多くのクラウドネイティブアプリが混在する中で、どのアプリケーションが自社のデータセンター内にあるかさえ、どうやって把握できるのでしょうか?デジタルトランスフォーメーションによって、私たちはよりコネクテッドエコノミーへと移行し、サプライチェーン全体が高度にデジタル化され、APIに依存するようになっています。」
APIの脅威はAPIの量に応じて増大する
Akamaiは、企業が平均1,061個のアプリを使用していると指摘し、攻撃の範囲を示すために、2022年10月8日には1億6,100万件のAPI攻撃が発生し、10月9日にピークに達したと指摘しました。Akamaiのレポートでは、攻撃の増加はアプリ開発ライフサイクルと実稼働サイクルの高速化に起因するとしています。実際、Akamaiが指摘したように、Enterprise Strategy Groupの調査では、組織のほぼ半数が、時間的制約のために脆弱なアプリを実稼働環境にリリースしていると回答しています。
同社は、脆弱性の偶発的な公開が増加していると報告しており、10件に1件はインターネットに接続されたアプリケーションで「高」または「緊急」カテゴリの脆弱性が見つかった。さらに、Log4Shellのようなオープンソースの脆弱性の数は2018年から2020年の間に倍増し、多くの場合、脆弱性公開から24時間以内に攻撃が開始されている。
2023年の攻撃ベクトル
Akamaiのレポートによると、プログラマーのエラーに起因する脆弱性であるローカルファイルインクルード(LFI)は、WebアプリケーションおよびAPI攻撃における最も増加している攻撃経路であり、主に偵察や脆弱な標的のスキャンに利用されているとされています。レポートによると、LFIの脆弱性は、攻撃者がログファイルデータを取得し、ネットワークのより深い部分への侵入に役立てる可能性があることを示唆しています。
レポートによると、主な API リスクは次のとおりです。
- 昨年、顧客の Web アプリケーションおよび API に対して毎日 1,400 万件のサーバー側リクエスト偽造 (SSRF) 攻撃が行われました。
- Log4Shell のようなオープンソースの脆弱性により、Akamai は、テンプレートにコードを挿入することでリモート コード実行を可能にするサーバー側テンプレート インジェクション (SSTI) 技術の増加を予測しています。
- 医療用IoTデバイスへの攻撃は昨年82%増加しており、アカマイ社はこの傾向が今後も続くと予想している。
「経済がますます繋がりを深めていく中で、APIは特に注視すべきリンクです。こうした取引の多くは高速です。高速であればあるほど、インフラが機能することが求められます」とチョクシ氏は述べた。
コンサルティング会社ガートナーの2022年11月のレポートでは、APIの爆発的な増加により攻撃対象領域が拡大し、悪意のある攻撃者に新たな侵入やデータ窃取の機会を与えていると指摘されています。また、APIの広範な分散と均一性の欠如が、セキュリティに対する多層防御アプローチの課題となっていると指摘しています。「これは、現代のアプリケーションアーキテクチャ、開発、展開、統合パターンによって推進されている」とレポートは指摘しています。
レポートはまた、成熟度の低い組織はAPIセキュリティを一般的なウェブアプリケーションセキュリティと一括りにし、ファイアウォール、DDoS対策、その他の一般的な境界保護に投資しているため、APIサーフェスの可視性が低いと指摘しています。「このようなナイーブなアプローチは、API環境を完全に理解し、セキュリティを確保することを妨げています」とレポートは述べています。
Chokshi 氏は、API を介してやり取りされるデータの量が膨大であるため、セキュリティには AI を活用した分析の適用が必要だと述べました。
「トラフィックのうちどれだけが脅威となるのかを把握するのは困難です。そこで、機械学習、AIモデル、行動分析を組み合わせた、検知の秘訣が重要になります。数十億件ものトランザクションを精査し、問題を特定して顧客に迅速に警告する必要があるため、必要な処理能力は非常に高くなります。業界が進化し、イノベーションに注力してきたのはまさにこの点です」と彼は述べた。
ガートナーは、API セキュリティへの取り組みに関するレポートで、次のことを推奨しています。
- 内部と外部の両方の API をカタログ化して分類し、適切なリスク評価を実施して、API 所有者および配信チームとの連携を可能にします。
- データの機密性、ビジネスの重要性、顧客への影響など、さまざまな API 特性に基づいてリスクを評価します。
- Web アプリケーションと API 保護のギャップを埋めて、API セキュリティを強化します。
- API の継続的な検出を実装し、API 管理プラットフォームと統合して、一貫した可視性を確保します。
- API セキュリティをソフトウェア開発ライフサイクルに統合して、セキュリティを重視した文化とプロセスを構築します。
- そのためには、ソフトウェア エンジニアリング チームと連携して、セルフサービスの API 仕様検証、API セキュリティ テスト、カタログ登録を可能にします。
- 実践コミュニティを確立して、API ライフサイクル全体にわたってセキュリティに関する認識を構築し、セキュリティの共有責任と説明責任を確立できるようにします。
Akamai、フィッシング対策ミラーサイト検出ツールをリリース
RSA で Akamai は、盗まれたブランド資産を使用した偽の Web サイトへのトラフィックを阻止するように設計された新しいプラットフォーム、Brand Protector を発表しました。
同社によれば、ブランドプロテクターは、以下の4段階のアプローチで詐欺的ななりすましの問題に対処しているという。
- Akamai のネットワークとサードパーティのデータフィードから得られる 1 日あたり 600 TB を超えるデータの分析から得られるインテリジェンスにより、総合的な可視性が得られます。
- 理想的にはフィッシング キャンペーンが始まる前に、ライブ トラフィック (遅延したフィードやリストではなく) の追跡を通じてブランドの不正使用を検出します。
- 単一のダッシュボードにリアルタイムの可視性が提供されます。検出結果は、信頼度スコア、重大度評価、影響を受けるユーザー数、攻撃イベントのタイムラインとともに脅威スコア別にランク付けされます。
- ユーザー インターフェース内で不正サイトの削除リクエストを発行し、検出の証拠と補足詳細を添付して使いやすさを向上させる緩和機能。
「テルアビブオフィスの技術チームとイノベーションによって、悪意のある人物が実際に本物のウェブサイトにアクセスし、ウェブページのレンダリング中にロゴや画像などのオブジェクトを盗み取っていることが確認できました。偽のウェブサイトへのトラフィック、偽ウェブサイトを作成するための情報の盗み取り、そしてエンドユーザーからのトラフィックが偽ウェブサイトに流れているのを確認しました」とチョクシ氏は述べた。
動き続けるか沈むか
チョクシ氏によると、攻撃者は「パイロットフィッシュ」のように列をなしてブランドのウェブサイトを偽装し、顧客のイベントに合わせていることが多いという。「顧客がトラフィック獲得のためにプロモーションを実施し、攻撃者はそのトラフィックを引き出すためにフィッシングサイトを立ち上げる。これは日常茶飯事だ」とチョクシ氏は述べた。
「私たちのセキュリティチームと研究者のモチベーションは、敵が今何をしようとしているのかを解明することです。『シグナルポイントはどこにある? それらのデータポイントをどう繋げれば、何かを見つけ出したという確信を持てるだろうか?』と。そのためには非常に特別な才能と信念が必要です。サイバーセキュリティは継続的な学習が非常に重要な分野の一つです。常に前進し、前進し続けなければなりません」と彼は付け加えた。
