【コラム】2019年以降のアプリケーションセキュリティトレンド
2018年はアプリケーションセキュリティの分野において非常に長く重要な一年でした。多くの良いことが起こりました。新しいOWASP Top 10リスト、およびGDPR(EU一般データ保護規則)などの法律によって、企業がユーザデータの保護に投資するようになり、パッチ適用などのWebアプリケーションのセキュリティ意識が全般的に向上しました。一方、2018年は、攻撃者にとっては当たり年、私にとってはデータ侵害通知が主流になった一年でした。(主流の意味は、データ侵害について考えたことがなかったユーザが、データ侵害について聞いて、その結果を理解したということです。)
過去1年間の攻撃トレンドから判断すると、非常に流行した3つの明らかな攻撃ベクタが2019年以降にさらに大きな問題になることがわかります。
ボット、エクスプロイト、およびクレデンシャルダンプを使用したアカウントテイクオーバー(ATO)攻撃は、来年にわたって増加すると予想されます。 この攻撃から身を守るために、攻撃検出や#二要素認証などの防御を実装します。
1つ目の攻撃トレンドはボットとクレデンシャルスタッフィングによるアカウント乗っ取り攻撃です。
長年にわたって、弊社は、5000のWebサイトが非常に短期間にバックドアから侵入された数年前の攻撃など、大規模で自動的なエクスプロイト攻撃への対処に慣れてきました。過去2年間にわたって、当然、この自動的なハッキングアプローチはアカウント乗っ取り攻撃に拡大してきました。最初は基本的なツールSentry MBAだけでしたが、現在はローアンドスロー攻撃を実行するカスタマイズされたツールも使用されるようになっているため、アカウント乗っ取り攻撃はさらに一般的になっています。攻撃者は、アシュレイ・マディソン、LinkedIn、Twitter、および vBulletinで 多くのデータ侵害を実行し、アカウント乗っ取り攻撃を実行するための大量の認証情報をダンプしました。
根本的には、アカウント乗っ取り攻撃は、簡単に実行できます。無料のCombolists を Sentry MBA に提供する多くのフォーラムのいずれかにアクセスし、リンク先のチュートリアルを確認し、標的を特定するだけです。もちろん、実際は、標的のセキュリティレベルなど、多くの違いがありますが、ほとんどの場合、原則は類似しています。
企業はアカウント乗っ取り攻撃の大幅な増加に直面するでしょう。 アカウント乗っ取り攻撃を検出および防止するための適切なアラートシステムとあわせて、2要素認証、攻撃検出などの対策を計画および導入する必要があります。
APIはますます一般的になりつつあり、APIセキュリティは本来あるべき場所ではありません。 APIエクスプロイトは爆発的に増加しており、2019年を通じてこれが続くと予想されます。企業はAPIセキュリティに集中する必要があります。 #AppSec #DevSecOps
2つ目の攻撃トレンドはAPI(アプリケーションプログラミングインターフェース)攻撃の増加です。
弊社は昨年見つかった脆弱性の一部に関するブログを書きましたが、この攻撃トレンドは継続しており、Google、Amazon、およびFacebookがこの攻撃の影響を受けています。Googleへの2件のAPI攻撃では、ソーシャルプラットフォームGoogle+がダウンしました。Amazonへの1件のAPI攻撃は、実際のユーザ情報に影響しなかったため、その実害はGoogleほどではありませんでした。Facebookの情報漏洩は大規模であり、5000万人のユーザのログイントークンが盗み出されました。
他のシステムに依存して機能を提供する相互接続システムが増加しているため、APIはますます一般的になっています。一方、現在のAPIセキュリティには問題があります。ほとんどのAPIは、消費者が直接使用しておらず、ごく最近までは広く活用されていませんでした。APIはクリティカルデータを簡単に操作できる直接的なインターフェースであるため、その活用が急増しています。API保護は、企業が大規模なデータ侵害を防止するために、今年注力する必要があるもう1つの分野です。以前、弊社は攻撃の可能性、課題、Barracuda Web Application Firewall製品ファミリにAPIをセキュアに実装する方法などのAPIに関するブログを書きました。このようなブログはAPIの詳細について知るための有効な出発点として役立つはずです。
3つ目の攻撃トレンドはサプライチェーン攻撃であり、Magecartがこの攻撃では最も有名です。
長年にわたって、ほとんどのアプリケーションではサードパーティのライブラリとスクリプトがソフトウェアサプライチェーンの一部として使用されてきました。このようなサードパーティのソフトウェアへの攻撃は、以前は頻発していませんでしたが、2018年に警戒すべき新しい攻撃トレンドになりました。この攻撃トレンドは、Magecartが最初に検出された際に、表面化しました。Magecart攻撃グループはEC(電子商取引)サイト(通常はMagentoで構築、MagecartはMagentoに由来)で使用されていた有名なサードパーティのスクリプトを改ざんしました。また、改ざんしたスクリプトを使用して、ブリティッシュ・エアウェイズ、キャセイパシフィック航空、OXO、Newegg、チケットマスターなどのざまざまな企業からクレジットカード番号とPII(個人情報)を盗み出しました。攻撃の規模は大規模であり、攻撃者は調査担当者とスキャンツールから改ざんインジケータを隠すための特別な方法を使用しました。
#サプライチェーン攻撃 は来年も増え続けます。 ファイルハッシュの検証、サブリソース整合性(SRI)の実施、および使用のために検証済みバージョンのサードパーティソフトウェアのみをホストすることは、#ApplicationSecurity #AppSec #DevSecOpsにとって重要です。
Magecart以降、他のサプライチェーン攻撃も有名になりました。最近の攻撃の一つは約6か月前にPEAR(PHP Extension and Application Repository)に実行されました。管理者は、この攻撃によって、自社のWebサイトで提供しているダウンロードファイルが悪意のあるものに置き換えられていたことに気づきました。この攻撃は、Linux MintとTransmissionへの攻撃に類似しており、サードパーティのソフトウェアをダウンロードおよび使用する場合に注意する必要があることを浮き彫りにしています。
開発者は、サードパーティのソフトウェアとスクリプトを使用する場合は、サプライチェーン攻撃を防止するために、非常に注意する必要があります。ファイルハッシュを検証する、SRI(Subresource Integrity)を適用する、サードパーティのソフトウェアの検証済みバージョンをホスティングおよび使用するなどの手順はアプリケーションの保護に非常に役立ちます。
攻撃者は、Webアプリケーションの出現以降、可能なかぎりの攻撃を実行し、新しい方法でセキュリティ担当者をだましてきました。上記の攻撃トレンドは攻撃者がますます狡猾になっていることを表しています。攻撃者は、さらに少ない労力でアプリケーションを侵害する新しい方法を常に見つけており、攻撃が簡単に検出されないように必死になっています。2019年はセキュリティ担当者にとって忙しい一年になりそうですが、弊社はお客様のご安心をお約束します。
*本内容は下記 Barracuda Blog 記事の抄訳です:
Application security trends through 2019 and beyond (February 25, 2019 by Tushar Richabadas)
No comments yet.