サイバー犯罪者の専門化が進み、Webアプリケーション攻撃が急増
トピック: Attacks and Threat Actors
2022年3月17日、Phil Muncaster
脅威アクターがより賢く、より組織化され、より機知に富んできていることに私たちは既に気付いています。APIベースの脅威からDDoS攻撃に至るまで、Webアプリケーションの攻撃はその数と精巧さを増し続けています。デジタルトランスフォーメーションに真剣に取り組む企業にとって、これらの攻撃に真っ向から取り組むことは優先事項でなければなりません。
実際、Webアプリ層で深刻な違反や障害が発生すると、企業が収益や顧客ロイヤルティを高めるためにますます依存している種類のプロジェクトが頓挫してしまう可能性があります。そろそろ正念場を迎える時期です。
さらに賢くなるDDoS攻撃者
DDoS攻撃は、何年も前から私たちの身近に存在しています。しかし、参入障壁はかつてないほど低くなっています。実際、英国家犯罪対策庁のデータによると、「as-a-service」ツールのおかげで、わずか9歳の子どもでもこうした攻撃を展開することが可能になっています。現在Webアプリケーションへの攻撃は、DDoSキャンペーン全体の急増に大きく寄与しています。
これらの攻撃は実行速度が遅い反面、組織が検知することが難しく、ネットワーク層への攻撃と比較して、より多くのリソースを必要とします。また、脅威アクターは、身代金を要求する直接攻撃や、ランサムウェアの被害者に金銭を支払わせることを目的とした「三重の脅迫メール」など、さまざまな方法を駆使しています。これにより、中堅企業の一部のセキュリティリーダーたちのDDoSリスクに対する計算が狂ってしまう可能性があります。
Webアプリケーション攻撃
Webアプリケーションは、有益な顧客データや内部データへの直接的な経路となり得るため、それ自体が脅威アクターの主要な標的なのです。「アクセス制御の不備」と「インジェクション攻撃」が最も多い原因となっており、2021年にはこれらの攻撃の過半数を占めています。
アクセス制御の不備は、OWASPアプリケーションセキュリティリスクの上位10位に選ばれています。これには「予測可能なリソース位置」の違反が含まれ、攻撃者はファイルディレクトリの一般的な名前を推測もしくは総当たり攻撃で見つけることができるため、機密情報にアクセスできる可能性があります。インジェクション攻撃には、SQLインジェクションなどがあります。すべての組織は、これらの脅威に注意する必要があります。Webアプリケーションが顧客や従業員にとって重要な役割を担っていない業界は一つもありません。
精査されるAPI
また、新しいレポートでは、APIに対する脅威が増大していることが明らかになっています。より多くの企業がWebアプリケーション、データ、デバイスを社内や外部のシステムと接続し、より優れたユーザ体験を実現するために、デジタルエンタープライズの中心的な役割を担うようになっています。この調査では、95%の組織が過去12カ月間にAPIのセキュリティインシデントを経験し、12%が月平均500件以上の攻撃に悩まされていたことが明らかになりました。
回答者の最大の懸念は、古いAPIのリスク(43%)、次いでインシデントがアカウント乗っ取りにつながる可能性(22%)でした。技術革新が進むにつれ、セキュリティチームは、「ゾンビ」APIのようなセキュリティが不十分な過去の技術について忘れてはなりません。このようなIT環境の一角を可視化することと、不正なデータアクセスの経路としてますますAPIの重要性が高まっていることを理解することは同じくらい重要です。Gartner社の予測によると、2022年までにAPIがデータ侵害の主な攻撃ベクタになるとのことです。
気を配るべき理由
ウクライナにおけるサイバー戦争が激化する中、すべての組織は、攻撃者が攻撃してくるであろうセキュリティチェーンの最も弱い部分の強化に取り組まなければなりません。この紛争がロシアとウクライナの西側同盟国との間の広範なオンライン上の戦いに波及しないとしても、企業はWebアプリケーションのリスク軽減に注力すべきです。特にデジタル事業への投資が拡大するほど、その重要性は高まります。
実践するにあたり検討すべき事項:
- 攻撃ベクタとしてのAPIにもっと注意を払い、どこに防御のギャップがあるかを理解し、Webアプリケーションのファイアウォールやその他のツールでAPIを保護すること
- 三重の脅迫メールという新たな脅威やDDoSランサム攻撃の急増など、変化するDDoSの力学を理解すること。組織は、このような攻撃がWebアプリ層に与える影響を軽減するために、専門家と提携すべき
- アプリケーションやAPIの開発プロセスにセキュリティを組み込むとともに、これらの環境を第三者による攻撃から保護するために、より懸命に取り組むこと
重大なインシデントが発生すれば、新しいアプリケーションの運用開始が遅れる可能性があるため、積極的に行動することが大切です。これは、新しい顧客体験によって市場の需要に迅速に対応する企業の能力の中核となるものです。この文脈でのセキュリティは、「あったらいいな」ではなく、デジタルイノベーションと成功の必須条件として、すべてのプロジェクトに組み込まれるべきものです。
アプリケーションを保護するシンプルなプラットフォーム
原文はこちら:
Web application attacks surge as cybercriminals continue to professionalize
March 17, 2022 Phil Muncaster
https://blog.barracuda.com/2022/03/17/web-application-attacks-surge-as-cybercriminals-continue-to-professionalize/
No comments yet.