Akamai Diversity

Akamai Japan ブログ

2018 年夏季 SOTI/Security Report -Web Attackの動向

※ このBlog 記事は2018.6.21に執筆された Akamai SIRT Alerts のBlog 記事を翻訳した内容を元に作成しています。

Webアプリケーション攻撃でも変化は続く

2018年夏「インターネットの現状/セキュリティレポート(SOTI/Security Report )」関するブログの第2弾をご覧いただき有難うございます。前回のDDoSの動向に引き続き、今回は2017年11月から2018年4月までの半年間におけるWebアプリケーション攻撃の動向について解説します。 

Webアプリケーション攻撃の分析で纏めている図表のデータは、AkamaiのCloud Security Intelligence (CSI) Platform から収集されたもので、世界中のほぼ2,000ヶ所のデータセンター、24万台を超えるエッジサーバープラットフォーム全体が記録する、毎秒合計40 TBを超えるデータを基にビッグデータ解析をしています。このデータ量は約18ヶ月ごとに倍増しています。 この6ヶ月間で、Akamaiは世界中から4億件のウェブアプリケーション攻撃を受信しました。

この記事では、インターネット上で発生するWebアプリケーション攻撃の種類、その発信元、および標的になったシステムの存在地について膨大なデータから得られた分析に基づいて説明します。これらは公開されているウェブサーバの防御プランを立てる際に役立つ情報になるでしょう。

2018 年夏季 SOTI/Security Report の全文翻訳版のダウンロードはこちらから

Webアプリケーション攻撃の手法

最も一般的なタイプのWebアプリケーション攻撃は引き続きSQLインジェクション (SQLi)であり、今回の調査対象期間にAkamaiのKona Web Application Firewallが検出したWebアプリケーション攻撃の51%を占めています。SQLi攻撃は、10年以上前からセキュリティ専門家にはよく知られている手法ですが、いまだに最も利用されています。この攻撃として検知された大部分は、脆弱なサーバーを探すための単純なスキャンです。これは、一般的な脆弱性スキャナや、SQLエクスプロイトツール、その他の悪意あるソフトウェアが生成する膨大な量のスキャンがノイズとなって、注目すべき本当の攻撃が隠れてしまう恐れがあることを意味します。

残りの攻撃の大半は、ローカル・ファイル・インクルージョン(LFI)とクロスサイトスクリプティング(XSS)で、すべての攻撃のうち、それぞれ、34%と8%にあたります。SQLiと合わせて3種の攻撃を合計すると、悪意あるアプリケーション攻撃の93%になります。企業や組織がWebサービスの開発にあたりセキュアなコーディングを推進するなら、これらの落とし穴による最悪の事態を避けるためのコード作成技術を、ちょっとしたトレーニングで開発者に習得してもらえるでしょう。

WAPFig 1 Vectors-Frequency.jpg

攻撃ソース国トップ10

米国は引き続き、Webアプリケーション攻撃トラフィックの最大のソース(攻撃元)国で、6か月間で2億3,800万件の攻撃アラートを発生させました。 ただこれは、攻撃者が米国に居るという意味では必ずしもなく、 攻撃に利用されているシステムがそこにあることを意味するだけです。攻撃トラフィックの観測だけで攻撃者がどこに住んでいるかを明確に示すことは不可能なのです。 (人口は米国の総人口に比べ大変少ない)第2位のオランダも同様の状況にあります。 オランダ内のシステムからのトラフィックは9,400万のアラートを生成しました。 第3位の中国のアラート生成数は5,600万でした。

1年以上にわたり、オランダは特にその人口に比較してはるかに多い数の攻撃を生んでいました。オランダには、利用者のプライバシー保護促進のために特別に設計された多くのISP、いわゆる「防弾(Bullet Proof) ホスティング」プロバイダーが存在し、これが攻撃者の身元も隠してしまいます。さらにオランダには、攻撃者が利用できる超高速接続もあります。

WAPFig 2 Origin-Country-World.jpg

アジアでの攻撃ソース国上位は中国、インド、日本の順です。インドは世界全体では8位に1ランクダウンしました。シンガポールは過去いくつかの四半期ではランク外でしたが復活し、かわりにオーストラリアがランク外になっています。

WAPFig 5 Origin-Country-Asia.jpg

攻撃の標的国トップ10

一方で、Webアプリケーション攻撃の標的になった上位国は興味深い結果となっています。米国は一貫して標的の第一位に位置していますが、自ら悪意あるトラフィックを生成し、高い割合でその標的ともなっています。一般的に考えられる理由としては、インターネットインフラの多くが米国内に存在するためだと思われます。しかしクラウドサービスプロバイダーは世界各国で拠点を構築していますから、その普及に伴い、多くの国において、米国と同様に国内を標的とするトラフィックが増えていく可能性は高くなる可能性があります。

WAPFig 6 Top-10-Target.jpg

最後に

ウェブアプリケーション攻撃は常に大量に発生していて、その多くは明確な悪意を持った攻撃を発見しようとする防御側にとってノイズとなります。どれがただのノイズで、どれが悪意を持って貴社を標的にしようとしているかを判断する必要があります。

自社のサイトへのトラフィックがどこから来ているべきかを知ることは、攻撃トラフィックを見分けるための要素として有効です。 オランダからのトラフィックに対しては、リスクの低いチリからのトラフィックよりも気を付ける必要があるかもしれません。また、国内や特定地域のみでビジネスを展開している事業者は、地域外からくるトラフィックに注意を払うことも有効でしょう。Akamai Kona Web Application Firewallでは攻撃ソース国を管理画面で簡単に分析できるほか、精度の高いGeo Blocking (地域別ブロッキング)の機能も備えています。

2018 年夏季 SOTI/Security Report の全文翻訳版のダウンロードはこちらから

さてこの解説の最終回となる次回、第3弾では、2018 年夏季 SOTI/Security Report のレポートの目玉の一つである、ホテル、旅行業における、不正ログインボットの挙動について簡単にご紹介します。

Leave a comment