ADR月次レポート：攻撃は月ごとに増加、特に一つのアプリで顕著

驚くべき発見として、2025年1月中旬、Contrast ADRは、境界防御を突破した数万件の攻撃を一つのアプリケーションで阻止した。

このADRレポートでは毎月、Contrast Labsがアプリと顧客のアプリ全体で見られる攻撃の傾向を報告する。読者が敵が何に、どこに焦点を当てているかを確認できるように、攻撃を匿名化し平均化する。

先月のデータから、二つの注目すべき発見があった。

ポイント1：一つのアプリへの1万6千件の攻撃

リリース後数日、ある顧客の.NETアプリケーションは、組織の多層防御戦略の重要な要素であるContrast ADRによって阻止される前に、境界防御をすり抜けたほぼ1万6千件の攻撃に直面した。攻撃されていれば、ビジネスに重大な影響を与えていただろう。顧客に関する詳細情報を開示しないため、現時点ではこれ以上の詳細を述べられない。

ポイント2：境界防御を回避する攻撃が急増

第二に、境界防御を突破する全体的な攻撃は、月ごとに大幅に増加している。監視および防御する各アプリケーションとAPIは、平均59件の攻撃に直面し、前月の45件から増加した。。攻撃の種類で最も急激な増加が見られたのは、クロスサイトスクリプティング(XSS)、SQLインジェクション、HTTP 動詞改ざん (HTTP メソッドとも呼ばれる) 攻撃である。

コンテキスト

攻撃データの詳細に入る前に、「攻撃」という言葉の使い方について説明する。Contrastが攻撃とみなすのは、意図した脆弱性に到達し、悪用が行われようとしていることが確認された攻撃のみである。「インターネット上のノイズ」のような、重大な侵害には至らない攻撃は含まない。誤検知をフィルタリングして、ノイズを排除している。

Contrastの攻撃データは、実際に稼働しているアプリケーションとAPIから直接測定されている。Contrastの攻撃データが、数百万、数十億、ましてや数兆という単位で計測されることはない。なぜなら、それは、ノイズが多すぎるという問題の一部だからだ。Contrast Securityはコードに監視機能を組み込んでいるため、シグネチャや理論上の攻撃ではなく、実際に危険な異常のみを報告する。

よりわかりやすく説明するために、アプリケーションあたりの1か月分のデータを示す以下のグラフを見てほしい。各アプリケーションについて、組織は潜在的に危険な関数への数億件の呼び出しを確認する。これらの呼び出しから、「セキュリティ関連の観察」が分離され、より詳細な調査が行われる。一部の組織では、ここからアラート疲労が始まる。次に、ウェブアプリケーションファイアウォール(WAF)を通過する数千件の実行不可能な攻撃があり、これも誤検知につながる。しかし、Contrastが特定するのは、脆弱性に到達する実際の実行可能な攻撃である。しかし、Contrastが特定するのは、脆弱性に到達する実際の実行可能な攻撃である。

先月の2024年12月、Contrastはアプリケーションごとに潜在的に危険な関数への4億8千万件の呼び出しを確認した。Contrast ADRが特定した攻撃を見ると、平均して45件が個々のアプリケーションまたはAPIに到達したことがわかる。平均して、そのうち約3件が調査する必要のあるインシデントとなった。このグラフにより、アラート疲労を避けるために、何を調査すべきかを正確に把握することが重要であるかが分かるだろう。

次のグラフは、Contrast ADRで特定されて阻止された、有効な攻撃の種類を分類したものである。月ごとの平均を比較するために、記事の冒頭で説明した一つのアプリケーションに対する数万件の攻撃は含めていない。

今月の二つの重要な点

1. 一つの.NETアプリケーションが、わずか数日で数万件の攻撃を受けた。公開後数週間で、そのアプリは数万件の攻撃を受けた。攻撃者がアプリケーションに焦点を当て、調査し、脆弱性を見つけると、彼らは容赦ない。攻撃はボット、AI、またはその両方によって生成された可能性が高い。Contrast ADRセンサーが攻撃を検出したため、成功したものはなかった。
2. 間違いなく、攻撃は月ごとに増加している。一か月で傾向が決まるわけではないが、今年のアプリケーション攻撃が増加するという予測を裏付けるものである。AIにより、攻撃者はアプリケーション層への攻撃をより簡単に開始できるようになった。AI搭載ボットは、従来の方法よりも迅速かつ効率的にアプリケーションの脆弱性をスキャンし、発見された脆弱性に基づいてSQLインジェクション、XSS、サーバーサイドリクエストフォージェリ(SSRF)攻撃のペイロードを自動生成できる。それが1月に観測できたものだ。もちろん、ADRは顧客のために攻撃を阻止した。

来月、攻撃が増加し続けるかどうかを確認する必要がある。

アプリケーション層で実際に何が起こっているのかを知りたい場合は、Contrast Securityに連絡してほしい。

Read more: 

• Contrast ブログ: ADRについて知っておくべき12のこと
• Contrast ブログ: SOCがいかにしてADRを用いてアプリケーションの脅威という危険な海域を航海するか
• Contrast ブログ: Contrast ADRでアプリケーションとAPIセキュリティのギャップを埋める5つの方法
• Contrast ブログ: Contrastが提唱するADR(アプリケーションにおける検知と対応)とは？