ADR月次レポート：アプリケーション攻撃が30%急増、メソッド改ざんは800%増加

Contrast Securityの調査によると、個々のアプリケーションに対する攻撃数が前月比で大幅に増加している。Contrast Labsチームは、2月に平均してアプリケーションが77件の実際の攻撃に直面したことを発見した。ここで言う「実際の」攻撃とは、Webアプリケーションファイアウォール(WAF)を通過し、悪用可能な脆弱性に到達した攻撃のことである。第二の重要な発見として、攻撃者は一つのアプリケーションを約70万回も攻撃した。

このADRレポートでは毎月、Contrast Labsがアプリと顧客のアプリ全体で見られる攻撃の傾向を報告する。読者が敵が何に、どこに焦点を当てているかを確認できるように、攻撃を匿名化し平均化する。

以下に、2025年2月の最も注目すべき発見を示す。

ポイント1：月間攻撃数が30%増加

Contrastは、1月から2月にかけてアプリケーションに対する実際の攻撃が59件から77件に増加したことを確認した。これは30%の増加である。Contrastはアプリケーション内に脅威センサーを埋め込んでいるため、攻撃が発生したタイミングを把握できる。77件の攻撃は、脆弱性に到達し実行されたであろう攻撃を表しており、Contrast ADRによって阻止された。

コードインストゥルメンテーションとは何か?

攻撃の増加は、企業や技術全体に及び、信頼できないデシリアライゼーション、オブジェクトグラフナビゲーションインジェクション(OGNLインジェクション)、メソッド改ざん、パストラバーサルなどが含まれる。クロスサイトスクリプティング(XSS)攻撃も大幅に増加したが、これには別の理由があり、第二のポイントで説明する。

ポイント2：単一の脅威アクターによって68万件の攻撃が実行された

2月の攻撃データを最初に見たとき、XSSの横に巨大な数字が表示され驚いた。1月には、このタイプの攻撃は数万件に及んだ。2月には68万件である。詳細を調べたところ、攻撃はAWSが所有する単一のIPアドレスから発信されたことが判明した。攻撃者は単一企業の単一アプリケーションを標的にし、Contrast ADRがこれらの攻撃を阻止した。注目すべきは、数日間、単一企業の単一アプリケーションが何度も何度も標的にされているのが確認されたのは、これで2ヶ月連続である。1月には、このタイプの攻撃は数万件に及んだ。2月には68万件である。詳細を調べたところ、攻撃はAWSが所有する単一のIPアドレスから発信されたことが判明した。攻撃者は単一企業の単一アプリケーションを標的にし、Contrast ADRがこれらの攻撃を阻止した。注目すべきは、数日間、単一企業の単一アプリケーションが何度も何度も標的にされているのが確認されたのは、これで2ヶ月連続である。

コンテキスト

攻撃データの詳細に入る前に、「攻撃」という言葉の使い方について説明する。私たちは、確認された脆弱性に到達し、侵害を開始しようとしている攻撃のみについて話しており、決して注目に値する侵害にはつながらなかったであろう「インターネットのノイズ」タイプの攻撃については話していない。Contrastの攻撃データは、実際の稼働中のアプリケーションおよびアプリケーションプログラミングインターフェース(API)から直接測定される。

Contrastの攻撃データが、数百万、数十億、ましてや数兆という単位で計測されることはない。なぜなら、それは、ノイズが多すぎるという問題の一部だからだ。Contrast Securityはコードに監視機能を組み込んでいるため、シグネチャや理論上の攻撃ではなく、実際に危険な異常のみを報告する。

よりわかりやすく説明するために、アプリケーションあたりの1か月分のデータを示す以下のグラフを見てほしい。アプリケーションごとに、組織は潜在的に危険な関数への数億件の呼び出しを確認する。平均して、WAFは月に約3万回警告する。一部の組織では、ここからアラート対応への疲労が始まる。更にWebアプリケーションファイアウォール(WAF)を通過する実行不可能な攻撃が数千件あり、これも誤検知につながる。しかし、Contrastが特定するのは、脆弱性に到達した実際の実行可能な攻撃である。平均すると、セキュリティオペレーションセンタ(SOC)が注意を払い、インシデントとし処理して集中すべき攻撃は月に数件だけだ。

先月、2025年2月、Contrastは毎月行っているように、アプリケーションごとに潜在的に危険な関数への約4億8千万件の呼び出しを確認した。Contrast ADRが特定した攻撃を見ると、平均して77件が個々のアプリケーションまたはAPIに到達したことがわかる。平均して、そのうち約7件が調査する必要のあるインシデントとなった。このグラフは、アラート対応への疲労を避けるために、何を調査すべきかを正確に知ることの重要性を示している。

次のグラフは、Contrast ADRで特定されて阻止された、有効な攻撃の種類を分類したものである。月ごとの平均を比較するために、この記事の冒頭で説明した単一アプリケーションに対する数十万件の攻撃は含めていない。

信頼できないデシリアライゼーション攻撃が大幅に増加していること（前月比19%増）、およびメソッド改ざんがアプリあたり月2件から18件へと800%増加していることがわかる。

メソッド改ざんが来月も増加し続けるかどうかは、様子を見る必要がある。

アプリケーション層で実際に何が起こっているのかを知りたい場合は、Contrast Securityに連絡してほしい。

お問い合わせ

Read more:

• Contrast ブログ: ADRがセキュリティ担当の作業負荷を削減し、インシデント対応を迅速化する
• Contrast ブログ: ADR月次レポート：攻撃は月ごとに増加、特に一つのアプリで顕著
• Contrast ブログ: SOCがいかにしてADRを用いてアプリケーションの脅威という危険な海域を航海するか
• Contrast ブログ: ADRについて知っておくべき12のこと