ADR月次レポート:信頼できないデータのデシリアライゼーションが3月のアプリ攻撃ランキングでトップに
サイバー攻撃者はアプリケーションを攻撃する戦略を変え、最も危険な戦術の1つに焦点を当てている。4ヶ月連続で1位となったのは、「安全でないデシリアライゼーション」(別名、信頼できないデータのデシリアライゼーション)であった。4ヶ月を経て、もはやこれはトレンドと断言できる。
このADRレポートでは毎月、Contrast研究所が自社および顧客のアプリケーションに見られる攻撃の傾向を報告する。読者は攻撃者が何に、そしてどこに焦点を当てているかを把握できるように、攻撃に関するデータは匿名化と平均化によって集計されている。
2025年3月の最も注目すべき調査結果は以下の通り:
注目すべき点 その1:安全でないデシリアライゼーションの増加
2025年3月には、弊社が攻撃を監視しているアプリケーションにおいて、「安全でないデシリアライゼーション」の攻撃が、1アプリケーションあたり平均28件記録された。Contrastは、アプリケーション内部に組み込まれているため、ここでは誤検知(実際に攻撃でないものを攻撃と誤って報告すること)は報告していない。これらは全て脆弱性に到達し、Contrast ADR(アプリケーションにおける検知と対応)で阻止されていなければインシデントにつながっていたであろう攻撃だ。
「安全でないデシリアライゼーション」は、攻撃者がアプリケーションに悪意のあるコードを挿入し、アプリケーションやその基盤となるシステムが制御される可能性があるため、危険な攻撃だ。これは、アプリケーションでシリアライズされたデータ(保存や送信のためにフォーマット変換されたオブジェクト)を受け取り、それをデシリアライズ(オブジェクトに戻す変換処理)する前に適切な検証を行わなかった場合に発生する。
WAF(Webアプリケーションファイアウォール)では、「安全でないデシリアライゼーション」の攻撃に対処するには不十分だ。WAFはネットワークの境界で動作し、事前に定義されたルールに基づいて受信HTTPトラフィックを解析している。WAFには、シリアライズされたデータの複雑さと、そのデータがアプリケーションによってどのように処理されるかを理解するための、アプリケーションの詳細なセキュリティ情報はない。そのため、データが正規にシリアライズされたものか、悪意のあるデータであるかをWAFでは区別できず、攻撃が検知されずに通過してしまう可能性がある。
悪意のあるシリアライズデータを作成するにはある程度の技術的なスキルが必要かもしれないが、AIアシスタントの登場によって、攻撃者は容易にデシリアライゼーション攻撃を実行できるようになってしまった。残念なことに、AIの登場により、それほど高度な技術を持たない攻撃者にとって、攻撃を実行できる敷居が低くなったのだ。
注目すべき点 その2:アプリあたり110件の攻撃
アプリケーションあたりの攻撃数は増加し続けており、3月には1アプリケーションあたり実際の攻撃が最大110件に達した。より多くのサイバー攻撃者がアプリケーション層に焦点を当てているため、過去6ヵ月間で、攻撃件数は着実に増加している。アプリケーション層がより多くのサイバー攻撃者の標的になっているため、過去6ヵ月間で、攻撃件数は着実に増加している。攻撃の種類によっては、他の種類よりも危険性が高いものがあるため、攻撃件数の増加と、「安全でないデシリアライゼーション」のような複雑な攻撃の増加の両方が見られることは、大きな懸念だ。
これまで弊社のレポートを読んだことがない方のために、重要な背景を説明しよう。 Contrastの攻撃データは、実際の稼働中のアプリケーションとAPI(アプリケーションプログラミングインターフェイス)から直接計測される。攻撃件数が、百万、数十億、ましてや数兆という単位になることはない。なぜなら、それは、ノイズが多すぎるという問題の一因だからだ。Contrast Securityはコードに監視機能を組み込んでいるため、シグネチャや理論上の攻撃については報告せず、実際に危険な異常のみを報告する。
Contrast ADRで検知・阻止された実行可能な攻撃の種類については、この画像を確認してほしい。全てのアプリケーションにおける攻撃件数の平均を計算しているが、特定の脆弱性があるアプリケーションのみを対象として平均値を算出している。したがって、自分のアプリケーションに脆弱性がある場合は、この表に示されている平均値よりもはるかに多くの攻撃を受けている可能性が高いだろう。
先月のブログで、「メソッドの改ざん」の増加は予測できたが、「安全でないデシリアライゼーション」が着実に増加していくとは予測していなかった。Contrastは引き続き注視し、この戦術と攻撃全体が増え続けるようなら、来月また報告するつもりだ。
関連記事/サイト:
- Contrastブログ:ADRがセキュリティ担当の作業負荷を削減し、インシデント対応を迅速化する
- 2025年2月のADR月次レポート:ADR月次レポート:アプリケーション攻撃が30%急増、メソッド改ざんは800%増加
- Contrastブログ:SOCがいかにしてADRを用いてアプリケーションの脅威という危険な海域を航海するか
- Contrastブログ:ADRについて知っておくべき12のこと
- ホワイトペーパー(英語):The Case for Application Detection and Response (ADR)
Contrast Marketing
コントラストブログを購読する
私たちのブログを購読することで、最新のappsecニュースをすべて把握し、ベストプラクティスを開発できます。また、最新のコントラスト製品ニュースとエキサイティングなアプリケーションセキュリティイベントについても通知されます。