11月の攻撃データ：ADRが検知した攻撃の現状

12月 18, 2024

攻撃者は、アプリケーションとAPIを標的に攻撃を仕掛けており、2024年11月には1つのアプリケーションあたり平均50件の攻撃が確認された。これは前月から減少しているものの、依然として驚くべき数の攻撃が他の防御をかいくぐり、 Contrast Application Detection and Response (ADR)によってのみ検知されている。Contrast Securityは、ADRによる実際のアプリケーションおよびAPI攻撃の検知と対応に関するデータを30日ごとに公開している。

定義

まず、「攻撃」という言葉の使い方について説明する。ここでいう攻撃とは、意図した脆弱性に到達し、悪用を開始しようとしていることが確認された攻撃のみを指し、「インターネット上のノイズ」のような、重大な侵害に発展することのない攻撃は含まない。Contrastはノイズを明確に区別し、誤検知を排除する。

我々が使う「プローブ」とは、攻撃者が弱点、設定ミス、悪用可能な脆弱性を探すためにドアノブをガタガタと揺らすように行う能動的な偵察のことだ。プローブはWebアプリケーションファイアウォール (WAF)を通過する可能性があるものの、結果として生じる攻撃の多くは明白であり、WAFによって検知され、深刻な脅威にはならない。

Contrastの攻撃データは、実際に稼働しているアプリケーションとAPIから直接測定されたものだ。我々の攻撃は、数百万、数十億、ましてや数兆という単位で測定されることはない。なぜなら、それが問題の一部だからだ。ノイズが多すぎるのだ。Contrast Securityはコードをインストゥルメント化しているため、シグネチャや理論的な攻撃ではなく、実際に危険な異常のみを報告する。

誤検知は厄介、対処する方法はこちらを参照

11月の数値

11月のプローブと攻撃の数は、以下のチャートに示されている。ご覧のとおり、4,000件以上のプローブと、アプリケーション/APIあたり50件以上の実際の攻撃があった。これは、実際の攻撃の頻度がプローブの約1%であることを意味する。

分析

11月における重要なメッセージは、平均的なアプリケーション/APIが、コードの迷路を通り抜け、標的とする脆弱性に正確に到達する50以上の攻撃を受けているということだ。

プローブの分布は、実際の攻撃の分布とは大きく異なることに注意が必要だ。強力なリスク管理とは、最も可能性が高く、最悪の結果をもたらす攻撃に焦点を当てることを意味する。プローブに気を取られてはいけない。例えば、11月には340万件のパス・トラバーサル・プローブがあったにもかかわらず、実際にファイルシステムに到達できたのは1.27件のみだった。
リモートコード実行(RCE)につながる攻撃に焦点を当てるべきだ。プローブの数はかなり少ないにもかかわらず、平均的なアプリケーション/APIは、毎月12件以上の確認済みの安全でないデシリアライゼーション、ELインジェクション、およびJNDIインジェクションの攻撃を受けている。
これらは、従来のコントロールをバイパスして脆弱性に到達した実際の攻撃であることを忘れてはならない。攻撃を受けていることに気づいていない可能性もある。古典的な攻撃を忘れてはならない。SQLインジェクションとコマンドインジェクションだ。これらは、2番目と3番目にプローブされた攻撃ベクトルだ。数は比較的少ないが、無視すべきではない。SQLインジェクションは、アプリケーション/APIあたり3.09件の実際の攻撃につながっており、懸念される。コマンドインジェクションは、攻撃者の関心が高いにもかかわらず、1か月あたり0.08件の実際の攻撃しか発生していない。

今後の展望

毎月データを公開しているので、傾向を注視していく。攻撃者は、12月には休暇が多いことを知っている。年末年始は攻撃量が増加する傾向があるため、注意深く監視していく。このパターンが続けば、犯罪者はWAFやエンドポイント検知・対応(EDR)ツールをバイパスするタイプの攻撃へと移行していくと予想される。

境界ツールのデータを使用しているほとんどの組織は、危険な攻撃がアプリケーションやAPIに到達している数を見て驚いている。アプリケーション層で実際に何が起こっているのかを知りたい場合は、Contrast Securityに連絡してほしい。

Contrast Marketing

前

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 2024年12月13日

次

Log4Shell: 3年後も燃え盛るLog4j脆弱性の危険

目的別

業務別

業界別

GITHUB ACTIONS BLOG SERIES, PART 1: PIPELINE NATIVE CODE ANALYSIS

"Contrast speeds up the delivery pipeline – we fix issues earlier in the development lifecycle. Great for any company trying to achieve a DevSecOps approach to application security.”

インシデント情報サイト

11月の攻撃データ：ADRが検知した攻撃の現状

11月の数値

分析

今後の展望

Contrast Marketing

目的別

業務別

業界別

GITHUB ACTIONS BLOG SERIES, PART 1: PIPELINE NATIVE CODE ANALYSIS

"Contrast speeds up the delivery pipeline – we fix issues earlier in the development lifecycle. Great for any company trying to achieve a DevSecOps approach to application security.”

インシデント情報サイト

11月の攻撃データ：ADRが検知した攻撃の現状

11月の数値

分析

今後の展望

Contrast Marketing

コントラストブログを購読する