セキュリティ企業Akamaiの最新調査によると、商取引への攻撃が急増している。2022年1月から15ヶ月間にわたる同社の調査によると、最も標的となっているウェブ業界は商取引であり、その中でも小売業が主要なサブ業界となっている。
ジャンプ先:
- 小売店にボットが降り注ぎ、コマース攻撃が急増
- LFI攻撃を筆頭に、ウェブサーバーの脆弱性攻撃が増加中
- サードパーティのスクリプトはセキュリティ境界を弱める
- ボット攻撃とフィッシングキャンペーンが急増
- ネットワークセキュリティチェックリスト:サイバー脅威に対処するための必須アイテム
小売店にボットが降り注ぎ、コマース攻撃が急増
Akamai は最新のレポート「ギフトショップからの侵入:コマースへの攻撃」の中で、ボット、API 攻撃、ローカルファイルインクルード攻撃によるリモートコード実行、サーバーサイドエクスプロイトなど、コマースサイトを標的とした攻撃が全体の 140 億件(34%)に上ると結論付けました。クラウドへの移行、ダークネットアプリの普及、IoT デバイスの急増も、攻撃の大幅な増加につながっています。
調査では次のように報告されています。
- すべてのカテゴリにおける悪意のあるボット攻撃の総数は、2022 年の初めから 2023 年 3 月の間に 5 兆件を超え、増加し続けています。
- アクセスの取得とデータの窃盗を目的としたローカル ファイル インクルード攻撃は、2021 年第 3 四半期 (前年の調査期間) と昨年の同じ四半期の間で 314% 増加しました。
- コマース向け JavaScript の半分はサードパーティ ベンダーから提供されており、クライアント側の攻撃の脅威面が拡大しています。
攻撃量で商業部門に次いで多かったのは、ハイテク(全攻撃の21.66%)、金融サービス(15.4%)、そしてビデオメディア、製造、公共部門、ゲームでした(図A)。
図A
130カ国以上の1,300のネットワーク上にある約34万台のサーバーからなるネットワークであるAkamai Connected Cloudから抽出された毎月のペタバイトのデータに基づくこの調査では、欧州、中東、アジア、アフリカでの攻撃は小売業のサブバーティカルに大きく偏っており、攻撃の96.5%を占めているのに対し、ホテルや旅行業は3.3%であることがわかったと同社は述べている。
LFI攻撃を筆頭に、ウェブサーバーの脆弱性攻撃が増加中
このレポートは、ローカルファイルインクルード(LFI)に焦点を当てています。これは、サーバーがファイルを保存する方法の弱点を突くウェブサーバー攻撃です。調査によると、LFIはSQLインジェクションに取って代わり、商業セクターに対する最も一般的な攻撃ベクトルとなっています。LFI攻撃の件数は、次に多いクロスサイトスクリプティング(XSS)の脆弱性を狙う攻撃の2倍以上でした。これらの脆弱性を利用することで、攻撃者はウェブページにスクリプトを挿入し、アクセス制御を回避することができます。
参照:Verizonの調査でDDoS攻撃やメール攻撃の増加が警告(TechRepublic)
Akamai が追跡した攻撃のうち、攻撃者がデータベースへのアクセスを盗むことができる SQL インジェクションを伴う攻撃はわずか 12.24% でした (図 B )。
図B
Akamaiは、LFIエクスプロイトの増加は、攻撃者がリモートコード実行によるデータ抽出を目的とした静かな反乱を好んでいることを示していると述べています。これにより企業ネットワークへのラテラルムーブメント(横方向の移動)が可能になり、この侵入スタイルは、犯罪者がサプライチェーンにおけるより大規模で利益の高い標的に侵入する経路となる可能性があると報告書は述べています。
サードパーティのスクリプトはセキュリティ境界を弱める
調査データによると、コマース業界で使用されているスクリプトの50%はサードパーティのリソースから取得されており、これは他のすべての業界よりも高い割合です。レポートでは、「サードパーティのスクリプトを使用することは、必ずしも信頼性が低い、または悪意のある性質を持つことを意味するわけではありませんが、組織はこれらのサードパーティのスクリプトに存在するセキュリティ上の欠陥のリスクにさらされることになります」と指摘しています。
ボット攻撃とフィッシングキャンペーンが急増
Akamaiは、脅威アクターが詐欺などの悪用目的で記録的な数のボットを使用していると報告し、たとえ無害なボットであってもウェブパフォーマンスを低下させることでユーザー体験を損なう可能性があると指摘しました。この調査では、独自のボットネットを構築し始めている転売業者や、転売業者向けに市場でボットを購入している転売業者について調査しました。
調査によると、割引商品を求める転売業者は、ボットネットを利用してウェブサイトの在庫やお得な情報を入手しているとのことです。アカマイのレポートでは、いわゆる「スクレイパー・アズ・ア・サービス」と呼ばれるサービスがいくつか販売されており、データ分析を行い、事前に設定された利益率を満たす特定の基準に適合したショッピングリストを作成できると指摘されています。
参照:昨年、企業の半数が標的型スピアフィッシング攻撃の被害に遭った(TechRepublic)
フィッシングも増加しており、同社は今年第1四半期のフィッシングキャンペーンの30%が商業顧客を標的にしたものと報告しています。「実際の被害者数よりもキャンペーン数の方が多いものの、攻撃者がこの業界を狙っていることも注目に値します。」
今年の第 1 四半期、Akamai は、フィッシング攻撃において商取引が金融サービスに次いで多いことを明らかにしました (図 C )。
図C
昨年、アカマイは、ソーシャルエンジニアリング攻撃の実践者が巧妙な策略を巧みに利用していることを象徴するフィッシング攻撃を発見しました。それは、巧妙にデザインされたダミーサイトとクラウドサービスを活用した強固なインフラを備えたブランドを模倣した、販売用のフィッシングキットです。この手口では、URL短縮機能を含むリダイレクトを利用して、視覚的に識別可能な悪意のあるリンクを隠蔽します。「当社の分析によると、影響を受けた被害者の89%は米国とカナダのユーザーです。サイバー犯罪者は特定の地域を標的としたキャンペーンを展開しているからです」とアカマイは述べています。
Akamaiの顧問最高情報セキュリティ責任者であるスティーブ・ウィンターフェルド氏は、APIやその他のサーフェスを強化するための重要なアプローチとして、セキュアコーディングが脅威を軽減する上で重要であると述べた。「もし投資するなら、まずは初期段階でエラーを捕捉するためにシフトレフトを行うでしょう。ペネトレーションテストは重要ですが、企業はセキュアコーディングによって投資収益率が向上するかどうかを自問自答すべきです」と彼は述べた。
ネットワークセキュリティチェックリスト:サイバー脅威に対処するための必須アイテム
セキュリティニーズは組織ごとに異なり、脅威はますます多様化し、新たな方向から到来しています。しかしながら、標準的な手法として適用すべきセキュリティの基本原則は存在します。
これらの基本事項をチェックリストにまとめると、セキュリティ対策の実行が容易になり、計画のストレスも軽減されます。TechRepublic Premiumから無料でダウンロードできるこのネットワークおよびシステムセキュリティチェックリストは、強固なサイバーセキュリティ体制を構築するための優れたテンプレートとなります。
