用語集:サイバーセキュリティに関する用語と定義

OWASP Automated Threats to Web Applications

このOWASPプロジェクトは、Webアプリケーションを標的とする自動化された脅威の識別と、それらのリスクを軽減するためのセキュリティ管理方法とベスト プラクティスの提案に重点を置いたものです。

OWASP(Open Worldwide Application Security Project)Automated Threats to Web Applicationsプロジェクトの目標は、Webアプリケーションが一般に直面するさまざまな自動化された脅威について、包括的で標準化された認識を提供することにあります。これらの自動攻撃では、モバイル アプリケーションとAPIが標的にされることがますます増えています。このプロジェクトでは、Webアプリケーションに対する実世界の自動攻撃の研究と分析をまとめ、これらの脅威の防御に役立つドキュメントを作成しています。

自動化された脅威とは何か

自動化された脅威とは、人間がWebアプリケーションを手動で操作するのではなく、ボット、スクリプト、またはハッカーが使うツールキットによって実行される攻撃のことです。これらの脅威は、WebアプリケーションやAPIに内在する脆弱性を悪用し、セキュリティ侵害、データ盗難、アカウント乗っ取り、不正行為、その他の有害な結果につながる可能性があります。

アプリケーションにショッピング カードがあることは脆弱性ではありませんが、ショッピング カートに商品を円滑に追加するためのビジネス ロジックが自動化の標的となって操作されて、在庫の買い占めにつながる可能性もあります。

このプロジェクトでは、Webアプリケーションを標的とするさまざまな自動化された脅威の一覧、つまり分類法が作成されました。これらの脅威を識別して分類することで、開発者、セキュリティ専門家、組織は、直面しているリスクとシステムに対する潜在的な影響について理解を深めることができます。また、自動化された脅威ごとに、リスクの軽減に効果的な対策とベスト プラクティスも推奨されています。OWASPは、これらの脅威に対する意識を高めることで、プロアクティブなセキュリティ対策を促進し、Webアプリケーションのセキュリティ体制全体を向上させることを目指しています。

自動化された脅威の大半でボットが利用されているため、ボットの管理と緩和を区別することが役立ちます。ボット管理とは、Webアプリケーションを操作するボットに対処するために使用される戦略と手法を指します。ボット管理の目標は、ボットをブロックまたは緩和するだけでなく、正当なボットのトラフィック(検索エンジン クローラーなど)と悪質なボットを区別することにあります。一方、ボット緩和は、特にWebアプリケーションに対する悪質なボットの影響を低減または排除するプロセスに重点を置いています。これには、アカウント乗っ取り(ATO)や不正行為につながる可能性のある、ボットによる有害なアクションや攻撃を成功させないための防御策の実装が含まれます。

OWASP Automated Threats to Web Applicationsのリスト

OWASP Automated Threats to Web Applicationプロジェクトが特定してまとめた、自動化された脅威のリストを以下に示します。

  1. アカウント アグリゲーション。これらの攻撃の目標は、複数のサイトやプラットフォームからユーザー アカウント認証情報を収集することにあり、多くの場合、個人情報の盗難、金融詐欺、機密情報への不正アクセスといった悪質な行為を目的としています。アカウント アグリゲーション攻撃は、さまざまなWebサービスやアプリケーションに対する人間の操作を模倣する自動化されたボットやスクリプトを使用して実行されます。
  2. アカウント作成。これらの攻撃では、自動化されたスクリプトやボットを使用して、プラットフォームやWebサイトで偽のユーザー アカウントを大量に作成します。攻撃者はこの偽のアカウントを使用して、スパム コンテンツ、広告、悪質なリンクなどをプラットフォームに大量に送りつけ、サービスの中断を引き起こし、正当なユーザーの不満につながります。また、Webサイトやアプリケーションで世論やレビュー/評価を操作することも、実際のユーザーや著名人になりすまして誤った情報を広めたり、評判を損ねたりすることもできます。この脅威は、ファーストパーティの不正行為とも呼ばれる口座開設詐欺につながる可能性もあり、デジタル環境全体に影響を及ぼします
  3. 広告詐欺。この脅威はクリック詐欺とも呼ばれ、クリック数やインプレッション数など、オンライン広告の操作回数を改変する偽装アクティビティです。これらの不正行為は、一般に自動化されたボットやスクリプトによって実行され、攻撃者に収益をもたらすことや、広告のパフォーマンス指標を操作することを目的としています。
  4. CAPTCHA突破。この脅威は、自動化技術を使用してCAPTCHAチャレンジを回避または迂回します。攻撃者はボットに対する一般的な防御策を回避できるため、Webアプリケーション セキュリティにとって重大な問題となります。CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)は、人間のユーザーと自動化されたボットやスクリプトを区別するために使用されるセキュリティ管理手法です。攻撃者は、視覚的なCAPTCHAの解決には画像認識ソフトウェアを使用し、音声とパズルのCAPTCHAの解決には機械学習アルゴリズムを導入しています。また、CAPTCHAをリアルタイムで手動で解決するヒューマンCAPTCHAソルバーを雇う場合もあります。CAPTCHAはよく使用されるセキュリティ管理手法ですが、回避することができ、正当なユーザーのカスタマ エクスペリエンスを損なって不満を生じさせるため、取引や収益の損失につながる可能性があります。
  5. カード クラッキング。これは自動サイバー攻撃の一種で、カード番号、有効期限、セキュリティ コード(CVV/CVC)などの支払いカードのセキュリティ機能を推測または解読します。カード クラッキングには通常、ブルート フォース攻撃が使用されます。自動化されたボットやスクリプトがカード情報を多数組み合わせて、有効なカードに一致する組み合わせが見つかるまで系統的に試行します。有効なカード情報が特定されると、不正購入や金融詐欺など、さまざまな違法行為に使用される可能性があります。攻撃者はギフト カード発行者が連番のパターンを使用しているかどうかを確認するために、実店舗で未使用の物理的なギフト カードを数枚入手する場合もあります
  6. カーディング。この形式の自動サイバー攻撃では、盗まれた支払いカード情報が不正な取引や購入に使用されます。犯罪者は、自動化されたボットやスクリプトを使用して、盗まれたクレジット カードやデビット カードの情報をさまざまなWebサイトやアプリケーションでテストし、盗まれた情報が承認されるWebサイトやアプリケーションを特定します。自動化されたボットで脆弱な標的が特定されると、盗まれたカード情報を使用して、高額商品やデジタル サービスの不正購入を行ったり、残高を他の口座に移したりします。
  7. キャッシュ アウト。これは、現金化しにくい資産や仮想通貨を実世界の資金や有形資産に変換することを指します。多くの場合、この脅威は、オンライン プラットフォームやアカウントから価値のある資産を盗難する攻撃が成功した後に発生します。攻撃者はWebアプリケーションやオンライン プラットフォームでユーザー アカウントを操作できるようになると、これらのアカウントを使用して、アカウント所有者のギフト カード、ロイヤルティ ポイント、仮想通貨などの資産を現金化する可能性があります。多くの場合、現金化を容易にするためにボットが使用されます。これによりサイバー犯罪者は、こうした不正行為を大規模かつ効率的に実行できるようになります。
  8. クレデンシャル クラッキング。この脅威は、Webアプリケーションのログイン ページ、ユーザー アカウント ポータル、認証APIなどのログイン メカニズムを標的とするブルート フォース攻撃の一種です。攻撃者は自動化を使用して、ユーザー アカウントに不正にアクセスできる組み合わせが見つかるまで、ユーザー名とパスワードの一般的な組み合わせを系統的に試行します。これにより攻撃者は、個人情報の盗難、金融詐欺、その他の不正行為などの悪質なアクティビティを実行できます。
  9. クレデンシャル スタッフィング。クレデンシャル スタッフィングは、Webアプリケーションの脅威で最も一般的な形式の1つであり、サイバー犯罪者が、その多くはダークWebで購入してユーザー名とパスワードの組み合わせのリストを入手し、その認証情報の組み合わせを使用して、ログインで保護された他のアカウントにアクセスしようとするものです。ユーザー名とパスワードを使いまわす人が多いため、これらの攻撃(アカウント乗っ取りともいう)は非常に効果的であり、犯罪者はユーザー アカウントを操作して資産を盗んだり、サードパーティの不正行為を行ったりすることができます。
  10. 在庫拒否。この攻撃は、攻撃者がボットを使用して大量の商品をショッピング カートに追加したまま、精算から購入に進まないことで、eコマース商品を在庫切れにするものです。このような状況では、システムに在庫切れ状態と登録されるため、他の買い物客は商品を購入できません。また、購入が完了されないため、ベンダーは販売することができません。この自動化された脅威には他にも、ボットを使用してホテルの客室、レストランの席、航空機の座席などを予約または確保して、決済を完了しないものなどがあります。
  11. サービス拒否(DoS)分散型サービス拒否(DDoS)。これらの攻撃は、標的となるシステムやネットワークの正常な機能を妨害し、正当なユーザーが使用できないようにする悪質な試みです。DDoS攻撃では、攻撃者は大量のトラフィックやリソース リクエストで標的に過剰な負荷をかけ、サーバを過負荷状態にして、サービスにアクセスできないようにします。これらの攻撃には、標的にパケットを大量に送りつける、特殊な細工を施したリクエストを送信するなど、さまざまな方法が使用されます。DoS攻撃とDDoS攻撃は似ていますが、DDoS攻撃の場合、攻撃には複数のソースが関与し、これらのソースは通常、ボットネットを介して連動しています。ボットネットとは、攻撃者の管理下にある侵害されたコンピュータやデバイスのネットワークです。攻撃者は、これらの複数のソースを連動させて、標的に対して同時に攻撃を開始します。ボットネットのリソースを組み合わせて活用することで、大量のトラフィックやリクエストを生成できるため、標的となるシステムの容量を圧迫してサービス拒否を発生させます。これらの攻撃は、ファイアウォールのステート テーブル、CPUリソース、インフラストラクチャの帯域幅に過剰な負荷をかける可能性があります。DoS攻撃は、Webアプリケーションに対して巧妙に作られた1つのリクエストを送ることで行われます。例えば、CPU利用率を高め、パフォーマンスを低下させる複雑なSQLクエリなどがあります。
  12. エクスペディティング。この脅威は、自動化されたボットやスクリプトを使用して、通常の制限や所定のチェックを回避して、一連のアプリケーション プロセスをすばやく完了させるものです。プロセスを自動化することで、攻撃者や悪質なユーザーは、他の正当なユーザーより不当に優位に立つことができます。多くの場合、このアクティビティは詐欺行為に関連しており、他の当事者の損失につながる可能性があります。
  13. フィンガープリンティング。攻撃者は、情報収集技術として指紋認証を使用して、ユーザーのWebブラウザやデバイスの一意の特性や属性を収集して分析し、特有の「フィンガープリント」を作成します。これにより攻撃者は、さまざまなWebサイトやオンライン プラットフォームにわたり個々のユーザーを識別して追跡したり、アプリケーションをプロファイリングして攻撃したりすることが可能になります。
  14. フットプリンティング。これ自体は自動化された脅威ではなく、ハッキング プロセスや偵察の準備段階です。フットプリンティングは、ボットやスクリプトを使用して、標的となるWebアプリケーションの構成、設定、セキュリティ メカニズムに関する情報を収集します。これにより攻撃者は、不正アクセスや特定の脆弱性の悪用を目的として標的型のエクスプロイトを開始するなど、その後の攻撃計画を改善することができます。
  15. スキャルピングまたは在庫の買い占め。これは購入自動化の一形態で、攻撃者はボットを使用して、在庫数が限られた商品やサービス(コンサート チケットや限定スニーカーなど)がオンラインで販売された瞬間に大量に購入します。チェックアウト プロセスを瞬時に完了することで貴重な在庫を大量に入手し、その多くは二次市場でかなりの高額で転売されます。これらは人為的な希少性、在庫拒否、消費者の不満につながります。
  16. スクレイピング。スクレイピングは、WebサイトやWebアプリケーションからデータを抽出する自動プロセスですが、本質的には悪質ではありません。スクレイピングが自動化された脅威となるのは、不正な目的や悪質な目的で使用された場合、例えば、特に競争の激しい市場において、分析、再利用、価格操作などを目的として、ボットを使用して標的となるWebサイトからコンテンツを収集した場合などです。またスクレイピングは、サイトのパフォーマンスに影響を与え、正当なユーザーによるサイトへのアクセスを妨げる可能性があります。
  17. スキューイング。これは、攻撃者がWebアプリケーションのコンテンツを繰り返しクリック、リクエスト、送信することで、カウントや、「いいね」の数、インプレッション、投票結果、頻度、レートなど、アプリケーションベースの指標に故意に影響を及ぼすものです。スキューイングは、人間の行動を模倣してWebアプリケーションを人工的に操作する自動化されたボットを使用して実行される場合があります。スキューイングの目的は、アプリケーションベースの指標で生成されるデータを操作し、歪めることであり、不正確な結果や虚偽の結果につながります。
  18. スナイピング。これは、自動化されたボットやスクリプトを使用してオンライン オークション、販売、または予約システムで競争上の優位性を得ることを目的とした悪質なアクティビティの一種です。一般的に「スナイピング」という用語は、時間制限のあるイベントや限定商品などにおいて、速度と正確なタイミングが重要で、他のユーザーに入札やオファーをする時間を与えないような場面で使用されます。イベントに手動で参加している人間のユーザーより、ボットの方が速く正確にアクションを実行できるため、スナイピングによって攻撃者は競争で優位に立つことができます。
  19. スパミング。これは、ボットによって配信される悪質なコンテンツや疑わしい情報を指し、Webアプリケーションの公開または非公開コンテンツ、データベース、ユーザー メッセージなどに表示されます。悪質なコンテンツには、マルウェア、IFRAMEポップアップ、写真、動画、広告、追跡/監視コードなどがあります。また、攻撃者はスパミングを使用して、フォーラムや他のメッセージング アプリケーションに偽のコメントを追加して、情報を改変したりマルウェアを配布したりすることもあります。
  20. トークン クラッキング。この自動攻撃は、犯罪者がクーポン番号、バウチャー コード、割引トークンなどを大量に列挙するものです。この攻撃で得られる利益には、割引、現金相当品、払い戻し、特別オファーの利用などがあります。
  21. 脆弱性スキャン。この脅威は、自動化されたツールやスクリプトを使用してWebアプリケーションの脆弱性を特定して悪用することを指します。弱点を特定してセキュリティを強化することを目的とした正当な脆弱性スキャンとは異なり、自動化された脅威としての脆弱性スキャンは、アプリケーションのセキュリティを侵害するために悪意を持って実行されます。犯罪者は、通常は脆弱性が開示された直後に、自動化されたスキャン ツールやスクリプトを使用して、インターネット上に公開されているアプリケーションを系統的にスキャンします。脆弱性が特定されると、それを悪用してアプリケーション、機密データ、基盤となるサーバ インフラストラクチャへの不正アクセスを試みます。

統合的なセキュリティ管理の事例

F5によるOWASPセキュリティ リスクへの対処

F5は、OWASP Foundationと、ソフトウェア セキュリティの改善とWebアプリケーションのセキュリティ リスクと脆弱性についての意識向上に向けた、重層的な取り組みをサポートしています。実際、WebアプリケーションとAPIの両方に共通するセキュリティ リスクがあり、セキュリティ ソリューションを実装する際には、以下のような点を考慮する必要があります。

  • 脆弱な認証/認可制御
  • 設定ミス
  • ビジネス ロジックの悪用(クレデンシャル スタッフィング、アカウント乗っ取り)
  • Server-Side Request Forgery(SSRF)。

F5は、OWASPのAutomated Threats to Web Applicationsプロジェクトで概説されているリスクに対処するソリューションを提供しています。F5 Distributed Cloud Bot Defenseは、ユーザーの満足度を低下させることもカスタマ エクスペリエンスを損うこともなく、既存のボット管理ソリューションを回避できる不正行為や悪用を防止し、リアルタイムの監視とインテリジェンス、MLベースのレトロスペクティブ分析を提供して、自動攻撃から組織を守ります。Distributed Cloud Bot Defenseは、攻撃者がどのように手段を変えても、攻撃対象がWebアプリケーションからAPIに変わっても、あるいはテレメトリのなりすましやヒューマンCAPTCHAソルバーを使用して自動化対策を回避しようとしても、その有効性を失いません。F5のボット管理ソリューションは、アプリケーション プロキシ、プラットフォーム、コンテンツ デリバリ ネットワーク(CDN)からの柔軟な挿入ポイントを提供します。

F5 Web Application Firewallソリューションも、最も重要なWebアプリケーション セキュリティ リスクのリストとして広く知られているOWASP Top 10で特定された、広範なリスクを阻止し、緩和します。F5 WAFソリューションは、F5 Labsの脅威インテリジェンスやMLベースのセキュリティなどのシグネチャと動作保護を組み合わせて、新たな脅威に対処します。これにより、クラウド、オンプレミス、エッジの各環境でアプリケーションを一貫して保護する負担や複雑さが軽減され、一元的なSaaSインフラストラクチャにより管理が簡素化されます。また、F5 WAFは、分散したアプリケーション全体のパフォーマンスとセキュリティ イベントを全方位的に確認できる単一のダッシュボードを持ち、コア セキュリティ機能、一元的なオーケストレーション、監視機能を備えた開発フレームワークとCI/CDパイプラインに保護手段を統合することで、アプリケーション セキュリティを合理化します。特殊なボット対策と統合されたWAFは、脆弱性の悪用と自動化された脅威を含む上位のセキュリティ リスクを軽減することができる、堅牢なソリューションを提供します。

F5は、アプリケーションの進化と、API導入の増加に伴い増大している攻撃対象を保護し、新たな脅威を防御するソリューションを使用して、OWASP API Security Top 10で特定されたリスクに対処します。F5 Web Application & API Protection(WAAP)ソリューションは、WAF、APIセキュリティ、L3~L7 DDoS緩和策、自動化された脅威やその結果の不正行為を防御するボット対策を含む包括的な保護対策により、最新のアプリケーションの攻撃対象全体を守ります。分散型プラットフォームにより、アプリケーションとAPIがホストされている場所に関係なく、これらの資産全体にわたって一貫したポリシーを導入してセキュリティを拡張することが容易になり、APIライフサイクルとより広範なセキュリティ エコシステムに保護対策を統合することができます。

F5はまた、高度なオンライン セキュリティのための多層的なDDoS対策も提供しています。これは、ネットワーク、プロトコル、アプリケーションを標的とした大規模攻撃をリアルタイムで検知して軽減する、クラウド提供型のマネージド サービスで、オンプレミスのハードウェア、ソフトウェア、ハイブリッド ソリューションでも同じ保護機能が提供されます。F5 Distributed Cloud DDoS Mitigationは、レイヤ3とレイヤ4のアプリケーション固有のボリューム型攻撃や高度なレイヤ7攻撃を、ネットワーク インフラストラクチャやアプリケーションに到達する前に防御します。