OWASP ウェブアプリケーションに対する自動化された脅威

以下は、OWASP Automated Threats to Web Application Project によって特定され、まとめられた自動化された脅威のリストです。   

1. アカウントの集約。 これらの攻撃の目的は、複数のサイトまたはプラットフォームからユーザー アカウントの認証情報を収集することであり、多くの場合、個人情報の盗難、金融詐欺、機密情報への不正アクセスなどの悪意のある目的で使用されます。 アカウント集約攻撃は、さまざまな Web サービスやアプリケーションに対する人間のやり取りを模倣する自動化されたボットまたはスクリプトを使用して実行されます。 
   
2. アカウントの作成。 これらの攻撃では、悪意のある人物が自動スクリプトやボットを使用して、プラットフォームや Web サイトに大量の偽のユーザー アカウントを作成します。 攻撃者はこれらの偽アカウントを使用して、プラットフォームにスパムコンテンツ、広告、または悪意のあるリンクを大量に送信し、正当なユーザーに混乱や迷惑を引き起こす可能性があります。 偽アカウントは、ウェブサイトやアプリケーション上の世論やレビュー/評価を操作したり、実際のユーザーや著名人になりすまして誤った情報を広めたり評判を傷つけたりするために使用されることもあります。  この脅威は、ファーストパーティ詐欺とも呼ばれる新規口座開設詐欺につながる可能性があり、デジタル世界全体に影響を及ぼします。
3. 広告詐欺。 クリック詐欺とも呼ばれるこの脅威には、クリックやインプレッションなど、オンライン広告とのやり取りの数を偽装する欺瞞行為が含まれます。 これらの不正行為は通常、自動化されたボットやスクリプトを通じて実行され、詐欺師の収益を生み出したり、広告のパフォーマンス指標を操作したりすることを目的としています。 
4. CAPTCHA敗北。 この脅威は、自動化された技術を使用して CAPTCHA チャレンジを回避または迂回し、悪意のある攻撃者がボットに対する一般的な防御を回避できるようにするため、Web アプリケーションのセキュリティにとって重大な懸念事項となります。 CAPTCHA (コンピュータと人間を区別するための完全に自動化された公開チューリングテスト) は、人間のユーザーと自動化されたボットまたはスクリプトを区別するために使用されるセキュリティ制御です。 攻撃者は、画像認識ソフトウェアを使用して視覚 CAPTCHA を解読し、機械学習アルゴリズムを展開して聴覚 CAPTCHA やパズル CAPTCHA を解読することができます。 場合によっては、攻撃者は CAPTCHA をリアルタイムで手動で解く人間の CAPTCHA ソルバーを使用します。 CAPTCHA は一般的に使用されているセキュリティ制御ですが、回避される可能性があり、正当なユーザーの顧客体験に支障をきたし、取引や収益の放棄につながる可能性があります。   
5. カードの割れ。 これは、カード番号、有効期限、セキュリティ コード (CVV/CVC) などの決済カードのセキュリティ機能を推測または解読する自動化されたタイプのサイバー犯罪です。 カードクラッキングでは通常、ブルートフォース攻撃が使用されます。ブルートフォース攻撃では、自動化されたボットまたはスクリプトが、有効なカードと一致する組み合わせが見つかるまで、カードの詳細の多数の組み合わせを体系的に試行します。 有効なカードの詳細が特定されると、不正な購入や金融詐欺など、さまざまな違法行為に使用される可能性があります。 攻撃者は、ギフト カードの発行者が連続した番号パターンに依存しているかどうかを確認するために、実店舗からロードされていない物理的なギフト カードをいくつか入手する場合があります。 
6. カード。 この形式の自動化されたサイバー犯罪では、盗まれた支払いカード情報を不正に使用して、不正な取引や購入が行われます。 犯罪者は、自動化されたボットやスクリプトを使用して、盗んだクレジットカードやデビットカードの詳細をさまざまな Web サイトやアプリケーションでテストし、盗んだ情報を受け入れるサイトを特定します。 自動化されたボットは、脆弱なターゲットを特定すると、盗んだカード情報を使用して、高額の商品やデジタル サービスなどの不正な購入を行ったり、利用可能な金額を他のアカウントに転送したりします。  
7. キャッシュアウト。 これは、流動性の低い資産または仮想通貨を現実世界の資金または有形商品に変換することを指します。 この脅威は、オンライン プラットフォームやアカウントから貴重な資産が盗まれる攻撃が成功した後に発生することがよくあります。 攻撃者が Web アプリケーションやオンライン プラットフォーム上のユーザー アカウントを制御すると、これらのアカウントを使用して、ギフト カード、ポイント、仮想通貨などのアカウント所有者の資産を現金化する可能性があります。 ボットは、サイバー犯罪者がこれらの不正行為を大規模かつ効率的に実行できるようにするため、現金化を容易にするためによく使用されます。 
8. 資格情報のクラッキング。 この脅威は、ログイン ページ、ユーザー アカウント ポータル、認証 API などの Web アプリケーションのログイン メカニズムを標的とするブルート フォース攻撃の一種です。 攻撃者は自動化を使用して、ユーザー名とパスワードの一般的な組み合わせを体系的に試し、ユーザー アカウントへの不正アクセスを許可する組み合わせを見つけます。 これにより、攻撃者は個人情報の盗難、金融詐欺、その他の不正な行為などの悪意のある活動を実行できるようになります。  
9. クレデンシャルスタッフィング。 ウェブ アプリケーションの脅威の最も一般的な形態の 1 つであるクレデンシャル スタッフィングは、サイバー犯罪者がダーク ウェブで購入したユーザー名とパスワードのペアのリストを入手し、そのクレデンシャル ペアを使用してログイン保護された他のアカウントにアクセスしようとするときに発生します。 多くの人がユーザー名とパスワードを再利用するため、これらの攻撃 (アカウント乗っ取りとも呼ばれます) は非常に効果的であり、犯罪者がユーザー アカウントを制御して資産を盗んだり、第三者に対する詐欺行為を行ったりすることができます。  
10. 在庫の拒否。 この攻撃は、攻撃者がボットを使用して大量の商品をショッピングカートに追加し、購入手続きに進めずに、電子商取引の商品を流通不能にすることで発生します。 この状況では、システムが在庫切れ状態を記録するため、他の買い物客は商品を購入できず、購入が完了しないために販売者は販売を拒否されます。 この自動化された脅威のバリエーションは、ボットを使用して、支払いを完了せずにホテルの部屋、レストランのテーブル、または飛行機の座席を予約または保留する場合に発生します。 
11. サービス拒否 (DoS)と分散型サービス拒否 (DDoS)。 これらの攻撃は、標的のシステムまたはネットワークの正常な機能を妨害し、正当なユーザーが利用できないようにする悪意のある試みです。 DDoS 攻撃では、攻撃者は大量のトラフィックやリソース要求でターゲットを圧倒し、サーバーに過負荷をかけ、サービスにアクセスできない状態にします。 これらの攻撃は、ターゲットに大量のパケットを流したり、特別に細工されたリクエストを送信したりするなど、さまざまな方法を使用して実行される可能性があります。 DoS 攻撃と DDoS 攻撃は似ていますが、DDoS 攻撃では、攻撃に複数のソースが関与し、通常はボットネット (攻撃者の制御下にある侵害されたコンピューターまたはデバイスのネットワーク) を通じて調整されます。 攻撃者はこれらの複数のソースを調整して、ターゲットに対して同時に攻撃を開始します。 ボットネットの複合リソースを活用することで、攻撃者は大量のトラフィックやリクエストを生成し、ターゲットシステムの容量を圧迫してサービス拒否を引き起こすことができます。 これらの攻撃により、ファイアウォールの状態テーブル、CPU リソース、インフラストラクチャの帯域幅が圧迫される可能性があります。 DoS 攻撃は、Web アプリケーションに対する単一の巧妙に作成されたリクエスト (たとえば、CPU 使用率の上昇とパフォーマンスの低下につながる複雑な SQL クエリ) によって実行される可能性があります。
12. 急ぎます。 この脅威には、自動化されたボットまたはスクリプトを使用して、通常の制限やチェックを回避し、一連の申請プロセスを迅速に完了することが含まれます。 プロセスを自動化することで、攻撃者や悪意のあるユーザーは、他の正当なユーザーに対して不当な優位性を獲得できます。 この行為は詐欺行為と関連していることが多く、他の当事者に損失をもたらす可能性があります。  
13. 指紋採取。 脅威の攻撃者は、フィンガープリントを情報収集手法として使用し、ユーザーの Web ブラウザーまたはデバイスの固有の特徴や属性を収集および分析して、独特の「フィンガープリント」を作成します。 これにより、脅威の攻撃者は、さまざまな Web サイトやオンライン プラットフォームにわたって個々のユーザーを識別して追跡したり、アプリケーションをプロファイリングして攻撃したりできるようになります。 
14. フットプリンティング。 これはそれ自体が自動化された脅威ではなく、ハッキング プロセスまたは偵察の予備段階です。 フットプリンティングでは、ボットやスクリプトを使用して、ターゲットの Web アプリケーションの構成、設定、セキュリティ メカニズムに関する情報を収集します。これにより、攻撃者は、標的を絞ったエクスプロイトを実行して不正アクセスを取得したり、特定の脆弱性を悪用したりするなど、その後の攻撃をより適切に計画できるようになります。 
15. 転売または在庫の買いだめ。 これは購入自動化の一形態であり、攻撃者はボットを使用して、在庫が限られた商品やサービスをオンラインで販売された瞬間に大量に購入します (コンサート チケットや限定版スニーカーなど)。 チェックアウトのプロセスを瞬時に完了することで、犯罪者は貴重な在庫を大量に掌握します。通常、これらの在庫は二次市場で大幅な値上げで転売され、人為的な品不足、在庫の拒否、消費者の不満につながります。  
16. 削る。 スクレイピングは、本質的に悪意のあるものではありませんが、Web サイトまたは Web アプリケーションからデータを抽出する自動化されたプロセスです。 スクレイピングは、ボットを使用して対象の Web サイトからコンテンツを収集し、分析、再利用、または特に競争の激しい市場における価格操作を行うなど、不正な目的や悪意のある目的で使用される場合、自動化された脅威になります。 スクレイピングはサイトのパフォーマンスに影響を与え、正当なユーザーがサイトにアクセスできなくなる可能性もあります。 
17. 歪んでます。 これは、悪意のある行為者が Web アプリケーション上のコンテンツを繰り返しクリック、要求、または送信し、カウント、いいね、インプレッション、投票結果、頻度、レートなどのアプリケーションベースのメトリックに意図的に影響を与えることで発生します。 スキューイングは、人間の行動を模倣して Web アプリケーションとの人工的なやり取りを生成する自動ボットを使用して実行できます。 スキューの目的は、アプリケーションベースのメトリックによって生成されたデータを操作および歪曲し、不正確な結果や誤解を招く結果をもたらすことです。 
18. 狙撃。 これは、自動化されたボットやスクリプトを使用して、オンライン オークション、販売、または予約システムで競争上の優位性を獲得しようとする悪意のあるアクティビティの一種です。 「スナイピング」という用語は、通常、時間制限のあるイベントや在庫が限られているアイテムの場合に使用され、スピードと正確なタイミングが重要な役割を果たし、他のユーザーが入札またはオファーを行う時間が十分に残らない状況を指します。 スナイピングにより、ボットはより速く、より正確にアクションを実行できるため、攻撃者はイベントに手動で参加している人間のユーザーに対して競争上の優位性を獲得できます。 
19. スパム。 これは、Web アプリケーション上の公開または非公開のコンテンツ、データベース、またはユーザー メッセージに表示される、ボットによって配布される悪意のあるコンテンツまたは疑わしい情報を指します。 悪意のあるコンテンツには、マルウェア、IFRAME ポップアップ、写真、ビデオ、広告、追跡/監視コードなどが含まれる可能性があります。 攻撃者はスパムを使用して、フォーラムやその他のメッセージング アプリに偽のコメントを追加し、情報を偽造したりマルウェアを配布したりします。 
20. トークンクラッキング。 この自動化された攻撃は、犯罪者がクーポン番号、バウチャー コード、割引トークンを大量に列挙した結果です。 受けられる特典は、割引、現金代替、クレジット、または特別オファーへのアクセスなどです。
21. 脆弱性スキャン。 この脅威は、自動化されたツールまたはスクリプトを使用して Web アプリケーションの脆弱性を特定し、悪用することを指します。 セキュリティの向上を目的として弱点を特定することを目的とする正当な脆弱性スキャンとは異なり、自動化された脅威としての脆弱性スキャンは、アプリケーションのセキュリティを侵害する悪意を持って実行されます。 犯罪者は、通常は脆弱性が公開された直後に、自動スキャン ツールまたはスクリプトを使用して、インターネット上で公開されているアプリケーションを体系的にスキャンします。 脆弱性が特定されると、犯罪者はそれを悪用して、アプリケーション、機密データ、または基盤となるサーバー インフラストラクチャへの不正アクセスを試みます。