[AWS re:Inforce 2023] デジタル攻撃からアプリを守る戦略

Yuki

自己紹介とプレゼンテーションの目的

Jeff Zittimerは、Human Securityのプロダクトマネージメントを担当。デジタル攻撃からアプリケーションを保護する現代的な防衛戦略について語る。

Human Securityとは?

Human Securityは、デジタル攻撃からアプリケーションを守るための製品管理を提供する企業です。

現代のウェブアプリケーションの特徴

現代のウェブアプリケーションは多くのサードパーティと統合化されており、これがセキュリティの課題を生む。

サードパーティ依存性の課題

  • 現代のアプリケーションは多くの場合、サードパーティからのコード、コンテンツ、情報の送信などに依存しています。これらはアプリケーションを機能させるために必要な要素ですが、同時にセキュリティの課題も生じます。

  • これらの要素はビルド時に作成されるものもあれば、実行時に動的にロードされるものもあります。これにより、何がアプリケーションに影響を与えているのかを完全に把握し、コントロールすることが難しくなります。

  • サードパーティからの要素をコントロールできないため、悪意のある攻撃者がこれらを利用してアプリケーションを攻撃する可能性があります。

  • サードパーティの要素が予期せぬ変更を行ったり、予期しない挙動を示したりした場合、アプリケーション全体の性能や動作に影響を与える可能性があります。

  • サードパーティの要素が侵害行為を行うと、最終的にはその責任がアプリケーションの所有者に返ってくる可能性があります。これは法的な問題やブランドの評判に影響を与える可能性があります。

個人的な体験から見たセキュリティ問題

Jeffの過去の体験を通じて、不正なデジタル攻撃がどのように進行し、最終的には詐欺につながるかを示す。

  • 約8年前、Jeff Zittimerの個人的な体験は、訪れていたホテルチェーンのポイントが全て消えたというものであった。

  • その後、カスタマーサービスに問い合わせたところ、ポイントが別のサービスに移動されたとの回答があった。

  • 攻撃者がJeffの既存のメールアドレスを一文字変えて新たなメールアドレスを作成したことが明らかになった。これにより、ポイントを取り戻すことが出来ても、気を付けていないと攻撃者が再度アクセス出来てしまう。

  • 攻撃者がこの攻撃をどのように実行したのか知ることは、Human Securityの目的である「デジタル攻撃のライフサイクルを理解する」に直結している。

  • 攻撃者は認証情報やクレジットカード情報などを盗むことから始め、その後で自動化された攻撃、ボットを使って多数のウェブサイトでこれらの情報を試す。

  • これらの情報を使って、攻撃者はさらにウェブサイトを乗っ取り、不正に得た利益を最終的に搾り取る。Jeffの場合は、彼の報酬ポイントが盗まれた。

Human Securityの攻撃対策

Human Securityはデジタル攻撃のライフサイクルを理解し、それを基に攻撃者の活動を妨げる。

  1. ビジビリティ: ボットからのシグナルすべてを収集、解析し、攻撃を観察し、防御を速やかに展開する。

  2. ネットワーク効果: 一つの顧客で観察された攻撃の学習をすべての顧客に対して防御に応用する。

  3. 攻撃者の破壊: ボットネットワークの撤廃と犯罪者の逮捕につながる法執行機関との協力。

  4. エコノミックアクティビティの中断: 高速なボット攻撃に対して各サイトで10秒間保持してディレイを加え、攻撃者に対して予算を浪費させる状況を作る。

  5. 人間防衛プラットフォーム: アカウントの乗っ取りの検出、Webスクレイピングのブロック、クライアント側のセキュリティの強化、広告挿入とマルウェアの防止等の全ユーザジャーニーや多種多様な攻撃タイプに対する防衛を可能にする。

    • Account Takeover defense: 疑わしいアカウントの検出とブロックを行うことでアカウント乗っ取りを防ぐ

    • Web Scraping defense: ユーザーを模倣するスクレイピングを検知しブロック

    • Client-side Security: サードパーティ製品がランタイムでロードされた際の挙動をコントロールする

    • Ad Injection and Malvertising Defense: ボットによる広告閲覧を防ぎ、広告費を無駄にしないようにする

  6. 既存の攻撃者対策補完: 各ソリューションが防げる攻撃と防げない攻撃を理解し、補完的役割を果たす。人間防衛プラットフォームは他のソリューションでは検知できない場合もカバーする。

現代的な防御戦略の目的

攻撃者がサイトにアクセスする価値がないようにすることで、サイバー犯罪の経済を撹乱する。

  • サイバー犯罪の経済を撹乱する: 現代の防衛戦略の主要な目的は、攻撃者があなたのウェブサイトに来る価値がないようにすることで、彼らの経済活動を乱すことにあります。

  • 役立つ情報を収集する: 攻撃者の行動を理解し、次回の攻撃を防ぐために利用可能なすべての情報を収集し分析する。

  • セキュリティネットを提供する: 一つの企業だけでなく、すべてのクライアントに対する保護を提供すること。一つの顧客で観察された攻撃の学びをすばやく全ての顧客に展開する。

  • 攻撃者の活動の妨害: 法執行機関と協力して、証拠を収集し、攻撃者のネットワークを潰し、犯人を逮捕することで、攻撃者の活動を直接妨害する。

  • ボット攻撃のコストを高くする: 自動化されたボット攻撃があなたのサイトを訪れるのが非効率的またはコストがかかるようにすることで、攻撃者にとってあなたのサイトを攻撃することが割に合わなくなるようにする。

モダン防衛戦略の主要要素

可視性の獲得、信号の収集と解析、攻撃者の活動の妨害が現代的な防衛戦略の主要な要素。

  • 可視性: あらゆる攻撃ベクトルに対する視認性を提供する。これにより、攻撃の早期発見および対策が可能となる。

  • 集団防護: ただ自社を守るだけでなく、全ての防衛者が一体となり、一つの顧客で観察された攻撃の知見を全ての顧客に迅速に展開する「ネットワーク効果」を活用する。

  • 攻撃者の活動の中断: 攻撃者の経済を撹乱し、そのサイトへの侵入を非効率的かつ非経済的にする。その結果、ボットがサイトを侵入するのを防ぐことができる。

  • 法執行機関との協力: 法執行機関と連携して攻撃者のネットワークを取り締まり、証拠収集により犯罪者を訴追する。

  • 自動化された高ボリュームのボット攻撃の停止: サイトごとにボットを数秒間保持することで、攻撃する価値を失わせる。これにより、攻撃者は別の対象に移ることを選ぶ可能性が高まる。

Human Securityの防衛プラットフォーム

Human Securityの人間防衛プラットフォームは、さまざまなタイプの攻撃を防ぐ

  • Human Securityの防衛プラットフォームは、デジタル攻撃からアプリケーションを保護するためのシステムです。

  • このプラットフォームは、アカウント乗っ取り、ウェブスクレイピング、クライアントサイドセキュリティ、広告インジェクションとマルウェアといった複数の攻撃形態を認識し、阻止する能力を持っています。

  • 有効性は、大規模なボットネットから収集された信号を分析し、攻撃を迅速に特定して防御策を展開するための「可視性」と「ネットワークエフェクト」によって確保されています。

  • このプラットフォームは、アタックを受けた顧客から学び取った防御戦略をすぐに他の顧客に展開することで、全顧客を保護します。

  • さらに、攻撃者の経済活動を妨げるために、ボットに対して時間を浪費させることで、攻撃者がサイトを訪れる価値を下げる戦略を採用しています。

  • また、法執行機関と連携してネットワークを解体し、証拠を提供して人々を裏切るなど、積極的に攻撃者に対抗しています。

クライアントの事例

Crunchbase、Fanduel、Top 5 Global Airlinesのケーススタディを紹介。

  • Crunchbase: ウェブスクレイピング攻撃が多発し、以前のボット管理ソリューションは多くの正当なユーザーをブロックしていたが、Human Securityのウェブスクレイピング防衛ソリューションの導入により、信頼性とユーザーエクスペリエンスが改善し、効率性も向上した。

  • Fanduel: アカウントの乗っ取り試行が大量にあり、Human Securityのアカウント乗っ取り防衛ソリューションを導入することで、ボットによるトラフィックの99.9%を消失させ、1秒あたりに3000以上の不正ログインを無くすことができた。

  • Top 5 Global Airlines: 同業他社が大規模なデータ侵害とヨーロッパの規制当局からの重罰を受けた事がきっかけとなり、同じリスクを避けるために、Human Securityのクライアントサイドの防御とコンプライアンスソリューションを採用。それにより、クライアントサイドで何が起こっているのかを可視化し、攻撃とリスクを軽減し、規制違反を避けることができた。

モダンアプリケーションのリスク管理

現代のアプリケーションは、リスクを識別し、管理する必要がある。

  • モダンアプリケーションは、自動化されたボット攻撃により、競争力と効率性が損なわれるリスクがある。これにより、サイトのスケーリングにコストがかかり、競争相手が製品カタログと価格を照らし合わせる可能性がある。

  • 顧客の信頼とブランドの評判が損なわれる可能性がある。ユーザーがいらいらしてCAPTCHAで閉じ込められたり、アクセスをブロックされると、ユーザー体験が悪化し、ブランドに対する評価が下がる可能性がある。

  • アカウント詐欺やクレデンシャル盗難などの結果、手続き中や登録後に、リワードポイントやクレジットカード情報などが盗まれる可能性があり、これによりユーザーが損失を被る可能性がある。

  • モダンアプリケーションはしばしば多数のサードパーティに依存しており、これにより多くの攻撃ベクトルと脆弱性が生じ、これがセキュリティリスクを増大させる。

  • サードパーティからの動的なコードやコンテンツ、情報送信など、実行時に動的にロードされるサードパーティの要素をコントロールする能力が、リスク管理において重要となる。

  • サードパーティ要素が頻繁に変更されるため、自社のセキュリティポリシーを常に最新の状態に保つことが重要である。これらの変更は、セキュリティポリシーがブレーキする可能性があるため、サイトの動作に影響を及ぼす可能性がある。

  • コンプライアンスや規制が厳しくなってきており、例えばPCI DSS 4.0にはJavaScriptの管理が含まれており、これを満たすことがクレジットカード決済の受け入れに必要となっている。

この記事が気に入ったらサポートをしてみませんか?