2021年のアプリケーションセキュリティの予測: サプライチェーン攻撃は、すべての業界にとって、さらに大きな脅威になる
トピック: 2021年のアプリケーションセキュリティの予測、Magecart、サプライチェーン攻撃
2021年2月2日、Tushar Richabadas
このブログは2021年のアプリケーションセキュリティの予測に関するシリーズの第3の記事です。シリーズ全体は、ここで読むことができます。
(ほぼ)毎年、私はアプリケーションセキュリティの予測を発表しています。このような脅威のうち、3つは今後1年間の最大の問題であると思われます。過去2年間の予測は、クレデンシャルスタッフィング/ATO(アカウント乗っ取り)攻撃、API(アプリケーションプログラミングインターフェース)攻撃、およびサプライチェーン攻撃です。今年の予測はバラクーダが強化した脅威インテリジェンスサービス(Barracuda Advanced Bot Protectionの一部)に基づいています。つまり、結論を伝えるデータが大幅に増加しているということです。
サプライチェーン攻撃は、さらに拡散し、すべての業界にとって、さらに大きな脅威になる
サプライチェーン攻撃は基本的にソフトウェアのサプライチェーンに対する攻撃です。このような攻撃には、多くの形態がありますが、このウェビナーでは、Webアプリケーションに対する攻撃について話します。このような攻撃は、2018年ごろに初めて検出され、主にMagentoベースのオンラインショップを標的としていたため、Magecartと呼ばれていました。攻撃者は、まず、チェックアウトページでよく使用されているサードパーティのJavaScriptを特定しました。次に、このようなソースファイルをハッキングし、カードスキミングコードを挿入しました。ユーザがサイトを読み込むと、悪意のあるJavaScriptが読み込まれ、ユーザの認証情報が盗み出されました。
2019~2020年、このグループは、大規模な攻撃を何度も実行し、BA(ブリティッシュ・エアウェイズ)など、有名な標的を攻撃しました。現在、何千ものショップが攻撃を受けたことが確認されており、多くの攻撃者グループが、このような攻撃を実行して、活動しています。このような改ざんされたスクリプトには、非常に高度なものもあります。つまり、悪意のあるコードを実行せず、正常な動作を偽装し、Web脆弱性スキャナに検出されないようにするということです。このため、かなり高度で組織化されたグループが、このようなスクリプトを作成しています。また、このような攻撃を実行する攻撃者が最も悪用しているツールであるInter Skimmerもあります。ボットと同様、製品の背後には、適切なR&D(研究開発)による実際のサポートチャンネルがあり、地下経済もあります。
下記は2020年8月にVisaが検出したスキマーの例です。下記のとおり、作成者は、脆弱なJavaScriptを悪用しているサイトが検出および削除されないように、かなりの労力を費やしています。
このような攻撃を防止しにくい理由は、このようなスクリプトが、あまりチェックされずに、アプリケーションに追加されるためです。このようなスクリプトは、Webサイトの一部になると、GitHubと同様、多くの場合は、管理されていないソースから直接ダウンロードされ、ブラウザで実行されます。このような攻撃は長期にわたって検出されない傾向が非常に強く、流出データの質も非常に高いです。通常、現在導入されているセキュリティは、運用が困難であり、誤検知が多いCSP(コンテンツセキュリティポリシー)に依存しています。CSPは、誤検知が多く、非常に制限が少ないため、誤設定の可能性が非常に高いです。もう一つの選択肢はサイトスキャンですが、このような悪意のあるツールは、このようなスキャナに検出されないように構築されています。このようなスクリプトのコードは、難読化されており、ボット対策技術を実装しています。また、特定のパターンのユーザアクション(マウスアップなど)が実際に実行されるまで待機しています。このような攻撃を防止するために構築されているカスタムソリューションがあり、2020年は、その多くが市場に投入されています。
HTTP Archiveによる下記のグラフは、スキャンされたサイトの約80%で脆弱なサードパーティのJavaScriptが使用されているという問題の幅広さを示しています。
このようなサプライチェーン攻撃は、依然として、あまり有名ではありませんが、徐々に増加し、突然、大きな問題になることが予測されます。
2021年のアプリケーションセキュリティは引き続き興味深い
ボットと転売には、立法者が関与しています。たとえば、英国では、製品のMSRP(希望小売価格)を超える転売を禁止しようとしています。このような禁止には前例があります。2015年、米国では、転売屋への苦情が急増したことを受けて、チケットの転売を禁止する法律を可決しました。このような新しい法律が有効であるかどうか、またはボット作成者が、Cookieを取得するために、ペアレンタルルールの欠陥を引き続き悪用するかどうかは、依然として確認されていません。
興味深いことは、金融機関が、顧客つまりEC(電子商取引)ショップを所有するベンダに、このような攻撃を防止するソリューションを使用させようとしていることです。バラクーダは、このようなソリューションに関する一時的な問い合わせを何度か受けています。また、このような攻撃は、クレジットカードデータだけでなく、他のPII(個人情報)も標的としており、さらに危険になっています。このため、GDPR(欧州連合一般データ保護規則)、CCPA(米国California Consumer Privacy Act)などの法律によって、このような攻撃を防止することは、さらに重要になっています。
2021 applications security predictions: Bot, API, and supply chain attacks
原文はこちら:
AppSec predictions 2021: Supply chain attacks are a greater threat to all industries
