2019年のアプリケーションセキュリティの予測を振り返る: サプライチェーン攻撃(WAF)
トピック: APIセキュリティ、Magecart、サプライチェーン攻撃、Barracuda Web Application Firewall
2019年12月24日、Tushar Richabadas
年初は、今年以降に大きな問題になる攻撃ベクタに関する3つの予測を行いました。年末は、この3つの予測を振り返ります。ソリューション#3はサプライチェーン攻撃への対策です。
予測:
3つ目の攻撃トレンドはサプライチェーン攻撃であり、Magecartがこの攻撃では最も有名です。長年にわたって、ほとんどのアプリケーションではサードパーティのライブラリとスクリプトがソフトウェアサプライチェーンの一部として使用されてきました。このようなサードパーティのソフトウェアへの攻撃は、以前は頻発していませんでしたが、2018年に警戒すべき新しい攻撃トレンドになりました。… 攻撃の規模は大規模であり、攻撃者は調査担当者とスキャンツールから改ざんインジケータを隠すための特別な方法を使用しました。
チケットマスター、ブリティッシュ・エアウェイズ、NewEgg、アトランタ・ホークス、フォーブス、スミス&ウェッソン、ルースター・ティース、メイシーズ、Sweaty Betty、およびその他の200万社以上。
Magecartが2016年前後から悪用している攻撃方法は、2018年に有名になり、2019年の終わりに近づくにつれて、急拡大しています。Magecartによる攻撃は非常に成功しているため、複数の同様の犯罪組織が支払情報を積極的に盗み出しているのではないかと疑われています。
ブリティッシュ・エアウェイズには、Magecartによる攻撃によって、GDPR(EU一般データ保護規則)に基づく2億2,900万ドルの罰金が科されました。この攻撃は、悪意のあるModernizr JavaScriptの挿入によって、実行されました。基本的に、この悪意のあるスクリプトは、支払ページから情報を盗み出し、盗み出したすべての情報をC&C(コマンドアンドコントロール)サーバに送信します。約38,000人が、この攻撃を受けました。
メイシーズへの最新の大規模な攻撃の一つでは、別のJavaScriptが改ざんされました。この攻撃でも、顧客の支払情報が盗み出されました。一方、この攻撃を実行した犯罪組織はスクリプトの作成に相当な労力を費やしました。RiskIQによると、スクリプトを作成し、チェックアウトフローに統合することに、従来の犯罪組織よりはるかに多くの時間を費やしています。また、スクリプトによって、新しい顧客登録フローで、クレジットカード情報だけでなく、認証情報も盗み出しました。
Magecartおよび同様の犯罪組織は非常に迅速にツールを学習およびアップグレードしてきました。ブリティッシュ・エアウェイズへの攻撃は、最初の大規模な攻撃の一つであり、メイシーズへの攻撃まで常に進化してきました。スクリプトは、検出されるたびに、攻撃と防御の両方の機能がアップグレードされます。また、検出されないように、サイトがいつスキャンされているかを検出しようとします。犯罪組織は、すべての支払ページを悪用するという従来の攻撃方法と異なり、スクリプトの統合ポイントを増加しただけでなく、認証情報を盗み出すビットをスクリプトに新規に追加したため、高度な標的型攻撃を実行できます。
使用中のサードパーティのスクリプトとライブラリの整合性を確保し、改ざんされたスクリプトの読み込みを防止するには、このような攻撃を防止する必要があります。
Barracuda Web Application Firewallは、Webアプリケーション、モバイルアプリ、API(アプリケーションプログラミングインターフェース)アプリケーション、およびデータの侵害を防止するため、お客様の信用と顧客からの信頼を維持できます。無料の評価機/評価版をご試用ください。
製品のご紹介:Barracuda Web Application Firewall
原文はこちら:
Reviewing our 2019 AppSec predictions: Supply chain attacks
December 24, 2019 Tushar Richabadas
https://blog.barracuda.com/2019/12/24/reviewing-our-2019-appsec-predictions-supply-chain-attacks/
