ニュース
アカマイ、DDoS、WebAPIを狙う攻撃、悪性ボットを使ったWeb攻撃などセキュリティ分野の最新動向を説明
2024年9月12日 06:30
CDN(Contents Delivery Network)事業を手がけるAkamai Technologiesの日本法人アカマイ・テクノロジーズ合同会社は、自社のサービス内容について解説するメディア向けセミナーを9月9日に開催した。
同社の事業は、Web配信(CDN)、コンピューティング、セキュリティの3領域からなる。このうちCDNとコンピューティングについては、8月にメディア向けセミナーで説明された。
今回はその続きで、セキュリティ分野について、アカマイ・テクノロジーズ合同会社の金子春信氏(シニアリード・プロダクトマーケティングマネージャー)が解説した。
Akamaiの事業の3領域は、CDNに始まり、セキュリティ、さらにコンピューティングと広がってきた。金子氏によると、現在の売上比率では、セキュリティ事業が50%以上を占めるという。
現在ではAkamai以外にも、CDN事業者や、大手クラウド事業者によるCDNサービスがある。その中でのAkamaiの強みとしては、世界中のISPや通信事業者に4200以上のPOP(接続点)を持つプラットフォームを金子氏は挙げた。
このプラットフォームを、CDNだけでなく、セキュリティやクラウドコンピューティングに応用しているわけだ。
セミナーで金子氏は、サイバーセキュリティのうち、DDoS攻撃、WebAPIを狙う攻撃、悪性ボットを使ったWeb攻撃、ランサムウェア攻撃の4つについて説明した。
DDoS攻撃:包括的サービス「AAP」や、DNSセキュリティの「Shield NS53」
最初のテーマはDDoS攻撃だ。金子氏は、海外ではDDoSエクストーション(脅迫)が多いのに比べて、日本はその割合が低く、ハクティビズム(政治的目的のための攻撃)の割合が多いと説明。例として、2024年2月に日本政府のウクライナ支援への対抗として攻撃の名乗りを上げた件を紹介した。
DDoSへの対策としては、まずCDNによって負荷を分散する仕組みがDDoSのある程度の緩和になると説明。さらに、DDoS対策を含め、WAFや、サイトの改ざん対策など包括的に防ぐAkamaiのサービス「App & API Protector(AAP)」を紹介した。
また、金子氏はDDoSの中でも近年注目しているものとして、DNSサーバーへのDDoS攻撃も取り上げた。代表的なのは「NXDOMAIN攻撃(DNS水責め攻撃)」と呼ばれるもので、あるドメインのDNSサーバーに対し、ランダムにつけた存在しないサブドメイン名を大量に問い合わせる攻撃だ。
NXDOMAIN攻撃(DNS水責め攻撃)について金子氏は、DNSの問い合わせ自体は毒(それ自体が有害なもの)ではなく水(それ自体は無害なもの)であり、本物のDNSサーバーでないと攻撃かどうかわかりづらいのが防御の難しい点だと説明した。
そして、2024年4月にAkamaiが開始したエッジDNSサービス「Shield NS53」を紹介した。CDNと同様に、DNSのキャッシュサーバーをAkamaiのエッジ拠点に置くものだ。NXDOMAIN攻撃対策の機能としては、キャッシュサーバーにルールを設定することで存在しないサブドメインの問い合わせをドロップし、実在するサブドメインについての問い合わせのみを本物のDNSサーバーに送る。
DDoS対策の導入事例としては、関西電力のケースが紹介された。DDoS対策にAAPを採用し、そのほか不正ログインボット対策に後述するBot Manager Premierも採用したという。
WebAPIを狙う攻撃:「Akamai API Security」による可視化や防御
次のテーマは、WebAPIを狙う攻撃だ。マイクロサービス化などによりAPIがネットワークに面するようになった結果、アタックサーフェス(攻撃対象となりうる箇所)が増え、実際に攻撃量も増えているという。金子氏は、日本の企業や組織へのWeb攻撃の試行数のうち、最大23.4%がAPIへの攻撃という数字を紹介した。
またAPIが攻撃を受ける点としては、Webアプリケーション関連のセキュリティに関する団体「OWASP」の調査によると、「認証の不備」「認証の不備」が最も多く、類似する「セキュリティの設定ミス」や「不適切なインベントリ管理」といった管理上のミスも上位に挙がっていると金子氏は紹介した。
WebAPIを狙う攻撃への対策として、金子氏はAkamaiの「API Security」サービスを紹介した。存在するAPIを可視化してシャドーAPIがないよう管理し、テストの実行や、脅威インテリジェンスによる攻撃からの防御などの機能なども持つという。
悪性ボットを使ったWeb攻撃:ボットを検出する「Bot Manager Premier」や、スクレイピングに特化した「Content Protector」
3つ目のテーマは、悪性ボットを使ったWeb攻撃だ。
ボットとは「ロボット」から来た言葉で、自動で処理を実行するプログラムを指す。そのため、良性ボットと悪性ボットがある。
さらに良性ボットと悪性ボットにまたがるボットに、インターネット上のコンテンツを自動収集する「スクレイパー」と呼ばれるものがある。良性のものでは検索サイトのクローラーなどが該当するが、悪性のものではフィッシングのための偽サイトを作るものがある。また合法のものでも、サイトによっては、コンバージョン率の低下や、マーケティング分析データの汚染、競合による価格情報の観測などを嫌うことがある。
これに対するAkamaiのサービスとして、「Bot Manager Premier」が紹介された。ログイン操作などにおける人間特有の動きなどを見てボットを検出する機能などを備える。
また2024年2月には、Akamaiからスクレイピング対策に特化した「Content Protector」もリリースされている。Bot Manager Premierでは見分けられない挙動を検出するという。
Bot Manager Premierの導入事例としては、全日本空輸(ANA)のケースが紹介された。それ以前からAAPを採用しており、2016年からボット対策でBot Manager Premierを採用した。そのほか、フィッシング対策に「Brand Protector」も採用しているという。
ランサムウェア攻撃:マイクロセグメンテーションのための「Akamai Guardicore Platform」や啓発コンテンツ
4つ目のテーマは、ランサムウェア攻撃だ。
まず攻撃者の傾向として、金子氏はランサムウェア攻撃者グループ「LockBit」の猛威を取り上げた。グループ別の被害件数でも常に高いところにおり、複数の国の協力により主要メンバーの逮捕などが行われたが、残党によってまた復活しているという。
またKADOKAWAのランサムウェア被害に犯行声明を出しているグループ「BlackSuit」も、2024年4月ごろから急激に被害件数を増やしていると金子氏は紹介した。
金子氏は、LockBitの手口の特徴としてVPN経由での侵入を挙げた。また、BlackSuitの手口の特徴として、仮想マシンだけでなく仮想化基盤側への侵入を挙げた。
こうした攻撃者と手口の多様化によって、「どこから入って何を狙ってくるかわからない」状態にあると金子氏は説明。これへの対策として、「セグメンテーション(マイクロセグメンテーション)がダイレクトに効く」と語った。
例えばBlackSuitが仮想化基盤に侵入する場合は、一般の従業員などが使う業務系セグメントに侵入したあと、そこから仮想化基盤を管理する管理系セグメントに侵入して、仮想化基盤を乗っ取る。そこで、業務系から管理系に入るのを防げば、仮想化基盤を乗っ取るのを防げる。
これについて金子氏はAkamaiのマイクロセグメンテーション技術「Akamai Guardicore Segmentation(AGS)」を紹介した。すべての仮想マシンやクライアント端末にエージェントをインストールすることで、通信を可視化したり制御したりできるという。
氏はさらに、「マイクロセグメンテーションのソリューションを、AIなどでより強化して機能拡充したものも、本年発表した」と紹介した。
そのほか、マイクロセグメンテーションを“忍者マイセグ”くんが啓発するマンガを公開していることも紹介した。
