報告者:ファーエンドテクノロジー株式会社
岩石 睦

概要

2017年8月8日台風5号が近畿・北陸を通り抜けていった翌日にアカマイ・テクノロジーズ合同会社様で開催されたセミナーに参加しました。

このセミナーは「ホワイトハッカーになろう」というシリーズのセミナーで、主な対象としてはアカマイテクノロジーズ様のサービスを導入する予定や検討を行っている企業の担当者になります。
講師はAjay Mishra氏(Sr. Enterprise Security Architect)で、今回のテーマはWebアプリケーションに対する自動攻撃Botの話題でした。

Botによる脅威に関する最新情報を島根県内企業・ITエンジニアに提供することを目的として本セミナーについて報告します。
(セミナー内容についてはアカマイ・テクノロジーズ様のご好意により、承諾いただき掲載しています。)

セミナー内容

Botによる自動処理

近年ITデバイスの高性能化、インターネット接続の高速化・安定化、クラウドコンピューティングの普及などの背景を経て、IoT機器からの情報の制御やAI技術を応用した処理など自動処理を行い生活や業務に役立てる場面を多く見かけるようになりました。

これら自動処理を行う機器・サービスを総称してBot(ボット)と表すことがあります。Botの語源としてはロボットであることは想像に難くないのですが、従来のロボットのイメージは、大型で物理的な動作をするものでした。

対してBotについてはクラウドなどを利用することからあまり大きさや姿を想像することは無く、また人間の操作、処理や考察を24時間時自動的に代行してくれるものです。

活動を豊かにするBotのイメージもありますが、攻撃者にもそれは言えることです。今回の内容はBotを使った攻撃についての話題ですが、防御が難しい新たな脅威についての話題でした。

最近のサイバーセキュリティの話題

メインテーマの内容に入る前に最近のサイバーセキュリティに関連する話題を取り上げられ、ダイジェストを解説されました。

6.27.2017 Armada Collective

韓国などの金融系企業のインターネットサイトにDDoS攻撃が繰り返され、Armada Collectiveを名乗る攻撃グループから、DDoS攻撃の停止と引き換えに金銭を要求するメールが送られていたそうです。

6.30.2017 NotPetya's corporate victims

Petyaランサムウェアの亜種であるNotPetya(名称は他にもあり)ランサムウェアを用いた攻撃がウクライナの企業を中心に起こり、被害の報告がありました。

7.20.2017 GDPR

GDPR(EU一般データ保護規則)の話題が日本国内で取り上げられました。
来年の施行にむけてEU加盟国内の企業と契約や加盟国内で事業を行う企業は対応を検討する必要がありそうです。

7.26.2017 Italy's largest bank

イタリアの最大資産保有銀行であるUniCreditのシステムに攻撃があり、約400,000口座の情報漏洩があったそうです。

Web Application Automated Attacks

今回のメインテーマに入ります。

インターネット上のシステムに対する攻撃は、以前より情報の公開やサービス提供者には悩まされるところで、そしてここ数年は特にWebアプリケーションに対する攻撃も盛んです。
 今までWebアプリケーションについて以前より私たちが取り組んでいた防御の手法として脆弱性検査というトライがあります。

Webシステムの脆弱性検査としては、

  • アプリケーションに対する脆弱点(意図しない動作や他者の情報資産を脅かすアプリケーションの弱点)
  • Webアプリケーションが動作するシステム自体の脆弱性(システムへの侵入や破壊などに繋がる弱点)

などを検出し、それらの脆弱性への対策を行うことでサイバー攻撃から情報を守ると言う方法をとっています。

しかしながら近年の攻撃ではAutomated Attacksという脅威が新たに生まれているとのことです。
日本語で表すと「自動的攻撃」となりますが、攻撃者はシステムの弱点を突いて攻撃を行うのでは無く、自動のプログラムを使用して定期的にWebアプリケーションにアクセスしてくるBotです。

Botからのアクセスは以前から存在します。しかしながらBotにも様々なものがあり、必要なもの必要でないものがあります。

必要なBotからのアクセスとは以下の様な物です。

  • サーチエンジン(Google等)のクローラー
  • Web APIに対するアクセス
  • 監視のためのヘルスチェック

そして残念ながら不必要な(悪い)Botからのアクセスも存在しています。

OWASP Automated Treatについて

OWASP Foundation(OWASP - Open Web Application Security Project)というソフトウェアセキュリティの技術や取組に関する普及啓発を目的とした世界的なNPOオープンソースプロジェクト団体があります。
https://www.owasp.org/

OWASPのプロジェクトの一つとしてOWASP Automated Threats to Web Applicationsが立ち上がっています。
https://www.owasp.org/index.php/OWASP_Automated_Threats_to_Web_Applications

不必要な(悪い)BotからのアクセスについてOWASP Automated Treat(以下OAT)として種別を定義されています。

上記サイトのDescriptionに記載がありますが、これらの攻撃はシステムが持つ脆弱性を攻撃するのでは無く、システムの特性として持つ機能を利用し攻撃を行います。このため一般に攻撃が注目されることが少なく、また経営者・システム開発者・システム保守者・セキュリティ責任者・システムベンダーなど、システムのセキュリティに関与する者それぞれの認識が異なり対応が難しいことが挙げられます。

OWASP Automated Threats to Web Applicationsプロジェクトでは、共通の認識や用語を定義し、これら立場の違いでの解釈の違いを無くす目的で活動されています。

OATについての詳細はハンドブックに記載があります。
https://www.owasp.org/index.php/File:Automated-threat-handbook.pdf

OATs

OWASPで定義されているOATは下記の21種類です。

  • OAT-020 Account Aggregation
  • OAT-019 Account Creation
  • OAT-003 Ad Fraud
  • OAT-009 CAPTCHA Defeat
  • OAT-010 Card Cracking
  • OAT-001 Carding
  • OAT-012 Cashing Out
  • OAT-007 Credential Cracking
  • OAT-008 Credential Stuffing
  • OAT-021 Denia of Inventory
  • OAT-015 Denial of Service
  • OAT-006 Expediting
  • OAT-004 Fingerprinting
  • OAT-018 Footprinting
  • OAT-005 Scalping
  • OAT-011 Scraping
  • OAT-016 Skewing
  • OAT-013 Sniping
  • OAT-017 Spamming
  • OAT-002 Token Cracking
  • OAT-014 Vulnerability Scanning

手法までは定義されていませんが、アカウント集計、(不正な利用のための)複数アカウント作成Web広告の不正なクリックなど、どれもシステムの脆弱性を使用したものではなくシステムが保有する特性や機能を用いた攻撃となります。

セミナーではインターネット上のWebに対するアクセスの割合について、


Webへのアクセスの種類

割合

人間の操作 54.4%
必要のある(好ましい)Bot 27.0%
好ましくない(悪い)Bot 18.6%

という数字を上げられていました。

OATはこれら取得したアカウント情報が使用可能なものかログイン試行して確かめたり、入手したクレジットカード情報が利用可能なカードかなどを試すために、Botにより自動的に行われる攻撃です。システムの弱点を利用する訳では無いため、検出が難しく対策も難しいです。その他、OATについてはハンドブックをご参照ください。

Automated Threat Handbookをどう使うか 

ハンドブックで定義された攻撃は、攻撃目的の分類定義であり攻撃の手段は異なるため、どのように対策するかは定義されていません。私たちはこのハンドブックをどのような場面で使うのが良いかについて解説がありました。

新たな脅威に対して、役職的立場・職種や環境などを越えて定義され統一した言葉として取り扱うことにより大きなメリットがあります。

主な場面として挙げられているのは

  • 開発セキュリティ要件の定義
  • 部門内等の情報共有
  • CSIRT間の脅威データの交換
  • アプリケーション侵入テストでの検出精度の向上
  • (セキュリティ)サービスへの要件の特定
  • (セキュリティ)ベンダーサービスの特徴を明確に定義付け

といった場面です。

どの脅威に対してどのように対策したいかを組織内部の関係者間、また部署を越えたステークホルダーとの間で、そして社外のセキュリティチームとの連携や調達などの場面で、適切に伝え合うことなどに効果がありそうです。

より適切な対策のための土台としての活用といったところでしょうか。いたずらによくわからない対策を導入し、後の実施で混乱することを防ぐために効果がありそうです。

総括

2016年に盗まれたアカウントは33億件にもなるそうです。つまり1分間に6000件以上のアカウント情報が盗まれています。

最近話題のダークウェブでこれらの情報を取得することができるため、盗まれた情報を使ってさらなる攻撃が発生しているのが現状です。
そして攻撃者は彼らの欲求により頭脳を使って新たな弱点の追求や攻撃手法の研究を行っています。彼らが本気になりターゲットを攻撃した場合、その攻撃をかわすのはかなり難しいと思われます。

しかしながら何の対策も行わず情報化社会で活動するのは、社会的責任を負っているとは言えないのが現在の状況です。

我々情報サービス提供者はもちろん情報を利用するだけの組織であってもあらたな脅威を理解し対策を行い続けて行く必要があると再認識いたしました。