ADRが検知：WAF/EDRが見逃すSQLi、安全でないデシリアライズ、パストラバーサル攻撃

アプリケーションやアプリケーションプログラミングインターフェイス(API)の内部で何が起きているかを、ツールで見ることができなければ、侵害を阻止することはできない。そして実際のところ、境界ツールやエンドポイントツールは、アプリケーション層における現代の攻撃の実際のメカニズムを検知するようには設計されていない。

これは緊急の課題だ。2025年のVerizonのデータ漏洩/侵害調査報告書(DBIR)によると、脆弱性の悪用が急増しているという厳しい現実が浮き彫りにされている。現在、脆弱性の悪用が全侵害の20%を占めており、前年比で34%増と、主要な初期アクセス手段として顕著な増加を見せている。この増加傾向は、セキュリティ運用担当に大きなプレッシャーを与えている。悪意のある攻撃者にとって最初の侵入経路となることが多い、重要なアプリケーションやAPIを守る担当者にとっては大きな負担だ。

具体的には、データ漏洩や改ざんにつながるe SQLインジェクション、ユーザセッションを乗っ取り機密情報を盗むクロスサイトスクリプティング(XSS)、機密ファイルやシステムコマンドを公開するパストラバーサルなど、アプリケーション層の攻撃の急増を当社では確認している。

WAF(Webアプリケーションファイアウォール)やEDR(エンドポイントにおける検知と対応)ソリューションは重要なセキュリティ対策だが、アプリケーションロジック自体に潜む巧妙な攻撃を検知するのは容易ではない。.本記事では、こうした問題の理由と、ADR(アプリケーションにおける検知と対応)でどう解決するのかを説明する。 

従来のツールの本質的な限界

境界セキュリティツールとエンドポイントセキュリティツールは依然として基盤的な役割を果たしているが、アプリケーション層の最新の脅威に見られる独自の特質に対処する上で、その有効性はますます限られてきている。

• WAF：WAFはネットワークの境界で動作し、無害なトラフィックと複雑なアプリケーションロジックを標的とする本物の脅威を正確に区別するのが難しい。そのため、一見すると正当に見える通信の中に巧妙に仕込まれたSQLインジェクションやXSS(クロスサイトスクリプティング)といった攻撃を見逃してしまうことがよくある。これは、攻撃者が監視の目をかいくぐり、重要なデータにアクセスできてしまう危険性がある。本物の脅威を見分けるのが難しいため、WAFによって膨大な量のアラートが生成される傾向がある。その結果、重要でない大量のノイズに紛れて、本当に悪意のあるアクティビティを判別するのが難しくなる。
  当社の調査によると、WAFが発するシグナルは、実際の攻撃との相関性が0.25%未満であることが明らかになっている。Tつまり、WAFで「疑わしい」と判定された1000件のイベントのうち、実際に被害をもたらす可能性のある攻撃の試みは、わずか3件にも満たないということになる。このように、ノイズ対シグナル比が高くなると、必然的にアラート疲れにつながり、セキュリティ担当者が大量の通知の中で本当の脅威をうっかり見落としてしまうリスクが高まる。
  
  
• EDR(エンドポイントにおける検知と対応)ソリューション：EDRソリューションは、オペレーティングシステムやカーネルレベルでのアクティビティを監視する上で非常に有用なのだが、アプリケーション層の攻撃の複雑さを理解するために必要な詳細なアプリケーションのコンテキストが根本的に欠けている。EDRはエンドポイントを保護するが、SQLインジェクションによるデータ漏洩は検知できない。EDRでは、アプリケーション層の攻撃が全く検知されない場合もあれば、あるいはキルチェーンの後の段階、つまり脅威がエンドポイントにまで到達して損害を与える可能性のある段階になって認識される場合もある。このため、アプリケーションロジックを悪用する高度な脅威は、従来の防御では気付かれずに効果的に活動するという重大な盲点が生まれる。
  
  

アプリケーションにおける検知と対応(ADR)の登場

まさに、Contrast ADR(アプリケーションにおける検知と対応)が、これを補完する重要なセキュリティ層として登場する。これは、現代のアプリケーションにおける可視性の欠如に対処するために特別に設計されたものだ。

Contrast ADRは、外部ツールとは異なり、アプリケーションのランタイム(実行時)の内部から直接機能する。 アプリケーション内に組み込まれる軽量の脅威センサーを活用することで、継続的で詳細なランタイムコンテキストを提供する。この独自の視点により、ADRは、アプリケーションの処理に合わせて、実際のコード実行、データフロー、ライブラリの使用状況、設定、バックエンド接続を正確に観測する。つまり、Contrast ADRは、フレームワークによって処理された後のデータがアプリケーションでどのように扱われるかという「実際の情報」に基づいて動作することを意味しており、外部ツールでは得られない明確な可視性を提供する。

Contrast ADRでは、この内部の可視性を利用して挙動異常を検知する。静的に定義されたシグネチャや外部からのシステムコールの監視に頼るのではなく、ADRはデータフローを追跡し、実行時のコードロジックとデータフローがリアルタイムで解析される。これにより、実際の実行時の挙動から異常や悪意のあるパターンが特定され、真の脅威のみを正確に捉えることができる。

具体的には、EDRやWAFなどツールでは本質的な限界があるために見逃す可能性のある攻撃を以下で説明する。これらの攻撃は、ADRなら検知される。

ADRで検知される攻撃の種類

Contrast ADRは、重大かつ巧妙なアプリケーション攻撃を幅広く網羅し、包括的な防御を提供する。以下のような攻撃が網羅されるが、これらに限定されない：

• インジェクション攻撃：SQLインジェクション、NoSQLインジェクション、コマンドインジェクション、OGNLインジェクション、JNDIインジェクション。
  SQLインジェクションは、攻撃者にデータベースへの完全なアクセス権を与え、機密データを盗んだり、改ざんしたり、削除したりすることを可能にする。その結果、金銭的損失、規制上の罰金、深刻な風評被害につながる可能性がある。
• クロスサイトスクリプティング(XSS)：反射型XSSを含む。 
  XSS攻撃が成功すると、悪意のある攻撃者はWebページにスクリプトを挿入し、ユーザの資格情報やセッションCookieを盗んだり、ユーザを悪意のあるサイトにリダイレクトしたりする可能性がある。これにより、ユーザのプライバシーとセキュリティが侵害され、個人情報流出やデータ損失につながる可能性がある。
• デシリアライゼーションの悪用：安全でないデシリアライズ、クラスローダの改ざん。デシリアライゼーションの悪用とは、アプリケーションがシリアル化されたデータを処理する方法において脆弱性を攻撃するものだ。デシリアライゼーションの悪用は、アプリケーションで不正なデータソースからのデータを検証せずにデシリアライズ処理を行った場合に発生する。攻撃者は、シリアル化されたデータを操作して、悪意のあるコードを挿入したり、予期しない方法でオブジェクトの状態を改ざんしたりする可能性がある。これにより、リモートコード実行(RCE)、データの改ざん/操作、サービス拒否(DoS)、機密情報の漏洩といった深刻な事態につながる可能性がある。 
• ファイルとパスへの攻撃：パストラバーサル、安全でないファイルのアップロード。パストラバーサル攻撃は、システムファイルやディレクトリへの不正アクセスを可能にし、機密性の高い設定データやパスワードの漏洩、さらには攻撃者がサーバ上で任意のコマンドを実行したりする可能性がある。これは、システム全体の侵害につながる可能性ががある。
• XML外部エンティティ参照(XXE)：XXEの脆弱性によって、攻撃者はXML処理を操作して意図しないリソースにアクセスしたり、アプリケーションに予期せぬ動作をさせたりできる。アプリケーションで悪意のあるXMLが解析されると、誤って外部エンティティが取得・処理されて、データ漏洩、サーバーサイドリクエストフォージェリ(SSRF)、またはDoSにつながる可能性がある。

Contrast ADRが明らかに優れている点

WAFやEDRでは見逃してしまう攻撃を、ADRは、アプリケーションでデータがどのように処理されるかを正確に把握することで、こうした複雑な攻撃を完全に可視化できる。ADRがこうした複雑な攻撃を検知できるのは、ADRがアプリケーション内部で動作するためだ。これにより、他に類を見ないメリットがある：

• 真のアプリケーションコンテキスト：OSレベルのツールではシステムコールを観察できるが、Contrast ADRではそれらのコールの発端となったアプリケーションの具体的なロジックを把握し、重要なコンテキストを得ることができる。アプリケーションロジックで処理されるデータを正確に把握できるため、脅威の正確な特定に役立つ。
  
  
• 精度の高さ：Contrast ADRは、実際の攻撃発生と100%一致する相関性を実現する。これにより、セキュリティ担当には単なるノイズではなく、SQLインジェクションによるデータ流出と言った本当の脅威に対するアラートを確実に受け取ることができる。 この優れた精度により、WAFで生成されるノイズとは対照的に、セキュリティ担当は、アプリケーションの深層部から発生する、信頼性の高いアラートを優先的に検知できるようになる。このアプローチは、アラート疲れを大幅に軽減する。そして、真の脅威に確実に対処できるようになる。
  
  
• 脆弱性クラス全体に対する防御：既知の攻撃パターンにのみ焦点を当てるのではなく、攻撃の根底にある手法に着目することで、Contrast ADRはSQLインジェクションやパストラバーサルなどの既知の脆弱性クラスを悪用する新い亜種やゼロデイ攻撃に対する本質的な防御を提供する。この機能により、ADRは攻撃の核となる挙動を効果的に無力化し、予防的防御が大幅に強化される。
  
  

効果的な防御と的確な対応

攻撃の検知時には、Contrast ADRは効果的な防御を実現するよう設計されている。必要な箇所に的確に介入し、実行中の悪意のある操作やリクエストを即座に停止できる。この機能により、正当なユーザに影響を与えたり、業務運営を中断したりすることなく、悪用を無効化する積極的なブロックが可能だ。例えば、リスクの高い操作時には、限定的な制御を適用したり、サンドボックス化することで、既知の攻撃経路が実行されるのを防ぐことができる。

実用的なインテリジェンスとワークフローの統合

さらに、Contrast ADRは、既存のセキュリティ運用ツール(SIEMプラットフォームやバグ管理システムなど)とシームレスに連携し、具体的な対策につながる豊富な情報を提供できる。各アラートには、問題箇所のコード行、詳細なデータ、スタックトレース、環境の情報など、正確なコンテキストが含まれる。このきめ細かな情報により、平均検知時間(MTTD)と平均識別時間(MTTI)が大幅に短縮され、平均応答時間(MTTR)も短縮される。これにより、セキュリティ運用部門では、アプリケーションに関する深い知見を、セキュリティスタック全体のデータと関連付けることができ、既存のワークフローに正確なアプリケーションの脅威を組み込むことができる。

セキュリティ運用を強化

結論として、WAFとEDRは、包括的なセキュリティ戦略において重要な構成要素であることに変わりはないが、複雑かつ動的なアプリケーション層に関しては本質的な限界がある。Contrast ADRは、SQLインジェクション、XSS、パストラバーサル攻撃など、現代のアプリケーションが抱える具体的なセキュリティ課題を効果的に特定・軽減するために必要な比類のない可視性、精度、迅速な対応能力を提供することで、この重大なギャップを埋める。既存のセキュリティツールを補完し、アプリケーションに関する必要なセキュリティ情報を提供することで、開発担当やセキュリティ担当がアプリケーションリスクを管理し、最も深刻な脅威からシステムを守ることができるのだ。