Skip to content

静かなる脅威:12月はアプリ攻撃全体が減少も、デシリアライゼーション攻撃が急増

By Contrast Marketing

1月 16, 2025

セキュリティ log4shell 脆弱性 WAF サイバー攻撃 APIセキュリティ ADR アプリケーション攻撃 アプリケーションセキュリティ サイバーセキュリティ

    
Contrast research: December saw deserialization application attacks surge.

2024年12月の個人アプリケーションへの攻撃は前月比で減少したが、最も危険なタイプの攻撃の1つが大幅に増加した。これはContrast Securityが毎月発表している、アプリケーションにおける検知と対応(ADR)における、実際のAPI攻撃の検知と対応に関するデータ結果である。ここで示すのは、Contrast Securityのアプリおよび顧客のアプリへの攻撃から収集したデータを匿名化し平均化したものだ。

先月は、個々のアプリケーションまたはAPIが平均45回攻撃された。これは先々月と比べてわずかに減少している。これらは実際の攻撃であり、セキュリティ担当が悩むような誤検知ではない。これらの攻撃のうち、「安全でないデシリアライズ」による攻撃が急増しており、アプリケーションとAPIに対する攻撃は、平均で1つあたり22回発生した。

背景

攻撃データの詳細に入る前に、「攻撃」という言葉の使い方について説明する。Contrastが攻撃とみなすのは、意図した脆弱性に到達し、悪用が行われようとしていることが確認された攻撃のみである。「インターネット上のノイズ」のような、重大な侵害には至らない攻撃は含まない。誤検知をフィルタリングして、ノイズを排除している。

Contrastの攻撃データは、実際に稼働しているアプリケーションとAPIから直接測定される。Contrastの攻撃データが、数百万、数十億、ましてや数兆という単位で計測されることはない。なぜなら、それは、ノイズが多すぎるという問題の一部だからだ。Contrast Securityはコードに監視機能を組み込んでいるため、シグネチャや理論上の攻撃ではなく、実際に危険な異常のみを報告する。

よりわかりやすく説明するために、アプリケーションあたりの1か月分のデータを示す以下のグラフを見てほしい。各アプリケーションで、潜在的に危険な関数への呼び出しが何億回も行われていることが分かる。これらの呼び出しの中から、「セキュリティ関連の観測結果」がより詳細な検査のために選び出される。市井部の組織では、ここからでアラート疲労が始まる。さらに、Webアプリケーションファイアウォール(WAF)を通過する数千の無効な攻撃があり、これも誤検知につながる。しかし、Contrast Securityが特定するのは、脆弱性に到達する実際に有効な攻撃だ。平均すると、セキュリティオペレーションセンター(SOC)が注意を払い、インシデントとし処理して集中すべき攻撃は月に数件だけだ。

Contrastで2024年12月に確認されたものを見てみると、潜在的に危険な関数への呼び出しはアプリケーションあたり4億8000万回あった。Contrast ADRで特定された攻撃を見ると、個々のアプリケーションまたはAPIに到達した攻撃は平均45件で、そのうち平均約3件が調査が必要なインシデントになったことがわかる。このグラフにより、アラート疲労を避けるために、何を調査すべきかを正確に把握することが重要であるかが分かるだろう。

次のグラフは、Contrast ADRで特定されて阻止された、有効な攻撃の種類を分類したものである。

blog_jp_vulnerability_occurence

今月の3つのポイント:

  1. 攻撃は前月比でわずかに減少している。 通常、サイバーエコシステム全体では休暇中に攻撃が増加するが、攻撃を報告するアプリケーションの数が減少したのは、ADRがセキュリティテストを多く特定するためであると考えられる。セキュリティテストは、12月の最後の2週間はあまり行われない。
  2. 安全でないデシリアライズが増加している。 前月比で、このタイプの攻撃が急増している。これは非常に大きな影響を与える可能性がある。WAFは、いくつかの理由で安全でないデシリアライズに苦労している。
    1. 複雑なペイロード:安全でないデシリアライズ攻撃には、WAFが効果的に解析および検査することが困難なシリアル化されたオブジェクトが含まれる可能性がある。
    2. アプリケーション固有:これらの攻撃は、WAFの一般的なルールセットでは普遍的に認識できない、言語、フレームワーク、およびアプリ/ API固有のデシリアライゼーションメカニズムを悪用する。
    3. 暗号化またはエンコードされたデータ:シリアル化されたペイロードはエンコードまたは暗号化され、WAF検査を完全にバイパスする可能性がある。
    4. 回避戦術:攻撃者は、WAFシグネチャによる検出を回避するために、悪意のあるペイロードを難読化することができる。
  3. Log4Shell攻撃 はまだ問題を引き起こしている 12月は、Log4jの脆弱性が発見されてから3周年を迎えた。それでもなお、脆弱なコードへの攻撃が毎月発生しているのは驚くべきことだ。WAFはそれらの一部を阻止できるが、攻撃者はシグネチャベースの検出をそれほど苦労せずに回避できる。Contrast ADRはこれらの攻撃を阻止する。

専門家の意見: Log4Shell の亡霊はなぜまだ彷徨うのか?

来月はどのような状況になるのか、安全でないデシリアライズの増加が続くのかどうかを見ていきたい。

アプリケーション層で実際に何が起こっているのかを知りたい場合は、Contrast Securityに連絡してほしい。

お問い合わせ

関連記事/サイト:
セキュリティ log4shell 脆弱性 WAF サイバー攻撃 APIセキュリティ ADR アプリケーション攻撃 アプリケーションセキュリティ サイバーセキュリティ

Contrast Marketing

SECのサイバーセキュリティ開示規則を紐解く:ADRによるコンプライアンス対応の強化とリスクの軽減

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 2025年1月17日