仮想パッチ急増：小売業界を狙った攻撃が増加する中、Contrast ADRでリアルタイムにアプリを防御するには

ADR(アプリケーションにおける検知と対応)における重要な機能の1つに、実際の脅威をリアルタイムで検知して、開発者が根本的な問題を修正するまでの間、アプリケーションを保護できるということがある。

さらに、世界的な攻撃の傾向と同様に、Contrastでは小売業を標的とした攻撃の急増を確認しており、ADRがそのような攻撃を次々に阻止している。

Contrast研究所は、毎月のADRレポートで、当社のプラットフォームと顧客の環境で見られる攻撃と防御のパターンを分析している。攻撃者の活動がどこに集中しているかを明らかにするために、データは集約して匿名化している。

2025年5月の最も注目すべき調査結果は以下の通り：

注目すべき点 その1：ADRの仮想パッチ利用が増加、開発者のパッチ適用時間を確保 

今回は、ADRの仮想パッチ機能の利用回数が急増したのを確認した。5月に、この機能を利用したユーザが200万件以上の攻撃をブロックした。これは、当社がこれまでに追跡したどの月よりも多かった。

Contrastの仮想パッチ機能を使えば、コードが完全に修正されるまで待つことなく、実行時に特定の攻撃パターンをブロックすることができる。これは、従来の検知ルールに当てはまらない、特異な脆弱性や非標準的な脆弱性への予備的対策として利用されることがほとんどであるが、実際の防御においても貴重な役割を果たす。WAFは生のトラフィックを検査するため、エンコーディング、暗号化、ペイロード長、圧縮、複雑なデータ構造、プロトコルの不一致などが原因で攻撃を見逃す可能性がある。そんなWAFとは異なり、Contrastはアプリケーションがデータ見るのと全く同じように、完全にデコードされた状態で、かつコンテキストと共にデータを把握する。これにより、境界型セキュリティツールが抱える「インピーダンス不整合」が解消され、Contrastならより信頼性が高く正確なカスタムセキュリティを適用できるようになる。Contrastはアプリケーションのプロセス内で動作するという特性から、集中管理型のWAFにつきものの単一障害点となるリスクを回避できる。ADRの仮想パッチは、必要なアプリケーションに対して、言語、フレームワーク、あるいは特定のアプリケーションやAPIといった単位で、的を絞って適用できる。

エンコーディングの巧妙な手口やプロトコルの複雑さ(インピーダンス不整合)が原因で、WAFでは攻撃を阻止できなかったため、ユーザはより確実な防御を求めてContrastの仮想パッチを利用するようになっている。特に、Contrastが悪用を検知できたにもかかわらず、WAFでは見過ごされていた場合、その傾向が顕著だ。

少数のユーザであるが、この機能を使って200万件もの攻撃の大半を阻止した。攻撃者が標的を絞って攻撃を仕掛ける場合(おそらくボットやAIなどを利用する場合）、アプリケーションへの攻撃は月によっては1～2件から数千〜数百万件へと急増する可能性がある。仮想パッチの適用を選択した企業は、攻撃を阻止するだけでなく、悪意のあるトラフィックによるCPU、メモリ、I/Oリソースの消費も防ぐことができる。

注目すべき点 その2：小売業におけるアプリケーション層への攻撃が急増

5月のContrastデータによると、小売業を営む組織に対する攻撃が急増していることを示している。一貫して増加しているわけではないが、攻撃数が急増する日がある。 

複数の報道機関が、サイバー犯罪者がますます小売店を標的とするケースが増えていると報じている。Politicoの記事よると、攻撃は「多くの場合、身代金目当てのランサムウェア集団によって実行されている」とのことだ。

北米の食料品卸売業者であり、ホールフーズ・マーケットの主要販売業社であるユナイテッド・ナチュラル・フーズ社(UNFI)のような組織は攻撃を受けているものの、攻撃がアプリケーション層から行われているかどうかは明らかにしていない。それでも、Contrastのデータでは、アプリケーションとAPIは依然として標的として増加していることを示している。

5月に小売業界に対して最も多かった攻撃手法は、メソッドの改ざん、正規表現によるサービス拒否(ReDoS)、 クロスサイトスクリプティング(XSS)だった。

まとめ

こうした傾向は、なぜリアルタイムの防御が重要なのかを浮き彫りにしている。攻撃が急増した場合、それがゼロデイ攻撃であれ、 小売業を標的にした攻撃の増加であれ、ADRを使用することで、不正確な境界ルールによる混乱もなく、セキュリティ担当は即座に対応できる。仮想パッチの使用率の急増は、セキュリティ担当が単に監視をしているだけでなく、積極的に対応していることを示している。修正が間に合わない場合でも、すぐにそのギャップを埋めているのだ。CISOにとっては、こらは従来の防御策ではもはや不十分であることを示している。実行時保護とリアルタイム対応は、あったら便利なものではなく、現代のセキュリティ戦略に不可欠な要素になりつつある。

Contrast ADRの実際の動作は、デモを見て欲しい。