アプリケーションセキュリティ
アプリケーションセキュリティの対策を考える時に防御するべき攻撃として、どのようなものがあるかについて、考えますと、まずOWASP Topがあると思います。また、IPAの情報セキュリティ10大脅威なども参考になります。
ただし、これらの攻撃の手法は、ボットを活用したり、攻撃者がレベルアップして、従来の対処をくぐりぬけてくることもしばしば発生します。
最近では、以下のような攻撃があります。
・クレデンシャルスタッフィング
流出したクレデンシャル情報(ID,PW等)をもとに、ボットやプロキシサーバーを経由して、他のサイトへ不正アクセスを実施。クレデンシャル情報は、ダークウェブ(ブラックマーケット)で売買。
正しいボットかどうかの判別やプロキシ経由であるため攻撃元の特定が極めて難しい。
総当たり攻撃。昔からある手法だが、考えられる組み合わせをすべて力技で実行する。最も原始的だが、最も確実であり、いまもなお利用されている。
・ユーザ列挙
ユーザ名が対象のサイトのデータベースのなかに登録されてるかを確認する攻撃。パスワードリセットのためにユーザIDやメールアドレスを入力し確認。
CAPTCHAバイバス
AIで突破する方法や他のサイトから人を誘導して突破させる等の方法があり、既にフリーメールの世界ではCAPTCHAを突破する事例がある。
・パスワードスクレイピング
パスワード情報をスクレイピングによって奪取する
各種重要情報をスクレイピングによって違法に奪取する
・ギフトカードクラッキング
ギフトカードの不正利用
・スパムボット
スパムメールを送信することを目的として、ウェブ上から大量のメールアドレスを自動取得するボット。
以上のように攻撃内容が高度化され、セキュリティ会社とハッカーの競争もは劇しいため、昔ながらのWAFではなく先進的なWAFやセキュリティソリューションが求められている。