アカマイ、インターネットの現状 - セキュリティレポート：パスワードリスト型攻撃の最大の標的は小売業 API トラフィックの急増傾向を注視

インテリジェントなエッジプラットフォームにより安全で快適なデジタル体験を提供する Akamai Technologies, Inc.（NASDAQ：AKAM、以下「アカマイ」）が発表した2019 年「インターネットの現状／セキュリティ：小売業界への攻撃と API トラフィック」レポートによると、昨年 5 月から 12 月に小売サイトを標的としたボットによる不正ログイン (Credential Stuffing) の試行は 100 億回を超え、中でも小売業界が攻撃の最大の標的であったことが明らかになりました。本レポートではさらに、緊急性の高い 2 つのセキュリティ問題として、ウェブトラフィックの圧倒的多数を占める API コールトラフィック、そしてIPv6 ベースのトラフィックが過少評価されている可能性についても触れています。

アカマイは、ボットによるパスワードリスト型攻撃と呼ばれる不正ログインテクニックについて調査を行いました。パスワードリスト型攻撃は、盗まれたログイン情報を Web で広範囲に試すためにボットネットを組織的に使う手法です。多くの顧客が複数のサービスやアカウントで同じログイン情報を使いまわしているという前提に立って、ハッカーは銀行や小売企業のログインページに攻撃を仕掛けます。小売企業が狙われるのは商品に価値があるからです。不正入手されたアカウントを通じて手に入れた商品の多くは転売されています。

本レポートによると、攻撃者は悪意に満ちたAIO (All in One) ボットを利用していますが、これは パスワードリスト型攻撃やさまざまな検知回避テクニックを駆使し、素早く商品を購入できるようにする多機能ツールです。あるAIO ボットは一度に 120 を超える小売サイトを狙うことができます。

メディアおよびエンターテイメントに関する資産が不正ログインの犠牲になるケースも目立っています。これらの資産価値は、そこに保管されている個人情報にあります。たとえば、エンドユーザーは、オーバーザトップ（OTT：動画・音声などのコンテンツ配信サービス）のサービス登録時にクレジットカード情報とユーザー属性を含む自身の属性データを入力しますが、この種のデータはブラックマーケットで高く売れます。アカマイはさらに、金融サービス、ホテル・旅行、消費財のサイトを狙った不正ログインがかなりの数に上る点にも注目しています。

セキュリティ調査担当であり、「インターネットの現状／セキュリティ」レポートの論説員でもある Martin McKeay は次のように述べています。「手法が変化しても、動機は変わることなく「金銭」です。小売企業はいつも標的の筆頭に立たされていますが、それは盗まれた商品がすぐに高値で売れるからです。どのような商品の価値が高いかは、データを見ればわかります。最も標的とされているのがアパレルサイトだからです。」

アパレル以外の小売業界については、ダイレクトコマース、百貨店、オフィスサプライ、およびジュエリーや時計などのファッション関連に対しボットによる不正ログインの試みが確認されています。

API トラフィックの増加と、過少に報告されている可能性のある IPv6 に関連するセキュリティ上の懸念

2018 年 10 月に実施された アカマイのトラフィックレビューでは、API コールがウェブトラフィックの 83 パーセントを占めていました。レポートではこの内容が詳しく説明されています。大多数の API トラフィックはカスタムアプリケーションに対するものであり、これはデジタル・トランスフォーメーションやクラウドベースのアプリケーションの展開による結果といえます。セキュリティチームにとって、API トラフィックの増加はリスクを考慮するうえで重要です。セキュリティツールによっては API トラフィックに十分に対応できない場合があるためです。

「ウェブアプリケーションの状況は流動的です。API コールの多くはアプリケーションや企業に固有のものであり、静的と考えられる HTML トラフィックとは異なるセキュリティアプローチが必要です。」（McKeay）

一方、本レポートで解説しているDNS トラフィックの分析において、IPv6トラフィックが過少に報告されている可能性をがあることを指摘しています。これは、IPv6 対応システムの多くが、今も IPv4 を優先しているためです。そしてこのことが、デバイスの設定ミスや、誤ったモニタリング、ネットワークの死角といった潜在的なセキュリティ面の問題点を暗示している可能性があります。しかし、IPv6 は依然として少数派のトラフィックと考えられているためか、セキュリティツールの多くはこれを主なセールスポイントとはしていません。

2019 年「インターネットの現状／セキュリティ：小売業界への攻撃と API トラフィック」レポートは、こちらからダウンロードできます。
/content/dam/akamai/site/ja/state-of-the-internet/state-of-the-internet-security-retail-attacks-and-api-traffic-report-2019.pdf

不正ログイン、特に リスト型攻撃の詳細およびこのタイプの攻撃に直面している組織へのアドバイスについては、こちらをご覧ください。
/content/akamai/en/campaign/credential-stuffing-is-on-the-rise.html

DNS セキュリティなど、その他の Akamai ソリューションについては、こちらをご覧ください。
/content/akamai/en/products/security

手法

2019 年「インターネットの現状／セキュリティ：小売業界への攻撃と API トラフィック」レポートには、アカマイのグローバルインフラストラクチャ全体の攻撃データが含まれ、社内の多様なチームによる調査結果が示されています。このレポートでは、Akamai Intelligent Platform から収集したデータを使用して、クラウドセキュリティと脅威の現状分析のほか、攻撃傾向に関する知見を提供しています。「インターネットの現状／セキュリティ」レポートには、Security Intelligence Response Team（SIRT）、Threat Research Unit、Information Security、Custom Analytics グループなど、アカマイのさまざまな部署のセキュリティ専門家が携わっています。

アカマイ について：

アカマイは世界中の企業に安全で快適なデジタル体験を提供しています。アカマイのインテリジェントなエッジプラットフォームは、企業のデータセンターからクラウドプロバイダーのデータセンターまで広範に網羅し、企業とそのビジネスを高速、スマート、そしてセキュアなものにします。マルチクラウドアーキテクチャの力を拡大させる、俊敏性に優れたソリューションを活用して競争優位を確立するため、世界中のトップブランドがアカマイを利用しています。アカマイは、意思決定、アプリケーション、体験を、ユーザーの最も近くで提供すると同時に、攻撃や脅威は遠ざけます。また、エッジセキュリティ、ウェブ／モバイルパフォーマンス、エンタープライズアクセス、ビデオデリバリーによって構成されるアカマイのソリューションポートフォリオは、比類のないカスタマーサービスと分析、365日/24時間体制のモニタリングによって支えられています。世界中のトップブランドがアカマイを信頼する理由について、</content/akamai/en>、<blogs.akamai.com/jp/>およびTwitterの@Akamai_jpでご紹介しています。