API および ATO 対策ダッシュボードにより可視性を向上し、深刻化するセキュリティの課題に対応
アカウント乗っ取り攻撃 (ATO) では、攻撃者は漏えいしたパスワードリストやデータダンプの認証情報を使用し、アプリの顧客向け認証フローまたは認証 API を介して顧客アカウントへのアクセス権を不正に取得します。アカウント乗っ取りは増加傾向にある手口であり、ビジネスに深刻な影響を与える可能性があります。
TechRepublic のレポートによると、eコマース業界における ATO 試行は、2019年第2四半期から2020年第2四半期にかけて282%増加しており、調査回答者の25%以上が、情報がハッキングされた場合はサイトやサービスの利用を中止すると回答しています。
これまでは、このような攻撃手口をモニタリングするために、過剰なログイン試行やパスワードのリセット、単一の IP アドレスからのアクティビティの増加、通常のエリア外からのログイン試行、不審な IP アドレスからのログイン成功など、一般的な指標を手作業で検出する必要がありました。
しかし Fastly の次世代 WAF (旧 Signal Sciences) の API および ATO 対策ダッシュボードでは、セキュリティチームの手作業による検出を最小限に抑えつつ、レイヤー7に対する攻撃をより明確かつ詳細に把握できるようになりました。このダッシュボードでは、アカウント乗っ取り、クレジットカード検証、パスワードリセットなどの高度な攻撃に対するセキュリティテレメトリを、20以上の新しいシグナルから収集し、可視化します。多くのお客様が抱えるこの問題に対して Fastly が講じた対策について、詳しく紹介します。
深刻化する問題に対する Fastly の取り組み
API への攻撃が巧妙化する中で、OSI 参照モデルのアプリケーションレイヤーであるレイヤー7に注目が集まっています。レイヤー7は、API の悪用や誤用、インジェクション攻撃、アカウント乗っ取りなどの脅威に対抗する防衛の最前線にあります。調査では、4社のうち3社がアカウント乗っ取り攻撃を経験していることが明らかになっています。
今まではダッシュボードを利用することで、本番環境にある Web アプリケーションや API の状況を迅速かつ容易にモニタリングし、把握することができました。しかし、クレデンシャルスタッフィングによる API の悪用や ATO 試行などの高度な攻撃の場合、セキュリティチームがエンドユーザーに悪影響を与える攻撃をより簡単かつ迅速に検知・阻止するためには、専用のルール、シグナル、そしてダッシュボードが必要であることが分かりました。
API に対する攻撃や ATO 攻撃を特定するためにダッシュボードをカスタマイズすることは可能でしたが、カスタマイズは手動で行う必要があるため、導入後すぐに問題に対処したいリーンセキュリティチームにとってはハードルが高い可能性がありました。さらに高レベルの役職では、自社サイトで発生している ATO 攻撃や API 攻撃を認識していない場合もあります。問題をリアルタイムで可視化することが、これらの課題に対応するための第一歩です。
セキュリティの新時代の到来を告げるシグナル
今回のダッシュボードのアップデートでは、Web アプリケーションや API のアクティビティの概況がしっかりと把握できるようになり、これまで以上に多くの情報を簡単に取得できるようになりました。ダッシュボードには、API や ATO 攻撃を検知・阻止するために特別に設計された新しいシグナルが搭載されており、セキュリティチームはこれらの脅威に対する新たな可視性を得ることができます。このアップデートにより、29の新しいシグナルが導入され、14のチャートが表示できるようになりました。さらに、20の既存のシグナルが直感的で使いやすいダッシュボードに組み込まれています。
この新しいダッシュボードは、すべてのワークスペースに自動的に組み込まれています。新しいセットアップのフローを使用して、各シグナルのルール条件を定義することができ、一致したリクエストはすべて新しいシグナルでタグ付けされ、ダッシュボードに表示されます。
Fastly を試してみませんか ?
Fastly の次世代 WAF をご利用のお客様は、管理コンソールにログインすることで、新しいダッシュボードにアクセスすることができます。ダッシュボード名の横にあるドロップダウンセレクターをクリックし、表示したいダッシュボードを選択してください。Fastly の次世代 WAF をまだご利用ではないお客様は、 Web サイトや API の安全性とパフォーマンスを維持しつつ、ビジネスに影響が及ぶ前に脅威を効果的に検出する Fastly のソリューションについてぜひご覧ください。