Cloud Security Solutions
2019年1月22日 2019 新春事例セミナー
アカマイテクノロジーズ合同会社
© 2019 Akamai | Public
アカマイ・クラウド・セキュリティ
ゼロ・トラスト化したネットワークの
脅威をクラウドの『エッジ』で防御
WAF
世界の有名サイトを守るWAFが ウェブとAPIを狙う攻撃から防御DDoS緩和
大規化、巧妙化するDDoS攻撃を ネットワークエッジですばやく超分 散緩和bot管理
買い占め、価格調査、不正ログインなどを行 う悪性botをふるまい検知+機械学習で抑止レピュテーション
ビッグデータで危険なIPを解析し ゼロデイ攻撃からウェブを保護マルウェア出口対策
既存対策で発見できない標的型マル ウェアの僅かな動きをDNSで検知Avoid data theft and downtime by extending the
security perimeter outside the data-center and
protect from increasing frequency, scale and
sophistication of web attacks.
DoS攻撃が与えるインパクト
DoS攻撃による悪影響 (回答2項目まで)•
DDoS被害額
•
年間被害額の平均値:114万ドル
•
うち顧客向けサービス停止が30%
•
総合的な悪影響は評判の低下がトップ
単位: 1,000 USD ウェブアプリケーション攻撃と DoS 攻撃による被害コスト© 2019 Akamai | Public
Avoid data theft and downtime by extending the
security perimeter outside the data-center and
protect from increasing frequency, scale and
sophistication of web attacks.
Webアプリケーション攻撃が与えるインパクト
ウェブアプリケーションを保護すべき理由 (回答2項目まで)
ウェブアプリケーション攻撃およびサービス妨害(DoS)攻撃による被害コストの傾向:
Ponemon Institute(2018 年 6 月)アジア太平洋地域 の企業, 公共IT責任者501名の回答結果
•
Webアプリケーション攻撃被害額
•
年間被害額の平均値:244万ドル
•
技術・緊急対応コストが37%
•
保護すべき理由ではGDPRの影響も
ウェブアプリケーション攻撃と DoS 攻撃による被害コスト 単位: 1,000 USDDDoSの攻撃ボリュームの推移
Bot Manager Enterprise Application Access
620 Gbps DDoS
80 Gbps DDoS
320 Gbps DDoS
Enterprise Threat Protector Bot Manager Premier
Prolexic
First cloud WAF Managed WAF
Client Reputation CSI 1.3 Tbps DDoS
•
金融ISACの報告では、20~30Gbpsが主に観測されて
いる
•
攻撃を成立させるため回線容量の少し上を狙う
•
抑止力として1Tbps以上が緩和可能なサービスが必要
•
緩和サービスのリソースは共有型のため「もらい事
故」に注意
2016年1月 2016年7月 2017年1月 2017年7月 2018年1月 2018年4月 1,230 Mbps 965 Mbps 896 Mbps 616 Mbps 782 Mbps 1,287 MbpsDDoS 攻撃サイズの中央値(Median attack size)の推移:
Source: Akamai SOTI Security Report
by Memcached
© 2019 Akamai | Public
事例:イープラス株式会社様
Bot Manager Premierで、チケットbotによる買い占め、転売の抑止に成功
会社、事業概要 導入前の課題 導入後の効果 • 導入直後の先着チケット発売でふるまい検知により アクセスの9割をbotアクセスと判定し制御に成功 • 会員数1,100万人超、国内最大級のチケット販売サ イト「e+(イープラス)」を運営 • コンサート,演劇,映画,娯楽施設等のチケット販売 • botによるチケットの買い占めと転売の防止が課題 • 利用者、興行主に転売対策と効果を示す必要あり • CAPTCHA(難読文字によりbot判定)は高度なbot の自動解析で突破されるため別の対策が必要© 2019 Akamai | Public
CAPTCHA テスト の限界
CAPTCHA(キャプチャ)は難読文字を入力
することでbotか人間かを判定するしくみ
CAPTCHA導入によるユーザ離脱率は、一般
的に10%を越えると言われる
•
AIによるクラウド型解読サービスを簡単に自作のbotに組み込める
•
1000個あたり、$0.5-$1.5程度の料金。95%の正確性(人間では71%)
•
米国では人気チケット150万枚以上の購入で2890万ドルの利益を上げた
•
イープラスではBMPによるbot対策後、ログイン画面に残っていたCAPTCHAを
排除できた。
認証情報の取得
Username Password LOGIN Username Password LOGIN 買い占め 情報取得 口座の操作 転売、換金 ダミーアカウント 漏えいしたID,パスワードボットに指示
不正ログイン
不正利用、現金化
キー入力 タッチ& 機械学習で ボットと人を識別 良性/悪性ボットの種類を判別 不正ログインボットを「ふるまい」で検知 定義済&カスタムルール判定+ボット自動抽出 高頻度のリクエスト ボットをアクセスデバイス上の「ふるまい」で識別 ブラウザ、アプリを操作する高度なボットも検出© 2019 Akamai | Public
ボットを「だます・いなす」柔軟な管理と制御
① Monitor / Alert
② Deny (HTTP 403 応答)
③ Silent Deny (HTTP 403 応答無し)
④ Delay (1-3秒)応答
⑤ Slow (8-10秒)応答
⑥ 代替コンテンツ応答
⑦ 代替オリジン・リダイレクト
⑧ キャッシュからの応答
ボットの識別・可視化
ボットに気づかせない応答
bot を『いなす』柔軟な制御
調査 ボットの特徴を捉える 対策 (ブロッキング) 例1 特定IPをACLでDeny 例2 アクセスレート制御 例3 CAPTCHAでbot判定 認知 迷惑botを使うオペレータが サイト側のブロック策に気付く 対策の回避 • レート制限の閾値を超えない頻度 でアクセスするbotを複数用意 • AIによるCAPTCHAの解析と突破 いたちごっこ 回避策を取ったボットが襲来回避したbot をアカマイに 連絡 解析と設定 追加の提案 追加設定内 容をお客様 とレビュー 追加設定の 適用 ログ監視 ルールの精度 を確認
設定チューニングのPDCAを回す
~
巧妙なボット検知のために
アカマイの 専門技術者 サイト管理者 アカマイの 専門技術者 Botの特徴な ど『検知の網の目を細
かくしていく作業』
が可能な「仕組み」
と「支援サービス」
をアカマイが提供
© 2019 Akamai | Public
Grow revenue opportunities with fast, personalized
web experiences and manage complexity from peak
demand, mobile devices and data collection.
導入事例: Bot Manager
導入前の課題:
導入効果:
•
予約に繋がらない大量アクセス
•
ボット起因の外部予約エンジン
課金が大きな負担に
•
自前でのボット対策の限界
•
ボットの可視化 (全体の約85%)
•
無駄なアクセスの抑制 (61% 減)
•
外部予約エンジン利用課金の大
幅な削減
•
大量の在庫照会アクセス
•
セール時のパフォーマンス
劣化対策が大きな負担に
•
自前でのボット対策の限界
•
全アクセスの70%におよぶボット
アクセスを可視化しオフロード
•
ユーザエクスペリエンスが向上
•
削減できた運用工数をコアビジネ
ス開発へ投入可能に
*この事例の内容は、2017年5月に開催されたAkamai Security Conference内のセッションで用いられたものです。
© 2019 Akamai | Public
頻発する不正ログイン事件
日経新聞:2018/8/14 通販通信:2018/6/11 Security Next :2018/8/17
Avoid data theft and downtime by extending the
security perimeter outside the data-center and
protect from increasing frequency, scale and
sophistication of web attacks.
ダークウェブで取引される情報系商材の例
•
アドレスとパスワード
:
$0.70–$2.30
•
残高保証のないクレジットカード (番号と CVV) :
$8
•
$2K 残高保証のクレジットカード (番号とCVV) :
$20
•
$15Kの残高保証の米国銀行口座認証情報
$200-1,000
•
PayPal
認証情報
:
$1.50
•
クレジットカードの
認証情報
$15-$22
•
Weston Union (国際送金サービス)アカウント
$6.80
© 2019 Akamai | Public
ボットによる不正ログイン 業界別数
Akamai プラットフォーム
総ログイン試行数: 83億
不正なログイン試行:36億回
43%
36%
不正ログイン
の占める割合
82%
2017年11月
Source: Akamai SOTI Q4 2017 Security Report
bot に よる不正ログ イ ンが疑われる件数 ログインの を占める ログインの を占める 小売り ホテル &旅行 ハイテク メディア&娯楽 サービス金融 消費者向けグッズ その他
毎時 291,101の不正なログインリクエスト
Fortune 500 の金融機関のログインページに
対するボットからの大量の不正ログイン攻撃
人間によるログイン 6,947,896 不正ログイン 攻撃元IP アドレス 10,000+ 攻撃元AS数 ユーザーエー ジェント数 9,999 攻撃元ユーザーエージェント 16.8%14.0% 5.9% 5.4% 5.0% 4.9% 4.8% 4.2% 3.0% 2.2% VN US BR TH EC RU IN KR JP TW 攻撃元国 Top10 高度に分散した攻撃元IPアドレス95%
ボットからの全リクエストの うちSAMSUNGのスマホ Galaxy SM-G531H が利用さ れた割合0
.
7%
攻撃数トップのIPア ドレスの占める割合 Bot Manager でボット対策を開始 大量の不正ログイン攻撃は収束 正常なリクエストは毎時 105,975金融機関へのリスト型攻撃例
ボリューム型
最多はベトナム© 2019 Akamai | Public 正規のログインリクエスト:毎時 46,057回 不正ログインリクエスト:毎時 8,723回 不正ログインリクエスト:毎時 797回
金融機関へのリスト型攻撃例
Low&Slow型
北米の大手信用組合が受けた不正ログイン攻撃
•
botログインが正規ログインの1.7%と少ない
•
検知回避のためゆっくりだが30万回以上試行
•
最新の検知技術なしには人間と区別できない
人間によるログイン 4,251,661 不正ログイン 312,178 攻撃元IP アドレス 19,992+ 攻撃元AS数 1743 ユーザーエー ジェント数 4,382 アクセスレートによる検知を避ける作りこみがされたボット悪性botが引き起こす様々な問題
セールの目玉商品や限定商品が瞬時
に買い占められて高額転売される!
小売り、各種ECサイトでは…
サイトがコピーされ許可なく商品を
再販するサイトが作られていた!
各種オンライン金融サービスでは…
大量の成りすましログインの発生で
顧客の口座情報が流出してしまう!
FinTech企業からの高頻度アクセス
でサービスのレスポンスが低下!
その他の一般的なウェブサイトでも…
ウェブ問い合わせフォームを悪用
し顧客担に毎日大量のスパムが!
アカウントが大量作成され入会特
典ポイントを不正取得された!
© 2019 Akamai | Public
企業の問い合わせフォームへのbot攻撃(業務妨害)
企業の ホーム ページ あ 氏名 会社名 E-Mail お問い合わせ内容 迷惑ダミ男 迷惑商事 意味不明の文面 SafdksajlkxsldfkasXXX Saokrj masldkpo-w saldjakljex@gmail.com お問い合わせフォーム botのプログラムで生成されたダミーの 問い合わせ内容をホームページの 「問い合わせフォーム」から大量にポスト 攻撃者 1日数万通のメールが各部門の 問い合わせ担当者に送付され 仕事にならない! アジア諸国など • 社外からのスパムメールは対処しているが、問い合わせフォームからのメールは検査できない • 大量の迷惑メールの中に埋もれた、本来の問いあわせメールを探すのは難しい 課題 bot Bot Managerによる ボットからの投稿検知© 2019 Akamai | Public
終わらないクレジットカード情報の漏えいと不正利用
2018/12/05
手芸材料の通販サイト「ZOWHOW」
が脆弱性をつ
かれ顧客のクレジットカード情報397件が流出
2018/08/03
海外の排卵検査薬や妊娠検査薬を取り扱う通信販売
サイト
「こうのとり検査薬.NET」
が不正アクセスを
受け。セキュリティコードを含むクレジットカード
などの情報最大1万1314件の顧客情報が流出した
2018/08/02
アサヒ軽金属工業
が運営するオンラインショッピン
グサイトが不正アクセスを受け顧客のクレジット
カード情報最大7万7198件が流出し、一部が不正利
用されたと見られる
Avoid data theft and downtime by extending the
security perimeter outside the data-center and
protect from increasing frequency, scale and
sophistication of web attacks.
ダークウェブで取引される情報系商材の例
•
アドレスとパスワード
:
$0.70–$2.30
•
残高保証のないクレジットカード (番号と CVV) :
$8
•
$2K 残高保証のクレジットカード (番号とCVV) :
$20
•
$15Kの残高保証の米国銀行口座認証情報
$200-1,000
•
PayPal
認証情報
:
$1.50
•
Weston Union (国際送金サービス)アカウント
$6.80
© 2019 Akamai | Public
行政によるクレジットカード情報保護のうごき
改正割賦販売法
の施行(2018年6月)
カード加盟店のカード情報保護対策を義務化
方針
(カード情報)非保持化
PCI DSS準拠
概要
決済代行事業者に決済処理を委託する方式。
「トークン方式」「リンク方式」がある
グローバルな統一基準でカード会員データを
取り扱う情報システム全体を保護
長所
•
カード情報を自社サイトで保持しない
ため、保護を外部まかせにできる
•
比較的低コストで導入できる
PCI DSSに準拠することで、カード情報だけ
でなく
その他の顧客情報も保護できる
短所
•
決済代行事業者が狙われて攻撃される
とカード情報が漏えいする
•
カード情報以外の個人情報はこの仕組
みだけでは保護されない
PCI DSS準拠のため自社によるセキュリティ
システムの改修、運用、継続的な検証が必要
中小の多くのECサイトが“暫定策”の「非保持化」を選択したが…
「非保持化」対応済みサイトを狙った巧妙な攻撃の出現
2018/10/11
聖教新聞社
が運営する通販
サイト「SOKAオンライン
ストア」から2,481件のクレ
ジットカード情報が漏洩
2018/10/25
今治タオルの通販サイト
「伊織ネットショップ」が
不正アクセスで改ざんされ、
顧客のカード情報が詐取さ
れた可能性がある
クレジットカード 決済画面に進みます 決済処理に進む ECサイトのWebサーバー結局、自社のWebサーバー自体をしっかり守る必要がある
ご利用カード情報を入力 決済する カード番号 有効期限 名義 セキュリティーコード Webサーバを改ざんして用意した本物そっくりの偽決済画面 バレぬよう正規の画面へ 入力情報を 盗み出す 攻撃 改ざん 決済エラー 再入力 カード情報に誤りがあります ご利用カード情報を入力 決済する カード番号 有効期限 名義 セキュリティーコード 非保持化で 外部処理に 飛ばすはずが.. 決済代行事業者サイト© 2019 Akamai | Public
2018年 相次ぐウェブからの情報漏えい
2018年4月
前橋市教育委員会
の公開ウェ
ブサーバーが不正攻撃を受け
この
サーバー経由で
ネットワーク
に侵入され、在籍児童の個人情報、
給食費徴収用の口座番号約4万8千
件が流出
主な原因は業者による
ファイア
ウォール設定の不備とサーバーの
更新不備
と発表されたが…
Source: 産経ニュース 2018.6.26「ウェブの改ざんだけ」で済まない
~公開ウェブが踏み台に
脆弱性のある関連会社AのWebサーバ ページ 改ざん攻撃者
細工したHTTPによる攻撃
マルウェア配置サイト 会社Aの社員自社のページに
アクセスと自動で誘導
•
現在のWeb改ざんは、書き換えらた箇所が一目でわからない
•
『見えないリンク』を裏で仕込まれて、マルウェア侵入の踏み台に
セキュリティの弱そうな組織のウェブを踏み台にして本丸に侵入
標的型マルウェアの
『見るだけダウンロード』
A社員の名前で本社
に危険な標的型
メールを送信
© 2019 Akamai | Public
WAF(Web Application Firewall)の役割とは?
ネットワーク
OS
Webサーバソフト Webアプリケーション ファイアウォール IDS/IPS WAF DB 顧客情報など の機密データ公開ウェブ上の機密情報を狙う攻撃は
ファイアウォール、IPSを通り抜ける!
Webサーバプログラムや OSの脆弱性を狙う攻撃 利用ポートスキャン による調査などWeb上の情報は、ホスティング事業者が用意するFirewall、IPSでは守れない
Web アプリケーション攻撃 - SQLインジェクションなど DoS, DDoS (利用不能攻撃) - 大量の通信でウェブを使用不能に 攻撃者『超分散』クラウドでWebサイトへのサイバー攻撃攻撃を対策
お客様の データセンター お客様の Webサーバー (パブリッククラウドにも対応) 72Tbpsを配信可能な世界で24万台 以上配置されたエッジサーバー 一般 ユーザ ボットネット 上の攻撃元 Prolexic Fast DNS DDoSからネットワークと Prolexic 強固な可用性を備えたクラウド型 権威DNSサービス Fast DNS 重要なビジネスを担うウェブサイトを サイバー攻撃から包括的に防御 ビッグデータ分析で危険なIPを格 付けしWeb攻撃を未然に防止 Client Reputation 価格調査、買占め、不正ログイン などのボットを見分け働きを停止 Bot Manager ビッグデータ解析Kona Site Defender –WAF, DDoS対策
最も一般的なウェブへのサイバー攻撃に 簡単に防御を展開
Web Application Protector–WAF, DDoS対策
1日平均 3000億のDNSクエリー、 20TBの攻撃データを分析
© 2019 Akamai | Public
Avoid data theft and downtime by extending the
security perimeter outside the data-center and
protect from increasing frequency, scale and
sophistication of web attacks.
各エッジサーバー上のクラウド型WAFでWeb攻撃を多層防御
エッジサーバによる分散防御
24万台以上のエッジサーバで大規模DDoSを分散緩和
ジオ・ブロッキング
アカマイの高精度な地域別IPマップでアクセス元を制限
WAFルールにより脆弱性攻撃を防御
世界の政府機関、有名企業を守る高精度のWAFルール
アダプティブ・レートコントロール オリジンサーバーへのレートを柔軟に制御し過負荷を回避クライアントレピュテーション
ビッグデータ解析で危険度の高いIPからの通信を遮断
APIプロテクション
APIサーバ内で対処不可能な攻撃をクラウドで防御
アカマイのゼロデイ攻撃対策の効果
Struts2 脆弱性攻撃への対応
レピュテーション(リス ク)ス コア 0 5 10 中国で大規模攻撃キャンペーン 「Bleeding Thunder」が開始 (日本含む1.3万サイトが標的リスト化) 8/25 IPアドレスA(香港)の リスクスコアが「10」 (最も危険)に急上昇クライアントレピュテーション(CR)
0 8/17 Apache 開発者 が脆弱性を公開 CVE-2018-11776 8/22 IPアドレスAからの Struts2攻撃を観測57
社に 攻撃を試行 8/24 CR利用のお客様は、脆弱性公開前から攻撃を自動でブロックできていた! アカマイの誇る2ペタバイトのビッグデータ 分析で危険なIPのアクセスをブロック Struts2脆弱性攻撃を含め© 2019 Akamai | Public
APIの脆弱性をついた大型情報漏えい事件の増加
2018年9月フェイスブック
から5千万人以上のロ グイン情報が流出した。「View As」機能 に脆弱性があり、 5千万人以上のログイン トークンが盗まれた。多数のAPIを利用し た巨大システムを構築しているFacebookの システムに潜んでいたバグを利用したと言 われている 2017年3月マクドナルド
(インド)
のウェブサ イト220万人分のユーザーの情報が盗まれ た事件が発生。APIの認証完了後、認証し たユーザーの情報だけではなく他のユー ザーの情報にもアクセス可能になる脆弱性 がアプリケーションに存在し攻撃に利用さ れた。© 2019 Akamai | Public HEMS IoT 自動車
B2Cモバイル
アプリ
インターネット 製造 ビジネスパー トナー向けAPI Web Page データベース Webアプリ API ケーション サーバWebAPIの利用例:
•
スマホアプリから、企業の提供するサービスにログイン
•
Fintech企業が情報取得のため金融機関の提供するAPIを利用
•
コネクテッドカーが集めた情報をAPIサーバーに送信
新たな盲点、WebベースのAPIの保護
•
SQLi,XSSなど既知のWeb攻撃
•
API特有の脆弱性を突く攻撃
•
APIを狙うDDoS攻撃
Akamai KSDで防御
API Security
ポジティブセキュリティ
(ホワイトリスト型)
(WAF, ブラックリスト型)
ネガティブセキュリティ
DDoS の緩和
入力値のチェックなど
『デシリアライズ攻撃』など WebAPI特有の攻撃に対応一般のWebアプリケーション攻
撃と同様の対策
SQLi, XSS, CMDi 等の防止レイヤ7 DDoS の防御
. 多くのリソースを消費する APIへのDDoSを緩和Web API のセキュリティ戦略
詳しくはZDNET連載記事で!APIセキュリティ入門
© 2019 Akamai | Public
シリアリゼーションとデシリアライゼーション
• APIコンテキスト内でのデシリアリゼーションは、JSONまたはXMLを実際のアプリケーショオブジェクト に変換するプロセス。(シリアリゼーションはその逆) • デシリアリゼーションは、アプリケーションロジックが起動する前に起動する処理です API Server API Client POST /api/v1/getdatetime HTTP/1.1 HOST: apiserver.com User-Agent: API-Client Content-Type:application/json {”dateformat”:”standard”, “timezone”:”ja-jp”} JSON Input {”dateformat”:”standard”, “timezone”:”ja-jp”} JSON Deserializer Java Class class DateTimeInput{ String dateformat; String timezone; } Application Logic 200 OK HTTP/1.1Server: API Host
Content-Type:application/json {”dateformat”:”standard”, “timezone”:”ja-jp”, ”date”,”2018/01/02 15:25:00”} Oracle WebLogic, Jakson などに内蔵
クラウド型ウェブセキュリティサービスによる多層防御の例
Kona Site Defender
Client ReputationAWS/
Other
Cloud
Network List ControlRate WAF Rule Custom Rule ScoringData
PaaS基盤
On premise
Fast DNSDDoS対策 Web Application Firewall
攻撃者 Bot Manager ボットアク セス
クリーントラフィック
一般ユーザ DNSの防御© 2019 Akamai | Public
Akamai WAF導入:お客様のきっかけと選択の理由例
国内業者に委託してアプライアンス型WAFを運 用していたが誤検知が多かった。DDoSやトラ フィックの集中対策も考えるとCDN型か? • 世界の有名企業が利用するWAFルールと支援サービス • DDoS対策だけでなく正常時のパフォーマンスも改善 • 高トラフィック時はエッジサーバー台数が動的に増加 親しい仲間に聞いて回ったところ、サービスの 安定度、CDNの品質の高さでアカマイが抜群 • 提供しているサービスは絶対落とせない • そもそも不安定なプラットフォームは使えない 検知用のモジュールをウェブサーバに入れるタ イプのクラウドWAFでは何が起きるか不安。 • DNSの設定変更だけで済み、ウェブサーバーの構成変更をしなくてよいCDN型はベストの選択 アプライアンスWAFの保守費用など 隠れたTCOを考えると高くはない 会社合併や吸収があっても、サイト追加が簡単で、同レベルの保護ができる WAFのルール設定などの運用を任せ られるサービスの充実度が魅力 不正なアクセスをDDoS防御、WAFでまとめてブロックできるのがいい 導入検討時 アカマイ WAF 導入後セキュリティ・ソリューションに対するアナリストの評価
IDC社の評価「Akamai は最も強力、かつ幅広いエッジセキュリティを提供してきた」
—Source: IDC, Akamai: Cloud Content Delivery and Security Services Vendor Profile, #EMEA44060518, July 2018
GartnerのMagic Quadrant for WAFで
リーダー
に位置付けられる
(Research note G00340592, August 2018)
Forresterの複数のレポートで
リーダー
との評価:
–
The Forrester Wave™: Web Application Firewalls, Q2 2018
–
The Forrester Wave™: DDoS Mitigation Solutions, Q4 2017
–
The Forrester New Wave™: Bot Management, Q3 2018
Frost & Sullivanの
マーケット・リーダーシップ
受賞:
–
2018 Global Holistic Web Protection
© 2019 Akamai | Public
無償トライアルによる脅威の可視化についても まずは、お気軽にご相談ください