この12か月の間に、インターネットセキュリティの状況は劇的な変化を遂げています。2024年は地政学的な不確実性と世界中の多くの国で活発な投票シーズンが相まって、インターネットを介した悪意のあるトラフィック活動が大幅に増加しました。このレポートでは、インターネットアプリケーションのセキュリティについて、Cloudflareの視点から紹介します。
このレポートは、当社が発行するアプリケーションセキュリティレポートの第4版であり、2023年第2四半期のレポートを正式に更新したものです。このレポートでは新たに、Webアプリケーションのコンテキストにおけるクライアントサイドのセキュリティに焦点を当てたセクションが追加されています。
このレポートでは、全体を通してさまざまな洞察について議論します。世界的な観点から見ると、ネットワーク全体で軽減されたトラフィックの量は平均7%にのぼり、WAFとボット軽減対策がその半分以上に貢献しています。依然としてDDoS攻撃がWebアプリケーションに対して最もよく使われる攻撃ベクトルであることに変わりはありませんが、概念実証のリリースからわずか22分でエクスプロイトが確認されていることから、標的型CVE攻撃も注視すべき存在です。
ボットに焦点を当てると、当社が観察したすべてのトラフィックの約3分の1は自動化されたものであり、そのうちの大部分(93%)はCloudflareの検証済みリストにあるボットによって生成されたものではない、潜在的に悪意のあるものです。
また、APIトラフィックも増加の一途を辿り、現在では全トラフィックの60%を占めています。さらに懸念されるのは、組織が自社のAPIエンドポイントの4分の1を把握していないことです。
また、クライアント側のセキュリティや、Webアプリケーションにおけるサードパーティ統合の普及にも触れています。Page Shieldのデータによると、企業サイトは平均して47のサードパーティエンドポイントと統合しています。
また、前回のレポート以降、データと洞察を収集する私たちのネットワークが、より大きく、より高速になっていることにも言及しておきます。現在、当社では毎秒平均5,700万HTTPリクエスト(前年比23.9%増)、ピーク時には7,700万リクエスト(前年比22.2%増)を処理しています。DNSの観点から見ると、毎秒3,500万件のDNSクエリー(前年比40%増)を処理しています。これは、当社のインフラストラクチャによって処理された権威DNSとリゾルバDNSのリクエストの合計です。
さらに注目すべき点は、HTTPリクエストのみに焦点を当てると、Cloudflareは2024年第1四半期に1日平均2,090億件(前年比86.6%増)のサイバー脅威をブロックしたことです。これは、昨年の同時期と比較すると大幅な増加となっています。
本題に入る前に、用語を定義しましょう。
定義
このレポート全体を通して、以下の用語を使用します。
**軽減されたトラフィック:**Cloudflareプラットフォームによって「terminating(終了)」アクションが適用されたすべてのHTTP*リクエスト。これには、
BLOCK
、CHALLENGE
、JS_CHALLENGE
、MANAGED_CHALLENGE
のアクションが含まれますが、LOG
、SKIP
、ALLOW
のアクションが適用されたリクエストは含まれません。また、これらを使用したリクエストの割合は比較的少なかったという事実もあります。さらに、CHALLENGE
タイプのアクションに関する計算を改善し、解決されなかったチャレンジのみが軽減されたものとしてカウントされるようにしました。アクションの詳細な説明は、開発者向けドキュメントに記載されています。これは昨年のレポートから変更ありません。ボットトラフィック/自動化されたトラフィック:Cloudflareのボット管理システムによってボットによって生成されたと識別されたHTTP*リクエスト。これには、ボットスコアから1~29の間のリクエストも含まれます。これは、昨年のレポートから変更されていません。
API トラフィック:応答のコンテンツタイプがXMLまたはJSONであるすべてのHTTP*リクエスト。軽減されたリクエストなど、応答のコンテンツタイプが利用できない場合、代わりに同等のAcceptのコンテンツタイプ(ユーザーエージェントによって指定される)が使用されます。この後者の場合、APIトラフィックは完全には考慮されませんが、それでも洞察を得るという目的では優れた情報を提供します。これは昨年のレポートから変更ありません。
特に明記されていない限り、このブログ記事での評価期間は、2023年4月1日~2024年3月31日とします。
最後に、データはCloudflareネットワーク全体のトラフィックを観察して算出されたもので、必ずしもインターネット全体のHTTPトラフィックパターンすべてが反映されているわけではないことにご留意ください。
*HTTPトラフィックに言及する場合は、HTTPとHTTPSの両方を指します。
グローバルトラフィックのインサイト
軽減された1日の平均トラフィックは7%近くに増加
前の12か月間と比較すると、Cloudflareは、2023年第2四半期から2024年第1四半期の間にアプリケーション層トラフィックとアプリケーション層(L7)へのDDoS攻撃のかなりの割合を軽減しました(6%から6.8%に増加)。
図1過去12か月で増加した軽減されたHTTPトラフィックの割合
世界的な大規模な攻撃イベント中には、全HTTPトラフィックの12%にまで達する軽減されたトラフィックの急増が見て取れます。これは、当社のネットワーク全体でこれまでに観測されたよりもはるかに大きな急増です。
軽減されたトラフィック全体のうち、WAFとボット軽減対策によるものが53.9%を占めた
Cloudflareプラットフォームは潜在的に悪意のあるトラフィックを識別するために追加のシグナルを公開し続けており、お客様はWAFカスタムルールにこれらのシグナルを積極的に使用することでセキュリティ体制の改善に取り組んでいます。シグナルの例には、悪意のあるペイロードを識別するWAF Attack Scoreや、自動化されたトラフィックを識別するボットスコアなどがあります。
WAFとボット軽減対策に次いで、軽減されたトラフィックの2位として「HTTP DDoSルール」が活躍しています。3位と4位にはIP脅威スコアを使用してトラフィックをブロックする「IPレピュテーション」と、単純にIPと国を対象にブロックする「アクセスルール」が続きます。
図2:軽減されたトラフィック(Cloudflare製品グループ別)
概念実証の公開から最短22分でCVEが悪用
Zero-day攻撃(Zero-day脅威とも呼ばれます)は増加を続け、公開されたCVEが武器化されるスピードも高速化しています。2023年には97件のzero-day脆弱性が実際に悪用されました。また、2022年から2023年の間に公開されたCVEは15%増となっています。
お客様に対するCVEの悪用の試みを見ると、Cloudflareが主に発見したのはスキャンアクティビティです。次点でコマンドインジェクション、オンライン上で利用可能なPoCがある脆弱性の悪用の試み(ApacheのCVE-2023-50164およびCVE-2022-33891、ColdfusionのCVE-2023-29298、CVE-2023-38203、CVE-2023-26360、MobileIronのCVE-2023-35082など)を悪用する試みが続きます。
CVEの悪用を試みる活動のこの傾向は、攻撃者は最初に最も簡単な標的を狙い、古い脆弱性に関する活動が継続していることを考えると、いくつかの事例で成功する可能性が高いことが考えられます。
一例として、Cloudflareは概念実証コードが公開されてからわずか22分の3月4日19:45(協定世界時)に、CVE-2024-27198(JetBrains TeamCityの認証バイパス)の悪用の試みを確認しました。
**図3:**JetBrains TeamCityの認証バイパスのタイムライン
多くの場合、公開されたCVEが悪用される速度は、人間がWAFルールを作成したり、攻撃を軽減するためにパッチを作成して展開する速度を上回り、この課題はWAF管理ルールセットを維持する当社の内部セキュリティアナリストチームも同様に抱えています。このことから、人間が記述したシグネチャと機械学習ベースのアプローチを組み合わせて、誤検知の低さと応答速度の最適なバランスを実現しました。
CVEカテゴリーのサブセットに焦点を当てると、特定の脅威アクターによるCVE悪用キャンペーンが明確に見えてきます。たとえば、リモートコード実行(RCE)につながるCVEでフィルタリングすると、2023年末から2024年初頭にかけてApacheとAdobeのインストールを悪用しようとする試みが分かりやすく表れており、今年5月にはCitrixを標的とした注目すべきキャンペーンが見られます。
**図4:**世界におけるコード実行CVEの1日あたりのリクエスト数
他のCVEや特定の攻撃カテゴリに焦点を当てると同様の傾向がはっきりと見えてきます。
依然としてDDoS攻撃がWebアプリケーションに対する最も一般的な攻撃
DDoS攻撃は、Webアプリケーションに対する最も一般的な攻撃タイプであり、考慮された期間で軽減されたアプリケーショントラフィック全体の37.1%を占めています。
**図5:**HTTP DDoS攻撃件数の経時的変化
2024年2月から3月にかけて帯域幅消費型攻撃が大幅に増加しました。これは、攻撃活動の増加に加えて、当社のチームが検出機能を改善・展開した結果でもあります。2024年第1四半期だけで、Cloudflareの自動防御は450万件のユニークなDDoS攻撃を軽減しています。この数値は、2023年にCloudflareが軽減したすべてのDDoS攻撃の32%に相当します。具体的に言うと、アプリケーション層のHTTP DDoS攻撃は、前年比で93%増、前四半期比(QoQ)で51%増となりました。
Cloudflareは、DDoS攻撃のトラフィックを相関させ、イベントの開始時刻や終了時刻、攻撃対象の宛先を見て、ユニークな攻撃を定義しています。
攻撃者がDDoS攻撃を仕掛ける動機は、金銭的利益(身代金)の目的で特定の組織を標的にすることから、ボットネットの能力テスト、政治的理由で機関や国を標的にすることまで、多岐にわたります。一例として、Cloudflareは、2024年3月7日にスウェーデンがNATOに加盟した後、同国におけるDDoS攻撃が466%増加したことを観測しました。これは、フィンランドが2023年にNATOに加盟した際に見られたDDoS攻撃のパターンと酷似しています。また、DDoS攻撃自体の規模も増加しています。
2023年8月、Cloudflareは、これまでに観測されたどの攻撃よりも3倍以上強力な、1秒間あたりのリクエスト数(rps)が2億100万リクエストに達した超帯域幅消費型の「HTTP/2 Rapid Reset」DDoS攻撃を緩和しました。この攻撃で、脅威アクターはHTTP/2をサポートするほぼすべてのサーバーやアプリケーションを機能停止に追い込む可能性があるHTTP/2プロトコルのzero-day脆弱性を悪用しました。このことは、保護されていない組織にとってDDoS攻撃の脆弱性がいかに脅威であるかを浮き彫りにしています。
DDoS攻撃で最も標的とされた分野はゲーミングとギャンブルとなり、インターネットテクノロジー企業とクリプトマイニングがそれに続きます。
**図6:**Cloudflareが確認した最大のHTTP DDoS攻撃(年別)
ボットトラフィックのインサイト
Cloudflareは、ボット検出システムに多額の投資を続けてきました。7月初旬、当社はコンテンツ制作者のために安全なインターネットを維持するためのAIndependenceを宣言し、すべてのAIボットをブロックする全く新しい「簡単なボタン」を提供しました。これは無料プランをご利用のお客様を含め、すべてのお客様にご利用いただけます。
また、CAPTCHAに代わる使いやすくプライバシーを保護するソリューションである「Turnstile」など、他の補完的なシステムでも大きな進展がありました。
これらのシステムや技術は、人間のトラフィックと自動化されたボットトラフィックをより適切に識別し区別するのに役立ちます。
平均して、ボットは全アプリケーショントラフィックの3分の1を占めている
Cloudflareで処理される全アプリケーショントラフィックの31.2%がボットトラフィックです。この割合は過去3年間、ほぼ安定(約30%)しています。
ボットトラフィックという用語はネガティブなイメージが強いかもしれませんが、必ずしも善か悪かで割り切れるものではなく、すべてはその目的によって異なります。カスタマーサービス用のチャットボットや認証された検索エンジンクローラーなど、必要なサービスを実行する「善」のものもあります。しかし、一部のボットはオンライン製品やサービスを誤用するため、ブロックする必要があります。
アプリケーションの所有者によって、何を「悪の」ボットと考えるかについての基準は異なる場合があります。例えば、価格引き下げを狙って競合他社がデプロイしているコンテンツスクレイピングボットをブロックしたい企業があるかもしれませんが、製品やサービスを販売していない企業はコンテンツスクレイピングはそれほど心配しないかもしれません。Cloudflareは、既知の善のボットを「検証済みボット」に分類しています。
私たちが特定したボットの93%が未検証のボットであり、悪意の可能性があるものでした。
未検証のボットは、買い占め、DDoS攻撃を仕掛ける、総当たりパスワード攻撃やクレデンシャルスタッフィングによってアカウントを乗っ取ることを試みるなど、破壊的で有害な目的のために作成されます。検証済みボットとは、検索エンジンクローラーなど、安全であることが確認されたボットであり、Cloudflareは主要な正当なボット事業者の検証を目指しています。検証済みボットの全リストは、ドキュメントでご覧いただけます。
ボットを活用する攻撃者は、大きな金銭的利益を狙える業界に最も焦点を当てます。たとえば、消費者向け製品のWebサイトは、在庫の買い占めや競合による価格のスクレイピング、あるいはある種の裁定取引を狙った自動化アプリケーションの標的となることがよくあります(スニーカーボットなど)。この種の悪用は、標的となる組織に多大な経済的影響を与える可能性があります。
**図8:**ボットトラフィックの1日あたりの割合の中央値が最も高い業種
APIトラフィックのインサイト
消費者やエンドユーザーは、APIが実現する一層ダイナミックなWeb体験、モバイル体験を求めます。APIは、企業により優れたビジネスインテリジェンス、迅速なクラウド展開、新しいAI機能の統合などの競争上の優位性を生み出します。
しかし、APIは、セキュリティで保護する必要があるアプリケーションやデータベースにアクセスするための攻撃対象領域を外部に追加することにより、新たなリスクをもたらします。 その結果、当社が観察する多くの攻撃は、従来のWebインタフェースではなく、まずAPIエンドポイントを標的にしています。
もちろん、セキュリティ上の懸念が追加されても、APIファーストアプリケーションの採用が進まないことはありません。
動的(キャッシュ不可)トラフィックの60%はAPI関連
これは昨年のレポートと比較して2ポイントの増加です。この60%のうち、平均約4%が当社のセキュリティシステムによって軽減されています。
図9:軽減されたAPIトラフィックの割合
1月11日から17日にかけて、トラフィックの割合は約10%増加する大きな急増が見られました。これは、特定の顧客ゾーンが攻撃トラフィックを受け、WAFカスタムルールによって緩和されたためです。
APIトラフィックの軽減元を詳しく調べると、WAFが最も大きな貢献者であることがわかります。標準的な悪意のあるペイロードが、APIエンドポイントと通常のWebアプリケーションの両方に適用できるためです。
図10:API軽減トラフィック(製品グループ別分類)
APIの4分の1が「シャドーAPI」
見えないものを保護することはできません。また、多くの企業では、APIトラフィックを正しく特定できると感じていたとしても、正確なAPIリストの作成ができていません。
既知のAPI呼び出しだけでなく、すべてのHTTPリクエストをスキャンする独自の機械学習モデルを使用し(無視されている可能性のあるAPIトラフィックを特定すると)、企業は既知の数よりも33%以上多い公開APIエンドポイントを持っていることが判明しました。この数値は中央値であり、機械学習に基づく発見と顧客提供のセッション識別子により検出されたAPIエンドポイントの数を比較して算出されたものです。
これは、APIの約4分の1が「シャドーAPI」であり、適切にリスト作成とセキュリティ確保が行われていない可能性を示唆しています。
クライアント側のリスク
ほとんどの企業のWebアプリは、サードパーティプロバイダーからの別のプログラムまたはコード(通常はJavaScriptで記述)に依存しています。サードパーティスクリプトを使用することで、最新のWebアプリ開発が加速し、すべての新しいアプリ機能を社内で構築することなく、企業はより早く機能を市場に出荷することができます。
Cloudflareのクライアントサイドセキュリティ製品であるPage Shieldを使用することで、インターネット上で使用されるサードパーティライブラリの人気度と、それらが組織にもたらすリスクを把握できます。最近、Polyfill.ioのインシデントが10万以上のサイトに影響を与えたことから、これが非常に関連性の高い問題となっています。
企業のアプリケーションは平均47個のサードパーティ製スクリプトを使用
Cloudflareの典型的な企業のお客様は、平均47個のサードパーティ製スクリプト(中央値で20個のサードパーティ製スクリプト)を使用しています。SaaSプロバイダーは数千のサブドメインを持ち、そのすべてがサードパーティ製のスクリプトを使用している可能性があるため、平均は中央値よりもはるかに高くなっています。以下に、Cloudflareのお客様が一般的に利用する上位サードパーティ製スクリプトプロバイダーを一部示します:
Google(タグマネージャー、アナリティクス、広告、翻訳、reCAPTCHA、YouTube)
Meta (Facebook Pixel、Instagram)
Cloudflare(Web Analytics)
jsDelivr
New Relic
Appcues
Microsoft (Clarity、Bing、LinkedIn)
jQuery
WordPress(Web Analytics、ホストされるプラグイン)
Pinterest
UNPKG
TikTok
Hotjar
サードパーティソフトウェアに依存するのは便利ですが、エンドユーザーのブラウザによって直接読み込まれることが多くあります(つまり、クライアント側で読み込まれます)。企業はサードパティ製のセキュリティ対策を直接制御できないため、企業とその顧客はリスクにさらされます。例えば、小売部門では、Verizonの2024年データ漏洩調査報告書によると、全データデータ漏洩の18%がMagecartスタイルの攻撃に起因しています。
企業のアプリケーションは平均50近くのサードパーティに接続
Webサイトにサードパーティ製スクリプトを読み込むとリスクが発生し、そのスクリプトが意図した機能を実行するためにデータを送信する「ホーム呼び出し」を行う場合、そのリスクはさらに高まります。ここでの典型的な例はGoogle Analyticsで、ユーザーがアクションを実行するたびに、Google AnalyticsのスクリプトがGoogleサーバーにデータを送信します。私たちはこれらを接続として識別しています。
各企業のWebサイトは平均して15か所(中央値15か所)のサードパーティの宛先に接続しています。これらの一つひとつの接続は、利用者が気づかないうちに攻撃者によって追加のデータ流出の手段として悪用されることが多く、クライアント側のセキュリティリスクを高める存在となります。
以下に、Cloudflareのお客様が一般的に利用する上位サードパーティ接続を一部示します:
Google (アナリティクス、広告)
Microsoft (Clarity、Bing、LinkedIn)
Meta (Facebook Pixel)
Hotjar
Kaspersky
Sentry
Criteo
tawk.to
OneTrust
New Relic
PayPal
これからのこと
本アプリケーションセキュリティレポートは、PDF形式でも提供されており、提起された多くの懸念点に対処するための追加の推奨事項と、さらなる洞察を掲載しています。
また、私たちのレポートの多くは、Cloudflare Radarで動的なグラフとともに公開されているため、インターネットの状態を最新の状態を手に入れるための最適な情報源となっています。