ペンテストについて考える:新たな脅威から Web アプリケーションを保護するには?

How Continuous Pen Testing Protects Web Apps from Emerging Threats

2023/11/29 BleepingComputer — いつでも、どこからでも、サービスや情報にアクセスしたいという要求が高まるにつれ、Web ベース・アプリケーションへの依存も深まっている。ビジネス戦略から消費者ニーズ、さらにはより広い社会的機能まで、最近では思いつく限りの、あらゆるものに対応するアプリケーションが存在する。しかし、残念なことに、最近の Web アプリケーションは、その性質と遍在性から、ハッカーに狙われやすくなっている。この記事では、脅威アクターが Web アプリを標的にする理由を説明し、最新の Web アプリを保護するための継続的なモニタリングの価値を強調していく。

脅威アクターが Web アプリを狙う理由は?
理由1:複数の依存関係

ハッカーの視点から見た、Web アプリの魅力の1つは、ターゲットにしやすいことである。特に、最新の Web アプリを頻繁にリリースするという、開発モデルを優先する組織であれば、サードパーティ製コンポーネントへの依存度が高まることを、認識しているはずだ。それを考えてみてほしい。

機能が増えるということは、外部ライブラリやフレームワークとの統合が増えるということであり、攻撃対象も増えることになる。ある調査によると、平均的なソフトウェア・アプリケーションは、500 以上のオープン・ソースのライブラリやコンポーネントに依存していることが判明している。

Web アプリの基本的な構造や依存関係を調査するハッカーが、脆弱なコンポーネントを1つ見つければ、そのアプリを侵害するための入口となる可能性がある。

理由2:貴重なデータの誘惑

Web アプリは、貴重なデータの宝庫である。そこから盗み出された機密情報が、ダークウェブで販売され、標的型攻撃で悪用されることも多々ある。最近の調査では、個人を特定できる情報 (PII) を含むアプリの 74% が、なんらかの悪用が可能な深刻な脆弱性を、少なくとも1つは持っていることが判明している。悪質なアクターにとっては、簡単に悪用できるデータが、格好のシナリオを生み出す。

理由3:セキュリティの低い API が糸を引く

API は、現代の Web アプリのエコシステムには欠かせない歯車である。これらのインターフェイスにより、さまざまなアプリやサブコンポーネントが通信を行い、データを共有することが可能になっている。その結果として、エンド・ユーザーにとって、より豊かでダイナミックなエクスペリエンスがもたらされる。

しかし、API の広範な使用と、ともすれば緩いセキュリティにより、Web アプリはサイバー犯罪者にとって魅力的な標的となる。

多発する API セキュリティ欠陥には、安全ではないエンドポイント/暗号の失敗/弱い認証/不十分なレート制限などがある。2023年の調査によると、回答した組織の 92% が、過去1年間に API のセキュリティ問題を経験していることが判明した。

これほど、API にセキュリティ問題が生じるのなら、Web 上で探索する脅威アクターたちが、API に欠陥のあるアプリに目をつけるのも不思議ではない。

Web アプリの侵害による影響

Web アプリに対する攻撃が成功すると、以下のような広範な影響が生じる:

  • 機密情報への不正アクセスによるデータ漏洩:平均的なデータ漏えいの被害額は $4.45 million であり、大半の組織にとって、吸収しやすいというコストではない。風評被害/訴訟に加えて、影響を受けた当事者への補償などもあり、これらのコストがさらに膨らむことも少なくない。

  • 運転免許証の更新や社会支援アプリケーションなどの、重要なサービスが Web ベースで提供されることが多くなっているため、ダウンタイムにより社会的に重要な機能が停止する。

  • マルウェアをユーザーに配布するためのプラットフォームとして、Web アプリが悪用される可能性があるため、攻撃の頻度が高まる。悪意のダウンロードによりマルウェアが配布され、ユーザーの操作を必要とせずにシステムに感染することもある。
Web アプリの継続的な監視が不可欠な理由

ダイナミックに進化しているのは、最新の Web アプリだけではなく、サイバー脅威の手口も同様である。このように刻々と変化する状況を考えると、逐次的なセキュリティ対策だけでは、Web アプリのセキュリティ対策としては不十分である。

今日のセキュリティ評価が、明日には有効でなくなるかもしれない。そのとき限りのペン・テストでは、その直後に出現する脆弱性や、斬新な攻撃手法に対して、安全を担保できない。

ダイナミックな Web アプリのセキュリティ状況を常に把握するために、サービスとしての PTaaS (pen testing as a service) は、セキュリティ・テストへの継続的なオンデマンド・アプローチを提供する。

この種のソリューションでは、リアルタイムかつプロアクティブに脆弱性を特定し、修正することが可能となる。Outpost24 の包括的な PTaaS ソリューションは、手動による侵入テストの深さと精度を、脆弱性スキャンと組み合わせることで、大規模な Web アプリであっても保護できる。

Outpost24 の PTaaS は、アプリケーションの脆弱性を最も正確に把握するものだ。2023年には、このプラットフォームから報告された脆弱性の 20% 以上が、深刻度 Critical/High に分類さ れた。

Web アプリ・セキュリティに対する、Outpost24 独自のアプローチについては、こちらを参照してほしい: 従来のペンテストは最新の AppSec についていけるか?ペン・テスターに聞く

Outpost24 と BleepingComputer のタイアップ記事なのでしょうが、全体を通して Web アプリ/API の問題点が明らかにされています。その意味で、とても有難い情報となります。このところ、追いかけることができていませんが、よろしければ、カテゴリ PenetrationTest も、ご利用ください。