Cloudflareは最近、2024年アプリケーションセキュリティレポートを発表し、多くの懸念に対処するための提言と洞察を提供した。同レポートの主な発見は、地政学的なイベントや投票シーズンによる悪意のあるトラフィックの増加である。
今回で第4版となるアプリケーション・セキュリティ・レポートでは、ウェブ・アプリケーションにおけるクライアント側のセキュリティに焦点を当てた新しいセクションを設けている。Cloudflareの製品担当シニアディレクターであるMichael Tremante氏、CloudflareのデータサイエンティストであるSabina Zejnilovic氏、Cloudflareの製品マーケティングマネージャーであるCatherine Newcomb氏が要約している。
グローバルな観点から見ると、ネットワーク全体で軽減されたトラフィックは現在平均7%であり、WAFとボットの軽減がその半分以上を占めています。DDoS攻撃は依然としてウェブ・アプリケーションに対して使用される最大の攻撃ベクトルですが、標的型CVE攻撃もまた注目に値します。実証コードが公開されてからわずか22分で悪用された事例も見られます。
/filters:no_upscale()/news/2024/07/cloudflare-application-security/en/resources/1unnamed--5--3-1721640125077.png)
Cloudflare製品グループによるトラフィックの軽減。出典:Cloudflareブログ
公開されたCVEの悪用のスピードは、人間がWAFルールを作成するスピードよりも速い場合がある。例えば、CVE-2024-27198(JetBrains TeamCity認証バイパス)の悪用の試みは、実証コードが公開されてからわずか22分後に観測された。
/filters:no_upscale()/news/2024/07/cloudflare-application-security/en/resources/1image8-2-1721640154254.png)
JetBrains TeamCity認証バイパスのタイムライン。出典:Cloudflareブログ
最新の2つのレポートを比較すると、Cloudflareは現在、毎秒5,700万件のHTTPリクエストを処理しており、これは前年比(YoY)で23.9%増加し、ピークは毎秒7,700万リクエストに達し、前年比(YoY)で22.2%増加した。さらに、Cloudflareは、オーソリティティブ・リクエストとリゾルバ・リクエストの両方を含め、毎秒3,500万件のDNSクエリを処理しており、前年比40%増を記録している。アプリケーション・セキュリティ・スペシャリスト、Akira Brand氏はこうコメントしている。
今朝、「アプリケーション・セキュリティ・レポート2024」を楽しく読みました。私の重要な収穫は?ボットです!ボットの93%は検証されておらず、悪意のある可能性があります。これは、アプリケーション上での多くの未知の活動です!
Tremante氏、Zejnilovic氏、Newcomb氏は、検証済みのボットがごく一部である理由を説明し、警告を発している。
アプリケーションの所有者によって、「悪質な」ボットとみなす基準は異なるかもしれません。例えば、競合他社が価格を引き下げるために導入しているコンテンツ・スクレイピング・ボットをブロックしたいと考える組織もあれば、製品やサービスを販売していない組織では、コンテンツ・スクレイピングをそれほど懸念しない場合もあります。
報告書によると、ゼロデイ悪用は増加しており、2023年には97件が悪用され、2022年から2023年にかけて開示されたCVEは15%増加した。Cloudflareは、主にスキャン行為、次いでコマンドインジェクション、Apache、Coldfusion、MobileIronのCVEを含むPoCが利用可能な脆弱性の悪用の試みを観測した。
以前InfoQで報告したように、2023年8月、Cloudflareと他のプロバイダーは、これまでに観測されたどの攻撃よりも3倍大規模なハイパーボリューメトリックHTTP/2ラピッドリセットDDoS攻撃を緩和した。Googleの機械学習SRE、Andrés-Leonardo Martínez-Ortiz氏はこうコメントしている。
2024年Cloudflareアプリケーションセキュリティレポートは、劇的に変化したインターネットセキュリティの状況を明らかにしています。地政学的なイベントや活発な投票シーズンによって悪質なトラフィックが増加しているため、アプリケーション・セキュリティをより詳細に検討する必要があります。
Cloudflareのクライアントサイドセキュリティ製品であるPage Shieldのデータを使用して、著者らはサードパーティライブラリと、InfoQで報告された最近のPolyfill.ioサプライチェーン攻撃など、それらが組織にもたらすリスクを分析している。報告書によると、Cloudflareの典型的な企業顧客は平均47個のサードパーティ製スクリプトを使用しており、中央値は20個である。Google(Tag Manager、Analytics、Ads、Translate、reCAPTCHA、YouTube)、Meta(Facebook Pixel、Instagram)、Cloudflare(Web Analytics)がサードパーティスクリプトプロバイダーの上位を占めている。
レポートの全文は PDF形式およびCloudflare Radar で入手できる。