Cloudflare、最新の「アプリケーションセキュリティレポート」を発表
2024年7月9日(火)11時16分 PR TIMES
ゼロデイ脆弱性を狙う最新の脅威やインターネット史上最大のDDoS攻撃、サプライチェーン攻撃の増加が明らかに
(2024年 6月25日 太平洋標準時6:00本国発表)
誰もが接続しやすいコネクティビティクラウドのリーディングカンパニーであるCloudflare(クラウドフレア)は、本日、「アプリケーションセキュリティレポート(2024年版)」を発表しました。本レポートでは、Webサイト運用のために現在、最も広範に利用されているアプリケーション技術に依存することで生じるリスクへの対応に、企業・組織のセキュリティチームが苦慮していることが明らかになりました。加えて、ソフトウェアのサプライチェーンにおける問題や、増加するDDoS(分散型サービス妨害)攻撃、悪意のあるボットなどに起因するサイバー脅威量が、アプリケーション・セキュリティのためのチームのリソースを大きく上回っていることも浮かび上がってきました。
[画像1: https://prtimes.jp/i/61678/71/resize/d61678-71-8cb624a69302fb87fe7c-0.png ]
今日のデジタル社会は、WebアプリケーションとAPIによって機能しています。これらの技術によって、eコマースサイトでの決済や医療システムでの患者データの安全な共有、日常的なスマートフォンでの操作や処理などが支えられています。しかし、これらのアプリケーションへの依存度が高まるほど、サイバー脅威の攻撃範囲も拡大します。この攻撃対象領域は、生成AIの応用などの最新技術を迅速に適用したいという開発者の思いによってさらに拡大してしまいます。保護が不十分なために攻撃者に悪用されてしまったアプリケーションは、ビジネスの中断や経済的損失、重要インフラの崩壊を招く可能性もあります。
Cloudflareの共同創設者兼最高経営責任者(CEO)であるマシュー・プリンス(Matthew Prince)は、「Webアプリケーションは、セキュリティをほとんど考慮せず構築されています。しかし、私たちの社会は、それらをありとあらゆる重要な機能に使用しているため、ハッカーたちの格好の標的になっています。Cloudflareのネットワークは、毎日平均2,090億件のサイバー脅威をブロックしています。アプリケーションを保護するセキュリティレイヤーは、現代のインターネットが安全であるための最も重要な要素のひとつになっているのです」と述べています。
Cloudflareの「アプリケーションセキュリティレポート(2024年版)」の主な調査結果は以下の通りです。
件数・規模ともに増加の一途をたどるDDoS攻撃
DDoS攻撃は依然として、WebアプリケーションやAPIを標的とするために最も悪用されている脅威ベクトルであり、Cloudflareが軽減した全アプリケーショントラフィックの37.1%を占めています。その中でも最も標的とされた業界は、ゲームおよびギャンブル、IT・インターネット、暗号資産、ソフトウェア、マーケティング・広告でした。
パッチの適用が先か、悪用が先か、攻撃者との攻防が加速
Cloudflareは、新たなゼロデイ脆弱性の悪用を迅速に検知していますが、その内のひとつは、概念実証(PoC)が公開されてからからわずか22分後に攻撃が発生しました。
悪質なボットを放置することで誘引される大規模な混乱
Cloudflare上のトラフィックの約3分の1(31.2%)がボットによるもので、その内の大部分(93%)が未検証で潜在的な悪意を持つものでした。これらのボットが最も標的にした業界は、製造業および消費財、暗号資産、セキュリティおよび調査関連、そして米国連邦政府でした。
組織が使用する時代遅れのAPI保護
今日のほとんどのAPIトラフィック対策には、「ほとんどのWebトラフィックは良性である」という仮定に基づいた「ネガティブセキュリティモデル」のWebアプリケーションファイアウォール(WAF)ルールが使用されています。APIセキュリティのベストプラクティス、すなわち、許可するトラフィックを厳格に定義し、それ以外のトラフィックを拒否する「ポジティブセキュリティモデル」を使用している企業・組織はごく僅かです。
サードパーティソフトウェアへの依存がもたらすリスク増大
Webサイトの効率化とパフォーマンス向上のため、企業・組織は平均47.1個のサードパーティプロバイダーからのコードを使用し、平均49.6個のサードパーティリソースにアウトバウンド接続をおこなっています(具体的には、Google Analyticsや広告など。)Web開発の大部分が、このようにサードパーティのコードやアクティビティをユーザーのブラウザに読み込ませるようにシフトしているため、企業はますますサプライチェーンリスクや責任、コンプライアンスに関する問題にさらされています。
調査方法
本レポートは、Cloudflareのグローバルネットワーク上のトラフィックパターン(2023年 4月 1日〜2024年 3月31日に観測されたデータ)を集計したものです。これらのデータと、Cloudflareのネットワークの脅威インテリジェンスは、サードパーティのソースによって補完されています。Cloudflareは、本データの収集期間中、WebアプリケーションおよびAPIトラフィックの6.8%を軽減しました。軽減されたトラフィックとは、Cloudflareによってブロックされた、または何らかの試みが実行されたトラフィックと定義しています。具体的な脅威の種類と関連する軽減手法は、アプリケーションの潜在的なセキュリティギャップ、被害を受けた企業・組織の事業上の性質、攻撃者の目的などの多くの要因によって異なります。
Cloudflareの「アプリケーションセキュリティレポート(2024年版)」の詳細は、以下のリソースをご覧ください。
2024年アプリケーションセキュリティトレンドレポート
https://www.cloudflare.com/ja-jp/2024-application-security-trends/
アプリケーションと安全性
https://www.cloudflare.com/ja-jp/application-services/
[画像2: https://prtimes.jp/i/61678/71/resize/d61678-71-7473d1f21f1409435df2-0.png ]
Cloudflare(クラウドフレア)について
Cloudflare, Inc.(NYSE:NET / https://www.cloudflare.com/ja-jp/ )は、より良いインターネットの構築の支援を使命に掲げる、誰もが接続しやすいコネクティビティクラウドのリーディングカンパニーです。Cloudflareのコネクティビティクラウドは、世界中のあらゆる組織や個人、アプリケーション、ネットワークを高速かつ安全にするとともに、複雑性やコストの削減を実現する、フル機能かつ統一された業界最先端のクラウドネイティブ製品と開発者ツールプラットフォームを提供しています。
世界最大規模かつ最も相互接続されているネットワークのひとつであるCloudflareは、日々何十億もの脅威をオンラインでブロックしており、大企業からスタートアップ、中小企業、非営利団体、人道支援団体、政府機関まで、世界中の何百万もの組織から信頼されています。
Cloudflareのコネクティビティクラウドの詳細については https://www.cloudflare.com/ja-jp/connectivity-cloud/ 、インターネットの最新トレンドとインサイトについては https://radar.cloudflare.com をご覧ください。
Follow us:
Blog https://blog.cloudflare.com/
X https://twitter.com/cloudflare
LinkedIn https://www.linkedin.com/company/cloudflare/
Facebook https://www.facebook.com/Cloudflare/
Instagram https://www.instagram.com/cloudflare
将来予想に関する記述
本プレスリリースには、将来予想に関する記述(1933年米国証券法第27A条および1934年米国証券取引所法21E条(いずれもその後の改正を含む)に該当)があり、それらには重大なリスクおよび不確定要因が含まれています。将来予想に関する記述は、「場合があります」、「つもりです、するでしょう」、「はずです」、「見込まれます」、「可能性を探ります」、「する計画です」、「予想します」、「かもしれません」、「意図しています」、「目標とします」、「見積ります」、「検討します」、「考えます」、「推測します」、「予測します」、「潜在的」、「引き続き」、またはそれらの否定表現、あるいはCloudflareの予想、戦略、計画、または意図に関わるその他同様の用語もしくは表現によって識別することができます。しかし、すべての将来予想に関する記述にこうした語句が含まれているわけではありません。本プレスリリースにて明示または黙示されている将来予想に関する記述には、Cloudflareの製品と技術、Cloudflareの技術開発、将来の事業展開、成長、イニシアチブ、戦略、今後の市場リスクと市場動向、CEOのコメントに関する記述を含みますが、それらに限定はされません。Cloudflareが2024年5月2日に米国証券取引委員会(SEC)に提出したCloudflareの四半期報告書(フォーム10-Q)やCloudflareがSECに随時提出するその他の文書で詳説するリスク(ただしこれらに限定はされない)をはじめ、さまざまな要因によって、上記の将来予想に関する記述で明示または黙示した結果と実際の結果との間に重大な相違が生じる可能性があります。
本プレスリリースに含まれる将来予想に関する記述は、あくまで記述当日現在の事象についてのみ言及しています。Cloudflareは、法律で義務付けられた場合を除き、本プレスリリースの日付以降の事象や状況を反映するために、あるいは新しい情報や予期しない事象の発生を反映するために、将来予想に関する記述を更新する義務を負いません。Cloudflareが将来予想に関する記述で開示した計画、意図、予想は実際に実行・達成されない場合があるため、Cloudflareの将来予想に関する記述に過剰に依存すべきではありません。
(C) 2024 Cloudflare, Inc. All rights reserved. Cloudflare、Cloudflareのロゴ、およびその他のCloudflareのマークは、米国およびその他の法域におけるCloudflare, Inc. の商標や登録商標です。本書に記載されているその他の商標および名称は、各所有者の商標である可能性があります。
(2024年 6月25日 太平洋標準時6:00本国発表)
誰もが接続しやすいコネクティビティクラウドのリーディングカンパニーであるCloudflare(クラウドフレア)は、本日、「アプリケーションセキュリティレポート(2024年版)」を発表しました。本レポートでは、Webサイト運用のために現在、最も広範に利用されているアプリケーション技術に依存することで生じるリスクへの対応に、企業・組織のセキュリティチームが苦慮していることが明らかになりました。加えて、ソフトウェアのサプライチェーンにおける問題や、増加するDDoS(分散型サービス妨害)攻撃、悪意のあるボットなどに起因するサイバー脅威量が、アプリケーション・セキュリティのためのチームのリソースを大きく上回っていることも浮かび上がってきました。
[画像1: https://prtimes.jp/i/61678/71/resize/d61678-71-8cb624a69302fb87fe7c-0.png ]
今日のデジタル社会は、WebアプリケーションとAPIによって機能しています。これらの技術によって、eコマースサイトでの決済や医療システムでの患者データの安全な共有、日常的なスマートフォンでの操作や処理などが支えられています。しかし、これらのアプリケーションへの依存度が高まるほど、サイバー脅威の攻撃範囲も拡大します。この攻撃対象領域は、生成AIの応用などの最新技術を迅速に適用したいという開発者の思いによってさらに拡大してしまいます。保護が不十分なために攻撃者に悪用されてしまったアプリケーションは、ビジネスの中断や経済的損失、重要インフラの崩壊を招く可能性もあります。
Cloudflareの共同創設者兼最高経営責任者(CEO)であるマシュー・プリンス(Matthew Prince)は、「Webアプリケーションは、セキュリティをほとんど考慮せず構築されています。しかし、私たちの社会は、それらをありとあらゆる重要な機能に使用しているため、ハッカーたちの格好の標的になっています。Cloudflareのネットワークは、毎日平均2,090億件のサイバー脅威をブロックしています。アプリケーションを保護するセキュリティレイヤーは、現代のインターネットが安全であるための最も重要な要素のひとつになっているのです」と述べています。
Cloudflareの「アプリケーションセキュリティレポート(2024年版)」の主な調査結果は以下の通りです。
件数・規模ともに増加の一途をたどるDDoS攻撃
DDoS攻撃は依然として、WebアプリケーションやAPIを標的とするために最も悪用されている脅威ベクトルであり、Cloudflareが軽減した全アプリケーショントラフィックの37.1%を占めています。その中でも最も標的とされた業界は、ゲームおよびギャンブル、IT・インターネット、暗号資産、ソフトウェア、マーケティング・広告でした。
パッチの適用が先か、悪用が先か、攻撃者との攻防が加速
Cloudflareは、新たなゼロデイ脆弱性の悪用を迅速に検知していますが、その内のひとつは、概念実証(PoC)が公開されてからからわずか22分後に攻撃が発生しました。
悪質なボットを放置することで誘引される大規模な混乱
Cloudflare上のトラフィックの約3分の1(31.2%)がボットによるもので、その内の大部分(93%)が未検証で潜在的な悪意を持つものでした。これらのボットが最も標的にした業界は、製造業および消費財、暗号資産、セキュリティおよび調査関連、そして米国連邦政府でした。
組織が使用する時代遅れのAPI保護
今日のほとんどのAPIトラフィック対策には、「ほとんどのWebトラフィックは良性である」という仮定に基づいた「ネガティブセキュリティモデル」のWebアプリケーションファイアウォール(WAF)ルールが使用されています。APIセキュリティのベストプラクティス、すなわち、許可するトラフィックを厳格に定義し、それ以外のトラフィックを拒否する「ポジティブセキュリティモデル」を使用している企業・組織はごく僅かです。
サードパーティソフトウェアへの依存がもたらすリスク増大
Webサイトの効率化とパフォーマンス向上のため、企業・組織は平均47.1個のサードパーティプロバイダーからのコードを使用し、平均49.6個のサードパーティリソースにアウトバウンド接続をおこなっています(具体的には、Google Analyticsや広告など。)Web開発の大部分が、このようにサードパーティのコードやアクティビティをユーザーのブラウザに読み込ませるようにシフトしているため、企業はますますサプライチェーンリスクや責任、コンプライアンスに関する問題にさらされています。
調査方法
本レポートは、Cloudflareのグローバルネットワーク上のトラフィックパターン(2023年 4月 1日〜2024年 3月31日に観測されたデータ)を集計したものです。これらのデータと、Cloudflareのネットワークの脅威インテリジェンスは、サードパーティのソースによって補完されています。Cloudflareは、本データの収集期間中、WebアプリケーションおよびAPIトラフィックの6.8%を軽減しました。軽減されたトラフィックとは、Cloudflareによってブロックされた、または何らかの試みが実行されたトラフィックと定義しています。具体的な脅威の種類と関連する軽減手法は、アプリケーションの潜在的なセキュリティギャップ、被害を受けた企業・組織の事業上の性質、攻撃者の目的などの多くの要因によって異なります。
Cloudflareの「アプリケーションセキュリティレポート(2024年版)」の詳細は、以下のリソースをご覧ください。
2024年アプリケーションセキュリティトレンドレポート
https://www.cloudflare.com/ja-jp/2024-application-security-trends/
アプリケーションと安全性
https://www.cloudflare.com/ja-jp/application-services/
[画像2: https://prtimes.jp/i/61678/71/resize/d61678-71-7473d1f21f1409435df2-0.png ]
Cloudflare(クラウドフレア)について
Cloudflare, Inc.(NYSE:NET / https://www.cloudflare.com/ja-jp/ )は、より良いインターネットの構築の支援を使命に掲げる、誰もが接続しやすいコネクティビティクラウドのリーディングカンパニーです。Cloudflareのコネクティビティクラウドは、世界中のあらゆる組織や個人、アプリケーション、ネットワークを高速かつ安全にするとともに、複雑性やコストの削減を実現する、フル機能かつ統一された業界最先端のクラウドネイティブ製品と開発者ツールプラットフォームを提供しています。
世界最大規模かつ最も相互接続されているネットワークのひとつであるCloudflareは、日々何十億もの脅威をオンラインでブロックしており、大企業からスタートアップ、中小企業、非営利団体、人道支援団体、政府機関まで、世界中の何百万もの組織から信頼されています。
Cloudflareのコネクティビティクラウドの詳細については https://www.cloudflare.com/ja-jp/connectivity-cloud/ 、インターネットの最新トレンドとインサイトについては https://radar.cloudflare.com をご覧ください。
Follow us:
Blog https://blog.cloudflare.com/
X https://twitter.com/cloudflare
LinkedIn https://www.linkedin.com/company/cloudflare/
Facebook https://www.facebook.com/Cloudflare/
Instagram https://www.instagram.com/cloudflare
将来予想に関する記述
本プレスリリースには、将来予想に関する記述(1933年米国証券法第27A条および1934年米国証券取引所法21E条(いずれもその後の改正を含む)に該当)があり、それらには重大なリスクおよび不確定要因が含まれています。将来予想に関する記述は、「場合があります」、「つもりです、するでしょう」、「はずです」、「見込まれます」、「可能性を探ります」、「する計画です」、「予想します」、「かもしれません」、「意図しています」、「目標とします」、「見積ります」、「検討します」、「考えます」、「推測します」、「予測します」、「潜在的」、「引き続き」、またはそれらの否定表現、あるいはCloudflareの予想、戦略、計画、または意図に関わるその他同様の用語もしくは表現によって識別することができます。しかし、すべての将来予想に関する記述にこうした語句が含まれているわけではありません。本プレスリリースにて明示または黙示されている将来予想に関する記述には、Cloudflareの製品と技術、Cloudflareの技術開発、将来の事業展開、成長、イニシアチブ、戦略、今後の市場リスクと市場動向、CEOのコメントに関する記述を含みますが、それらに限定はされません。Cloudflareが2024年5月2日に米国証券取引委員会(SEC)に提出したCloudflareの四半期報告書(フォーム10-Q)やCloudflareがSECに随時提出するその他の文書で詳説するリスク(ただしこれらに限定はされない)をはじめ、さまざまな要因によって、上記の将来予想に関する記述で明示または黙示した結果と実際の結果との間に重大な相違が生じる可能性があります。
本プレスリリースに含まれる将来予想に関する記述は、あくまで記述当日現在の事象についてのみ言及しています。Cloudflareは、法律で義務付けられた場合を除き、本プレスリリースの日付以降の事象や状況を反映するために、あるいは新しい情報や予期しない事象の発生を反映するために、将来予想に関する記述を更新する義務を負いません。Cloudflareが将来予想に関する記述で開示した計画、意図、予想は実際に実行・達成されない場合があるため、Cloudflareの将来予想に関する記述に過剰に依存すべきではありません。
(C) 2024 Cloudflare, Inc. All rights reserved. Cloudflare、Cloudflareのロゴ、およびその他のCloudflareのマークは、米国およびその他の法域におけるCloudflare, Inc. の商標や登録商標です。本書に記載されているその他の商標および名称は、各所有者の商標である可能性があります。