Cloud Security Solutions - Akamai · •...

© 2019 Akamai | Public

Cloud Security Solutions

2019年1月22日 2019 新春事例セミナー

アカマイテクノロジーズ合同会社プロダクト・マーケティング・マネージャー中西一博


アカマイ・クラウド・セキュリティゼロ・トラスト化したネットワークの脅威をクラウドの『エッジ』で防御

WAF世界の有名サイトを守るWAFがウェブとAPIを狙う攻撃から防御

DDoS緩和大規化、巧妙化するDDoS攻撃をネットワークエッジですばやく超分散緩和

bot管理買い占め、価格調査、不正ログインなどを行う悪性botをふるまい検知＋機械学習で抑止

レピュテーションビッグデータで危険なIPを解析しゼロデイ攻撃からウェブを保護

マルウェア出口対策既存対策で発見できない標的型マルウェアの僅かな動きをDNSで検知


Avoid data theft and downtime by extending the security perimeter outside the data-center and protect from increasing frequency, scale and sophistication of web attacks.

DoS攻撃が与えるインパクトDoS攻撃による悪影響 (回答2項目まで)

ウェブアプリケーション攻撃およびサービス妨害（DoS）攻撃による被害コストの傾向：Ponemon Institute（2018 年 6 月）アジア太平洋地域の企業, 公共IT責任者501名の回答結果

• DDoS被害額• 年間被害額の平均値：114万ドル• うち顧客向けサービス停止が30%• 総合的な悪影響は評判の低下がトップ

単位：1,000 USD

ウェブアプリケーション攻撃と DoS 攻撃による被害コスト



Webアプリケーション攻撃が与えるインパクトウェブアプリケーションを保護すべき理由 (回答2項目まで)

ウェブアプリケーション攻撃およびサービス妨害（DoS）攻撃による被害コストの傾向：Ponemon Institute（2018 年 6 月）アジア太平洋地域の企業, 公共IT責任者501名の回答結果

• Webアプリケーション攻撃被害額• 年間被害額の平均値：244万ドル• 技術・緊急対応コストが37%• 保護すべき理由ではGDPRの影響も

ウェブアプリケーション攻撃と DoS 攻撃による被害コスト

単位：1,000 USD


DDoSの攻撃ボリュームの推移

Bot Manager

Enterprise Application Access

620 Gbps DDoS

80 Gbps DDoS

320 Gbps DDoS

Enterprise Threat Protector

Bot Manager Premier

Prolexic

Site Shield

First cloud WAF Managed WAF

Client Reputation

Kona Site Defender

CSI

KRSAkamai founded

1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018

1.3 Tbps DDoS

1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017

• 金融ISACの報告では、20～30Gbpsが主に観測されている

• 攻撃を成立させるため回線容量の少し上を狙う• 抑止力として1Tbps以上が緩和可能なサービスが必要• 緩和サービスのリソースは共有型のため「もらい事故」に注意

2016年1月 2016年7月 2017年1月 2017年7月 2018年1月 2018年4月1,230 Mbps 965 Mbps 896 Mbps 616 Mbps 782 Mbps 1,287 Mbps

DDoS 攻撃サイズの中央値(Median attack size)の推移：

Source: Akamai SOTI Security Report

by Memcached

by Mirai


買い占め・転売botの実態


事例：イープラス株式会社様Bot Manager Premierで、チケットbotによる買い占め、転売の抑止に成功

©2018 AKAMAI | FASTER FORWARDTM

会社、事業概要

導入前の課題

導入後の効果• 導入直後の先着チケット発売でふるまい検知により

アクセスの９割をbotアクセスと判定し制御に成功• 正規ユーザのアクセスへの影響はゼロ• 「落ちない」アカマイの提供サービスを高く評価

• 会員数1,100万人超、国内最大級のチケット販売サイト「e+（イープラス）」を運営

• コンサート,演劇,映画,娯楽施設等のチケット販売

• botによるチケットの買い占めと転売の防止が課題• 利用者、興行主に転売対策と効果を示す必要あり• CAPTCHA（難読文字によりbot判定）は高度なbot

の自動解析で突破されるため別の対策が必要


CAPTCHA テストの限界

CAPTCHA（キャプチャ）は難読文字を入力することでbotか人間かを判定するしくみ

CAPTCHA導入によるユーザ離脱率は、一般的に10%を越えると言われる

• AIによるクラウド型解読サービスを簡単に自作のbotに組み込める• 1000個あたり、$０.5-$1.5程度の料金。95%の正確性（人間では71%）• 米国では人気チケット150万枚以上の購入で2890万ドルの利益を上げた

• イープラスではBMPによるbot対策後、ログイン画面に残っていたCAPTCHAを排除できた。


認証情報の取得

UsernamePassword

LOGIN

UsernamePassword

LOGIN

買い占め情報取得口座の操作

転売、換金

ダミーアカウント漏えいしたID,パスワード

ボットに指示不正ログイン不正利用、現金化

キー入力

加速度センサー

タッチ＆マウスの動き

機械学習でボットと人を識別

良性／悪性ボットの種類を判別

不正ログインボットを「ふるまい」で検知

定義済＆カスタムルール判定＋ボット自動抽出

高頻度のリクエスト

ボットをアクセスデバイス上の「ふるまい」で識別

ブラウザ、アプリを操作する高度なボットも検出

ボットを「だます」柔軟な応答、制御ボットに対策を気づかせない多彩なアクセス制御

Bot Manager Premier による買い占めボット対策のしくみ


ボットを「だます・いなす」柔軟な管理と制御

① Monitor / Alert② Deny (HTTP 403 応答)③ Silent Deny (HTTP 403 応答無し)④ Delay (1-3秒)応答⑤ Slow (8-10秒)応答⑥ 代替コンテンツ応答⑦ 代替オリジン・リダイレクト⑧ キャッシュからの応答

ボットの識別・可視化

ボットに気づかせない応答

bot を『いなす』柔軟な制御調査ボットの特徴を捉える

対策 (ブロッキング)例1 特定IPをACLでDeny例2 アクセスレート制御例3 CAPTCHAでbot判定

認知迷惑botを使うオペレータがサイト側のブロック策に気付く

対策の回避• レート制限の閾値を超えない頻度

でアクセスするbotを複数用意• AIによるCAPTCHAの解析と突破

いたちごっこ回避策を取ったボットが襲来


回避したbotをアカマイに

連絡

解析と設定追加の提案

追加設定内容をお客様とレビュー

追加設定の適用

ログ監視

ルールの精度を確認

設定チューニングのPDCAを回す～巧妙なボット検知のために

アカマイの専門技術者

サイト管理者

アカマイの専門技術者

Botの特徴など

『検知の網の目を細かくしていく作業』が可能な「仕組み」と「支援サービス」をアカマイが提供


Grow revenue opportunities with fast, personalized web experiences and manage complexity from peak demand, mobile devices and data collection.

導入事例: Bot Manager

導入前の課題:

導入効果:

• 予約に繋がらない大量アクセス• ボット起因の外部予約エンジン課金が大きな負担に

• 自前でのボット対策の限界

• ボットの可視化 (全体の約85%)• 無駄なアクセスの抑制 (61% 減)• 外部予約エンジン利用課金の大幅な削減

• 大量の在庫照会アクセス• セール時のパフォーマンス劣化対策が大きな負担に

• 自前でのボット対策の限界

• 全アクセスの70%におよぶボットアクセスを可視化しオフロード

• ユーザエクスペリエンスが向上• 削減できた運用工数をコアビジネス開発へ投入可能に

*この事例の内容は、2017年5月に開催されたAkamai Security Conference内のセッションで用いられたものです。

楽天市場の主要なページ国際線予約サイト(海外向け)

https://aotg.akamai.com/bot-manager-demo/


不正（成りすまし）ログインbotの実態


頻発する不正ログイン事件

日経新聞：2018/8/14通販通信：2018/6/11Security Next :2018/8/17



ダークウェブで取引される情報系商材の例

• Email アドレスとパスワード: $0.70–$2.30

• 残高保証のないクレジットカード (番号と CVV) : $8

• $2K 残高保証のクレジットカード (番号とCVV) : $20

• $15Kの残高保証の米国銀行口座認証情報 $200-1,000

• PayPal 認証情報: $1.50

• クレジットカードの認証情報 $15-$22

• Weston Union （国際送金サービス）アカウント $6.80


ボットによる不正ログイン業界別数

Akamai プラットフォーム総ログイン試行数： 83億不正なログイン試行：36億回

43%36%

不正ログインの占める割合

82%

2017年11月

Source: Akamai SOTI Q4 2017 Security Report

botに

よる不正ログインが疑われる件数

ログインの

を占める

ログインの

を占める

小売りホテル＆旅行

ハイテクメディア＆娯楽

金融サービス

消費者向けグッズ

その他


毎時 291,101の不正なログインリクエスト

©2018 AKAMAI

Fortune 500 の金融機関のログインページに対するボットからの大量の不正ログイン攻撃

人間によるログイン6,947,896不正ログイン8,502,762

攻撃元IP アドレス10,000+攻撃元AS数4923

ユーザーエージェント数9,999

攻撃元ユーザーエージェント

16.8%14.0%

5.9% 5.4% 5.0% 4.9% 4.8% 4.2% 3.0% 2.2%

VN US BR TH EC RU IN KR JP TW

攻撃元国 Top10

高度に分散した攻撃元IPアドレス

95%ボットからの全リクエストのうちSAMSUNGのスマホGalaxy SM-G531H が利用された割合

0.7%攻撃数トップのIPアドレスの占める割合

Bot Manager でボット対策を開始

大量の不正ログイン攻撃は収束

正常なリクエストは毎時 105,975

金融機関へのリスト型攻撃例ボリューム型

最多はベトナム


正規のログインリクエスト：毎時 46,057回

不正ログインリクエスト：毎時 8,723回不正ログインリクエスト：毎時 797回

金融機関へのリスト型攻撃例 Low&Slow型

北米の大手信用組合が受けた不正ログイン攻撃• botログインが正規ログインの1.7%と少ない• 検知回避のためゆっくりだが30万回以上試行• 最新の検知技術なしには人間と区別できない

人間によるログイン4,251,661不正ログイン312,178

攻撃元IP アドレス19,992+攻撃元AS数1743

ユーザーエージェント数4,382

アクセスレートによる検知を避ける作りこみがされたボット


悪性botが引き起こす様々な問題

セールの目玉商品や限定商品が瞬時に買い占められて高額転売される！

小売り、各種ECサイトでは…

サイトがコピーされ許可なく商品を再販するサイトが作られていた！

各種オンライン金融サービスでは…大量の成りすましログインの発生で顧客の口座情報が流出してしまう！

FinTech企業からの高頻度アクセスでサービスのレスポンスが低下！

その他の一般的なウェブサイトでも…

ウェブ問い合わせフォームを悪用し顧客担に毎日大量のスパムが！

アカウントが大量作成され入会特典ポイントを不正取得された！


企業の問い合わせフォームへのbot攻撃（業務妨害）

企業のホームページ

あ

氏名

会社名

E-Mail

お問い合わせ内容

迷惑ダミ男

迷惑商事

意味不明の文面SafdksajlkxsldfkasXXXSaokrj masldkpo-w

[email protected]

お問い合わせフォーム

botのプログラムで生成されたダミーの問い合わせ内容をホームページの

「問い合わせフォーム」から大量にポスト

攻撃者

1日数万通のメールが各部門の問い合わせ担当者に送付され

仕事にならない！

アジア諸国など

• 社外からのスパムメールは対処しているが、問い合わせフォームからのメールは検査できない• 大量の迷惑メールの中に埋もれた、本来の問いあわせメールを探すのは難しい

課題

bot

Bot Managerによるボットからの投稿検知


Webアプリケーション攻撃の注目すべき傾向


終わらないクレジットカード情報の漏えいと不正利用2018/12/05手芸材料の通販サイト「ZOWHOW」が脆弱性をつかれ顧客のクレジットカード情報397件が流出

2018/08/03海外の排卵検査薬や妊娠検査薬を取り扱う通信販売サイト「こうのとり検査薬.NET」が不正アクセスを受け。セキュリティコードを含むクレジットカードなどの情報最大1万1314件の顧客情報が流出した

2018/08/02アサヒ軽金属工業が運営するオンラインショッピングサイトが不正アクセスを受け顧客のクレジットカード情報最大7万7198件が流出し、一部が不正利用されたと見られる



ダークウェブで取引される情報系商材の例

• Email アドレスとパスワード: $0.70–$2.30

• 残高保証のないクレジットカード (番号と CVV) : $8

• $2K 残高保証のクレジットカード (番号とCVV) : $20

• $15Kの残高保証の米国銀行口座認証情報 $200-1,000

• PayPal 認証情報: $1.50

• Weston Union （国際送金サービス）アカウント $6.80


行政によるクレジットカード情報保護のうごき改正割賦販売法の施行（２０１８年６月）カード加盟店のカード情報保護対策を義務化

方針（カード情報）非保持化 PCI DSS準拠概要決済代行事業者に決済処理を委託する方式。

「トークン方式」「リンク方式」があるグローバルな統一基準でカード会員データを取り扱う情報システム全体を保護

長所 • カード情報を自社サイトで保持しないため、保護を外部まかせにできる

• 比較的低コストで導入できる

PCI DSSに準拠することで、カード情報だけでなくその他の顧客情報も保護できる

短所 • 決済代行事業者が狙われて攻撃されるとカード情報が漏えいする

• カード情報以外の個人情報はこの仕組みだけでは保護されない

PCI DSS準拠のため自社によるセキュリティシステムの改修、運用、継続的な検証が必要

中小の多くのECサイトが“暫定策”の「非保持化」を選択したが…


「非保持化」対応済みサイトを狙った巧妙な攻撃の出現

2018/10/11聖教新聞社が運営する通販サイト「SOKAオンラインストア」から2,481件のクレジットカード情報が漏洩

2018/10/25今治タオルの通販サイト「伊織ネットショップ」が不正アクセスで改ざんされ、顧客のカード情報が詐取された可能性がある

クレジットカード決済画面に進みます

決済処理に進む

ECサイトのWebサーバー

結局、自社のWebサーバー自体をしっかり守る必要がある

ご利用カード情報を入力

決済する

カード番号有効期限名義セキュリティーコード

Webサーバを改ざんして用意した本物そっくりの偽決済画面

バレぬよう正規の画面へ

入力情報を盗み出す

攻撃改ざん

決済エラー

再入力

カード情報に誤りがあります

ご利用カード情報を入力

決済する

カード番号有効期限名義セキュリティーコード

非保持化で外部処理に

飛ばすはずが..

決済代行事業者サイト


2018年相次ぐウェブからの情報漏えい

2018年4月前橋市教育委員会の公開ウェブサーバーが不正攻撃を受けこのサーバー経由でネットワークに侵入され、在籍児童の個人情報、給食費徴収用の口座番号約4万8千件が流出

主な原因は業者によるファイアウォール設定の不備とサーバーの更新不備と発表されたが…

Source: 産経ニュース 2018.6.26


「ウェブの改ざんだけ」で済まない～公開ウェブが踏み台に

脆弱性のある関連会社AのWebサーバ

ページ改ざん

攻撃者

細工したHTTPによる攻撃

マルウェア配置サイト

会社Aの社員

自社のページにアクセスと自動で誘導

• 現在のWeb改ざんは、書き換えらた箇所が一目でわからない• 『見えないリンク』を裏で仕込まれて、マルウェア侵入の踏み台に• セキュリティの弱そうな組織のウェブを踏み台にして本丸に侵入

標的型マルウェアの『見るだけダウンロード』

A社員の名前で本社に危険な標的型メールを送信


WAF（Web Application Firewall）の役割とは？

ネットワーク

OS

Webサーバソフト

Webアプリケーション

ファイアウォール IDS/IPS WAF

DB

顧客情報などの機密データ

公開ウェブ上の機密情報を狙う攻撃はファイアウォール、IPSを通り抜ける！

WebサーバプログラムやOSの脆弱性を狙う攻撃

利用ポートスキャンによる調査など

Web上の情報は、ホスティング事業者が用意するFirewall、IPSでは守れない

Web アプリケーション攻撃- SQLインジェクションなど

DoS, DDoS （利用不能攻撃）- 大量の通信でウェブを使用不能に

攻撃者


『超分散』クラウドでWebサイトへのサイバー攻撃攻撃を対策

お客様のデータセンター

お客様のWebサーバー(パブリッククラウドにも対応）

72Tbpsを配信可能な世界で24万台以上配置されたエッジサーバー

一般ユーザ

ボットネット上の攻撃元

Prolexic Fast DNS

DDoSからネットワークとデータセンターを包括的に保護

Prolexic強固な可用性を備えたクラウド型

権威DNSサービス

Fast DNS

重要なビジネスを担うウェブサイトをサイバー攻撃から包括的に防御

ビッグデータ分析で危険なIPを格付けしWeb攻撃を未然に防止

Client Reputation

価格調査、買占め、不正ログインなどのボットを見分け働きを停止

Bot Manager

ビッグデータ解析

Kona Site Defender –WAF, DDoS対策最も一般的なウェブへのサイバー攻撃に

簡単に防御を展開

Web Application Protector–WAF, DDoS対策

1日平均 3000億のDNSクエリー、20TBの攻撃データを分析

Thread Intelligence



各エッジサーバー上のクラウド型WAFでWeb攻撃を多層防御エッジサーバによる分散防御

24万台以上のエッジサーバで大規模DDoSを分散緩和

ジオ・ブロッキングアカマイの高精度な地域別IPマップでアクセス元を制限

WAFルールにより脆弱性攻撃を防御世界の政府機関、有名企業を守る高精度のWAFルール

アダプティブ・レートコントロールオリジンサーバーへのレートを柔軟に制御し過負荷を回避

クライアントレピュテーションビッグデータ解析で危険度の高いIPからの通信を遮断

APIプロテクションAPIサーバ内で対処不可能な攻撃をクラウドで防御


アカマイのゼロデイ攻撃対策の効果 Struts2 脆弱性攻撃への対応

©2018 AKAMAI | FASTER FORWARDTM

レピュテーション（リスク）スコア

05

10

中国で大規模攻撃キャンペーン「Bleeding Thunder」が開始

（日本含む1.3万サイトが標的リスト化）

8/25

IPアドレスA（香港）のリスクスコアが「10」（最も危険）に急上昇

クライアントレピュテーション(CR)

0

8/17

Apache開発者が脆弱性を公開CVE-2018-11776

8/22

IPアドレスAからのStruts2攻撃を観測

57社に攻撃を試行

8/24

CR利用のお客様は、脆弱性公開前から攻撃を自動でブロックできていた！

アカマイの誇る2ペタバイトのビッグデータ分析で危険なIPのアクセスをブロック

Struts2脆弱性攻撃を含め


APIへの攻撃被害例と対策


APIの脆弱性をついた大型情報漏えい事件の増加2018年9月フェイスブックから５千万人以上のログイン情報が流出した。「View As」機能に脆弱性があり、５千万人以上のログイントークンが盗まれた。多数のAPIを利用した巨大システムを構築しているFacebookのシステムに潜んでいたバグを利用したと言われている

2017年3月マクドナルド（インド）のウェブサイト220万人分のユーザーの情報が盗まれた事件が発生。APIの認証完了後、認証したユーザーの情報だけではなく他のユーザーの情報にもアクセス可能になる脆弱性がアプリケーションに存在し攻撃に利用された。

Source: 朝日新聞, BANK INFO Security


HEMS

IoT

自動車

B2Cモバイルアプリ

インターネット

製造

ビジネスパートナー向けAPI

Web Page

データベースAPI

Webアプリケーションサーバ

WebAPIの利用例：• スマホアプリから、企業の提供するサービスにログイン• Fintech企業が情報取得のため金融機関の提供するAPIを利用• コネクテッドカーが集めた情報をAPIサーバーに送信

新たな盲点、WebベースのAPIの保護

• SQLi,XSSなど既知のWeb攻撃• API特有の脆弱性を突く攻撃• APIを狙うDDoS攻撃

Akamai KSDで防御


API Security

ポジティブセキュリティ(ホワイトリスト型) DDoS の緩和ネガティブセキュリティ

(WAF, ブラックリスト型)

入力値のチェックなど『デシリアライズ攻撃』など

WebAPI特有の攻撃に対応

一般のWebアプリケーション攻撃と同様の対策

SQLi, XSS, CMDi 等の防止

レイヤ７ DDoS の防御.

多くのリソースを消費するAPIへのDDoSを緩和

Web API のセキュリティ戦略詳しくはZDNET連載記事で！

APIセキュリティ入門


シリアリゼーションとデシリアライゼーション• APIコンテキスト内でのデシリアリゼーションは、JSONまたはXMLを実際のアプリケーショオブジェクト

に変換するプロセス。（シリアリゼーションはその逆）• デシリアリゼーションは、アプリケーションロジックが起動する前に起動する処理です

API Server

APIClient

POST /api/v1/getdatetime HTTP/1.1HOST: apiserver.comUser-Agent: API-ClientContent-Type:application/json

{”dateformat”:”standard”,“timezone”:”ja-jp”}

JSON Input{”dateformat”:”standard”,“timezone”:”ja-jp”}

JSONDeserializer

Java Classclass DateTimeInput{

String dateformat;String timezone;

}

Application Logic

200 OK HTTP/1.1Server: API HostContent-Type:application/json

{”dateformat”:”standard”,“timezone”:”ja-jp”,”date”,”2018/01/02 15:25:00”}

Oracle WebLogic,Jakson などに内蔵


クラウド型ウェブセキュリティサービスによる多層防御の例

Kona Site Defender Client Reputation

AWS/Other Cloud

Network List Rate Control WAF Rule Custom

RuleScoring

Data

PaaS基盤On premise

Fast DNS

DDoS対策 Web Application Firewall

攻撃者

BotManager

ボットアクセス

クリーントラフィック一般ユーザ

DNSの防御


Akamai WAF導入：お客様のきっかけと選択の理由例

国内業者に委託してアプライアンス型WAFを運用していたが誤検知が多かった。DDoSやトラフィックの集中対策も考えるとCDN型か？

• 世界の有名企業が利用するWAFルールと支援サービス• DDoS対策だけでなく正常時のパフォーマンスも改善• 高トラフィック時はエッジサーバー台数が動的に増加

親しい仲間に聞いて回ったところ、サービスの安定度、CDNの品質の高さでアカマイが抜群

• 提供しているサービスは絶対落とせない• そもそも不安定なプラットフォームは使えない

検知用のモジュールをウェブサーバに入れるタイプのクラウドWAFでは何が起きるか不安。

• DNSの設定変更だけで済み、ウェブサーバーの構成変更をしなくてよいCDN型はベストの選択

アプライアンスWAFの保守費用など隠れたTCOを考えると高くはない

会社合併や吸収があっても、サイト追加が簡単で、同レベルの保護ができる

WAFのルール設定などの運用を任せられるサービスの充実度が魅力

不正なアクセスをDDoS防御、WAFでまとめてブロックできるのがいい

導入検討時

アカマイWAF導入後


セキュリティ･ソリューションに対するアナリストの評価

IDC社の評価「Akamai は最も強力、かつ幅広いエッジセキュリティを提供してきた」—Source: IDC, Akamai: Cloud Content Delivery and Security Services Vendor Profile, #EMEA44060518, July 2018

GartnerのMagic Quadrant for WAFでリーダーに位置付けられる(Research note G00340592, August 2018)

Forresterの複数のレポートでリーダーとの評価:– The Forrester Wave™: Web Application Firewalls, Q2 2018– The Forrester Wave™: DDoS Mitigation Solutions, Q4 2017– The Forrester New Wave™: Bot Management, Q3 2018

Frost & Sullivanのマーケット･リーダーシップ受賞:– 2018 Global Holistic Web Protection– 2018 Global Bot Risk Management


無償トライアルによる脅威の可視化についてもまずは、お気軽にご相談ください

Cloud Security Solutions - Akamai · •...

Documents

Transcript of Cloud Security Solutions - Akamai · •...