duolingo-hacked

至るところで活用されているそのAPIは、「API攻撃」から保護されていますか?

近年、APIセキュリティはサイバーセキュリティにおける主な焦点となっています。世界的な調査会社であるガートナー は、APIセキュリティの重要性を認識し、WebアプリケーションおよびAPIセキュリティ(WAAP)と名付けた新しいWebアプリケーションセキュリティモデルを提案しました。APIは、Application Programming Interfaceの略で、一連の定義とプロトコルを使用して2つのソフトウェアコンポーネントが相互に通信できるようにする仕組みです。APIは、一般にデータとサービスへのアクセスを提供するために使用され、開発者は既存のデータと機能を活用して新しいアプリケーションやツールを構築できます。

例えば、新しいフードデリバリーアプリで地元のレストランを表示するために地図が必要な場合、開発者が新しい地図を作成し、レストランのデータをすべて自分で収集するのは非効率的です。代わりに、Googleマップなどの既存のマップAPIを使用して、アプリに必要なデータを取得できます。
APIは、次のような理由から、現代​​のソフトウェア開発に欠かせないものになりつつあります。

 
・相互運用性
APIは、ソフトウェアシステム間の相互運用性を促進し、APIを使用することで異なる開発者によって開発されたアプリケーションやサービスが連携し、データを共有し、統合されたソリューションを提供できるようになります。
・モジュール開発
APIを使用すると、複雑なシステムをより小さく管理しやすいコンポーネントに分割できるため、ソフトウェアの開発、テスト、メンテナンスが容易になります。開発者は特定の機能の構築と更新に集中できます。
・クロスプラットフォーム統合
APIによってクロスプラットフォームの統合が可能になり、アプリケーションが異なるさまざまなデバイスや環境で動作できるようになります。
・データアクセスと共有
APIは、アプリケーション間でデータを交換するための構造化された方法を定義します。通常、形式は JavaScript Object Notation (JSON) または Extensible Markup Language (XML) です。この標準化により、要求するアプリケーションと提供するシステムの両方がデータを簡単に解釈して処理できるようになります。

 
こうしたメリットがあるにもかかわらず、すべてのAPIがセキュリティ対策を講じて構築されているわけではなく、APIを狙った攻撃によりサービスに重大な被害が発生したと報告する組織も増えています。Duolingoもそのひとつで、非常に人気のある言語学習アプリケーションを提供する企業です。2022年第1四半期末までに、Duolingoの月間アクティブ ユーザー数は4,920万人に達したと推定されています。当然ながら、ユーザーデータの量が膨大であるため、Duolingoのユーザーデータベースはハッカーの標的となりました。2023年1月、Duolingoスクレイピングされたユーザーデータ260 万人分が、「Breached」と呼ばれるダークウェブのハッキングフォーラムに掲載されてしまいました。スクレイピングされたデータには、メールアドレス、氏名、ユーザー名、その他のユーザープロフィール情報が含まれていました。

 


出典:FalconFeedsio

 
 
ハッカーは DuolingoのAPIの脆弱性を悪用して、ユーザーデータを入手したと考えられています。DuolingoのAPIは、他の形式の検証を求めることなく、メールアドレスまたはユーザー名のみに基づいてユーザー情報へのアクセスを提供していました。APIには、リクエストが正当なユーザーからのものであることを確認するためのセキュリティ対策を講じていなかったため、ユーザーデータへのアクセスは制限されていませんでした。このインシデントは、OWASP Top 10 APIセキュリティリスクの2つの脆弱性に分類されます。

 
API2:2023 – 認証の不備
API3:2023 – 壊れたオブジェクトのプロパティレベルの認証 (BOLA)

 
APIがハッカーの標的となっているため、APIを含むサービスを提供する組織や企業にとって、APIセキュリティを確立することが重要な課題となっています。市場には、すでに API セキュリティのソリューションが数多く存在していますが、重要な質問は、「どのソリューションが自社の環境に最も適しているか」ということです。

さまざまな目的のAPIが無数に存在するため、APIセキュリティのソリューションもさまざまな方向性とアプローチを取ることができます。例えば、インジェクション攻撃や認証エラーなど、APIの特定の脆弱性に焦点を当てたソリューションもあれば、API検出に重点を置くもの、APIゲートウェイに重点を置くものもあります。どのタイプのソリューションが最適であるかについては、明確な答えはありません。したがって、組織や企業はソリューションを採用する前に、環境とニーズを慎重に評価することが重要です。

 
ペンタセキュリティのAPIセキュリティは、実際のAPI攻撃や脆弱性に焦点を当てたソリューションを構築しています。ペンタセキュリティは、2024年にAWS WAF専用のマネージドルールである「Cloudbric Managed Rules for AWS WAF – API Protection」をリリースしました。このサービスをサブスクライブするだけで、セキュリティベンダーが事前に定義したセキュリティルールを迅速に適用することができます。このAPI Protectionは、AWS WAFユーザーがAPI攻撃を迅速かつ容易に検出してブロックできるソリューションで、OWASP API Security Top 10 Riskの脅威に対するセキュリティを提供します。APIの攻撃と脆弱性に対応するため、API Protectionはペンタセキュリティ独自のサイバー脅威インテリジェンス(CTI)で収集・分析されたAPI攻撃データを活用し、既知のAPI攻撃に対するセキュリティを確立します。また、API ProtectionはXML、JSON、YAMLデータの検証と保護も提供します。API Protectionは、世界的な製品検証機関であるThe Tolly Groupが実施した比較テストによって、AWS Marketplaceで提供されている APIセキュリティルールグループの中で、最も高い検知率を持つことが検証されました。

 

 
 
コスト効率の高い従量課金制で、ユーザーは製品をサブスクライブするだけで、セキュリティの専門知識を必要とせずに強力なAPIセキュリティを実装できます。

 
▼APIを効果的に保護するCloudbric Managed Rules for AWS WAF – API Protection

240912_1200x628_Tolly_graph_JP

Cloudbric Managed Rules for AWS WAF – API Protectionが Tolly Groupの検証で97.31%の攻撃検知率を記録

 

このたび、ペンタセキュリティ株式会社は、アメリカの製品検証機関Tolly Groupによる攻撃の正常検知率の検証を行い、AWS WAF専用のマネージドルールである「Cloudbric Managed Rules for AWS WAF – API Protection」が競合他社製品と比較して優れた検知率(97.31%)を示したことをお知らせします。

 

Cloudbric Managed Rules for AWS WAF – API Protectionは97.31%の検知率

Tolly Groupは、IT製品の第三者試験サービスを提供しているアメリカの独立系検証機関です。1989年の設立以来、これまでに数多くの情報技術に関するテストや検証を実施してきており、その公正さと信頼性を認められてきた世界的なプロバイダーです。

2024年9月13日にTolly Groupが発表したレポートでは、ペンタセキュリティの提供するAWS WAF専用のマネージドルール「Cloudbric Managed Rules for AWS WAF – API Protection」に関して、他社の2つのAPIセキュリティのマネージドルールとともに、「OWASP Top 10 API セキュリティリスク」に基づいた攻撃への正常検知率の比較検証結果が公表されました。検証ではOWASP Top 10のAPI セキュリティリスクで定義された1,081もの攻撃ペイロードに対し、正常にフィルタリングされたかどうかを評価しており、「Cloudbric Managed Rules for AWS WAF – API Protection」の検知率は97.31%を記録し、競合他社と比較して卓越した性能を証明しました。

 

Tolly Group 創業者兼CEO Kevin Tolly(ケビン・トリー)氏のコメント

APIセキュリティは近年、多くのサイバーセキュリティベンダーにとって重要なポイントになっています。日々進化するサイバー攻撃に対応するためには、現在のサイバーセキュリティのトレンドと一貫性を保つことが重要です。また、「Cloudbric Managed Rules for AWS WAF – API Protection」の検知率は、ペンタセキュリティがOWASP Top 10 API セキュリティリスクの攻撃に対応するための十分な準備ができていることを意味しており、同社がユーザーのニーズと利便性に細心の注意を払い、セキュリティの専門知識がない人にも確かなセキュリティソリューションを提供していることを示しています。

 

Cloudbric Managed Rules for AWS WAFについて

「Cloudbric Managed Rules for AWS WAF」は、AWS WAF専用のマネージドルールです。高度なセキュリティ技術を基に開発されており、最新の脅威にも迅速に対応しています。あらかじめWAFのルールが定義されているため、AWS WAFユーザーはルールを作成する必要なく、簡単に適用することができます。AWS Marketplaceで提供されている6種類のマネージドルールの中から、セキュリティ性能を高めたい分野を選択して導入することが可能です。

▽Cloudbric Managed Rules for AWS WAFについて、詳しくはこちら

▽API Protectionの購入はこちら

 

Anonymous IP Protection_627x289_240618_2

CloudbricのAWS WAF専用マネージドルール「API Protection」の提供を開始

 

このたび、ペンタセキュリティ株式会社は、AWS WAF専用のマネージドルールである「Cloudbric Managed Rules for AWS WAF」のひとつとして、「API Protection」の提供を開始します。

 

■Cloudbric Managed Rules for AWS WAFについて

「Cloudbric Managed Rules for AWS WAF」は、AWS WAF用のマネージドルールです。日本・韓国・米国で特許を取得した攻撃検知エンジンをはじめとする高度なセキュリティ技術を基に開発されており、最新の脅威にも迅速に対応しています。あらかじめWAFのルールが定義されているため、AWS WAF利用者はルールを作成する必要なく、AWS Marketplaceから購入すればすぐに適用することが可能です。また、Cloudbricは、技術的な検証を通過した企業のみが登録される「AWS WAF レディプログラム」のローンチパートナーにも認定されています。

▽Cloudbric Managed Rules for AWS WAFについて、詳しくはこちら

 

■API Protectionについて

「API Protection」は、OWASP API Security Top 10のセキュリティリスクを含む、代表的なAPI攻撃に対して事前対応および保護するマネージドルールです。

近年、ビジネスのクラウド化に伴ってAPIを利用する企業が増えている一方、APIをターゲットにしたサイバー攻撃も急増しています。こうした脅威に対抗するため、これまでのWAFにAPI保護を加えた「WAAP」(Web Application and API Protection)というセキュリティ概念が提唱され始めており、Cloudbricの「API Protection」はAPIの保護を効率的に強化します。

AWS Marketplaceで購入できるマネージドルールは、OWASP Top 10 Protection、Malicious IP Protection、Tor IP Protection、Bot Protection、Anonymous IP Protectionに続き、6つ目となります。

 

▽API Protectionの購入はこちら

https://aws.amazon.com/marketplace/pp/prodview-inatgeip3v4wc

事例-MR-software

【情報通信】膨大なデータを処理するソフトウェアの保護と、AWS WAFのセキュリティポリシー作成のリソース削減

課題

サービスの要であるビッグデータの処理速度と安全性の両立

R社は、eディスカバリのソフトウェアを提供する開発会社です。eディスカバリとは、アメリカの民事訴訟において、電子保存情報(ESI)を識別し、収集、分析および提示する電子証拠開示制度です。eディスカバリのソフトウェアは、莫大な量のデータと情報を処理するため、安定したサービスの維持が重要です。また、Fortune 500の企業、法律提供会社、政府機関や全世界で40カ国以上の金融機関がR社の顧客に含まれているため、トラフィックの過負荷、サイト停止、または機密データの盗難などのサイバー攻撃は、R社にとって致命的な損害を与える可能性があります。

成果

ポリシー作成の工数を削減し、大量のリクエストを検知および遮断

R社は、所有している2つのアカウントで3つのCloudbric Managed Rulesを導入しました。ルールグループを適用することで、R社は3カ月の間、悪性のIPとボットで発生した約13億件のリクエストを検知および遮断することができました。Cloudbric Managed Rulesを介して、R社はeディスカバリの信頼性を維持し、さらに、AWS WAFのセキュリティポリシーの作成に必要なリソースを節約することができました。

Cloudbric Managed Rules

資料請求・お問い合わせはこちら

Anonymous IP Protection_627x289_240618_2

CloudbricのAWS WAF専用マネージドルール「Anonymous IP Protection」の提供を開始

 

このたび、ペンタセキュリティ株式会社は、AWS WAF専用のマネージドルールである「Cloudbric Managed Rules for AWS WAF」のひとつとして、「Anonymous IP Protection」の提供を開始します。

 

■Cloudbric Managed Rules for AWS WAFについて

「Cloudbric Managed Rules for AWS WAF」は、AWS WAF用のマネージドルールです。日本・韓国・米国で特許を取得した攻撃検知エンジンをはじめとする高度なセキュリティ技術を基に開発されており、最新の脅威にも迅速に対応しています。あらかじめWAFのルールが定義されているため、AWS WAF利用者はルールを作成する必要なく、AWS Marketplaceから購入すればすぐに適用することが可能です。また、Cloudbricは、技術的な検証を通過した企業のみが登録される「AWS WAF レディプログラム」のローンチパートナーにも認定されています。

https://www.cloudbric.jp/cloudbric-managed-rules/

 

■Anonymous IP Protectionについて

「Anonymous IP Protection」は、さまざまなサイバー犯罪に悪用されているVPN、データセンター、DNSプロキシ、Tor、Relay、P2Pなどのような匿名通信ネットワークに対する統合的な検知・対応を目的に作られています。GeoIPを用いた攻撃、DDoS攻撃、ライセンスや著作権侵害などの脅威を事前に検知・対応することで、被害を未然に防ぐことができます。

AWS Marketplace で購入できるマネージドルールは、OWASP Top 10 Protection、Malicious IP Protection、Tor IP Protection、Bot Protectionに続き、5つ目となります。

 

▽Anonymous IP Protectionの購入はこちら

https://aws.amazon.com/marketplace/pp/prodview-ya5bxzjww3bfw

61423_aws_waf_managed_rules

AWS WAFマネージドルールの公式版からおすすめまで、5つの製品を紹介

現在の日常生活では、情報収集やショッピングなど、あらゆるWebサイトの利用は欠かせません。また、ビジネスを推進する上でも、Webサイトの運営は重要なポイントです。しかし、Webサイトは国内外を問わず、誰でも利用が可能なことから、常に情報漏えいやサイバー攻撃、プライバシー侵害など、情報面におけるセキュリティの危機にさらされています。本記事では、AWS WAFやマネージドルールの概要、おすすめのAWS WAF用マネージドルール5製品について、料金を含めて紹介します。

 

AWS WAFマネージドルールとは?

Webセキュリティ対策として、AWS WAFを導入する企業が増加していますが、WAFの機能を有効に機能させるには、マネージドルールが欠かせません。まずは導入前に、概要と目的を理解しておきましょう。

 

・AWS WAFとは?

AWSとは「Amazon Web Service」の略語で、ECサイトで有名なAmazon社が2006年に開始した、クラウドコンピューティングサービスの総称です。

クラウドコンピューティングサービスは、サーバーやソフトウェア、ストレージなどのITリソースを、企業がそろえて設置するオンプレミスと異なり、インターネットに接続さえすれば、リソースを自由に利用できるサービスです。ビジネスの規模に応じて、柔軟にリソースの変更が可能なため、スピーディーに扱えるほか、コスト抑制も期待できます。

ただしその反面、常にインターネットに接続されているリソースを利用するので、インターネットから切り離されたリソースを利用する場合と比べると、セキュリティに関する懸念が拭えません。

セキュリティ対策としては、一般的に「ファイアウォール」や「IPS(不正侵入防止システム)」などの導入があります。ファイアウォールは、通信回線を限定してアクセスを制御するため、広範囲の攻撃を防御し、一部の通信のみ許可する仕組みです。しかし、許可された通信の中身までは分析しない特徴があり、「SQLインジェクション」や「コマンドインジェクション」、「クロスサイトスクリプティング」など、Webサイトの不具合を引き起こす攻撃を検出できません。

IPSは、一定期間に行う大量の通信要求によって、Webサイト脆弱性を狙う「DDoS攻撃」などの特定の攻撃を検出し、Webサイトを防御します。ただし、攻撃は多種多様でなおかつ日々高度化しており、検出が追いつかない場合があります。

このように多方面からの攻撃を防御するための対策として、「WAF(Web Application Firewall)」が挙げられます。WAFは、通信回線とサービスを提供するWebサイトのサーバーとの間に存在し、通信の内容を分析するため、ファイアウォールやIPSでは防御できない攻撃からWebサイトを保護します。このWAFをAWSのひとつのサービスとして、提供しているものが「AWS WAF」です。

 

・マネージドルールとは?

WAFは、Webサイトのセキュリティレベルを向上させる方法として有効ですが、そのWAFを機能させるには、公開しているWebサイトに応じて、「ルールセット」を適切に設定しなければなりません。

ルールセットとは、そのWebサイトを防御するために、今後想定される攻撃パターンや通信手段、コンピューターウイルスの特徴などをまとめた「定義ファイル」です。しかし、ルールセットの作成には、セキュリティに関する専門知識が求められるほか、日々高度化する攻撃の動向を注視し、常に最新状態に保つ必要があります。したがって、高度な技術と運用知識が欠かせないことから、すべてのユーザーが適切に設定することは困難です。

ユーザーが容易にWAFを利用できるよう、セキュリティベンダーが環境に応じたルールセットを準備し、マネージドルールとして提供しています。マネージドルールには、AWSが公式に提供しているルールセットと、セキュリティベンダーが提供するルールセットの2種類があります。

 

・マネージドルールの料金

WAFに限らず、AWSから提供されているマネージドルールの利用料金は、その利用回数やオプションによって異なります。初期費用は一切かかりません。

AWS以外のセキュリティベンダーから提供されているマネージドルールは、セキュリティベンダー各社が設定している利用料金に基づいており、多くは「AWS Marketplace」より購入可能です。

 

おすすめのAWS WAF用マネージドルール5選

セキュリティベンダーから提供しているマネージドルールは各社ごとに特徴があるため、それらを踏まえて適切に利用しましょう。以下より、代表的なマネージドルールを紹介します。

 

・1. AWS WAF公式「AWS Managed Rules for AWS WAF」

AWSが提供している純正マネージドルールです。「ベースラインルールグループ」と呼ばれる基本のマネージドルールに加えて、Webサイトで利用しているデータベースやOSに応じた個別のルールを選択できます。基本料金は、WAFボット対策などの機能を除き、月額1ドル/1リージョン、0.6ドル/100万リクエストの従量制で課金されます。

 

・2. Fortinet Managed Rules for AWS WAF

古くからファイアウォールやアンチスパムなどを、「FortiGate」として提供しているFortinet社のマネージドルールです。同社の「FortiGuardLabs」と同等の構成になりますが、クラウド型であるため、最新の攻撃に対処できる上、利用中はルールグループが自動的に更新されます。AWS Marketplaceにて、月額30ドル/1リージョン、1.8ドル/100万リクエストで購入可能です。

 

・3. F5 Rules for AWS WAF

「ロードバランサー(負荷分散装置)」や「SSL−VPN(暗号通信)装置」など、各種ネットワーク製品を開発したF5 Networks社のマネージドルールです。現在、ボット対策やAPIセキュリティなどのルールセットを提供しており、同社のスペシャリストにより定期的に更新も行われます。AWS Marketplaceより購入可能で、基本料金は月額20ドル/1リージョン、1.2ドル/100万リクエストです。

 

・4. Cyber Security Cloud Managed Rules for AWS WAF

日本のセキュリティベンダーである、サイバーセキュリティクラウド社が提供しているマネージドルールです。Webサイトでよく用いられている「Apache struts2」や「Apache Tomcat」、「Oracle Weblogic」などのオープンソースソフトウェアも対象とした、複数のルールを提供しています。AWS Marketplaceで購入可能で、基本料金は月額25ドル/1リージョン、1.2ドル/100万リクエストです。

 

・5. 高い検知率を実現する「Cloudbric Rule Set」

韓国に本社を置くペンタセキュリティが提供しているマネージドルールです。同社はAWSによる技術的な検証を通過した「AWS WAFレディプログラム」のローンチパートナーに認定されており、高度な技術を駆使したルールセット「OWASP Top 10 Rule Set」、「Malicious IP Reputation Rule Set」、「Tor IP Detection Rule Set」、「Bot Protection Rule Set」の4種類を取り揃えています。基本料金は月額25ドル/1リージョン、1ドル/100万リクエストです。そのほか、自社での運用に不安がある場合は、24時間365日のモニタリングやサポートが充実したAWS WAF専用の運用サービス「Cludbric WMS」も別途販売しています。

(参考記事:「Cloudbric Rule Set」)

 

まとめ

昨今では、クラウドサービスで提供されているさまざまなサービスを組み合わせることで、Webサイトを簡単に構築できるほか、より早くビジネスを推進できるようになりました。しかし、それに伴い、Webサイトの重要性と求められるセキュリティレベルも高まっています。AWS WAFでは、Marketplaceより提供されている他社のマネージドルールを利用することで、柔軟にセキュリティレベルを向上することが可能です。Webセキュリティの強化策として、AWS WAFのマネージドルールの活用を検討してみてください。

 

 

▼Cloudbirc Rule Setについてはこちら

▼製品・サービスに関するお問い合わせはこちら

▼パートナー制度のお問い合わせはこちら