2023年6月27日(SGT / シンガポール現地時間)、APACをリードするエッジ・アズ・ア・サービスのネットワークプロバイダーであるCDNetworksは、2022年年次レポート『State of WAAP (Web Application and API Protection) 2022』*を発表し、多数の脅威に対する包括的な保護を提供する上でWAFが直面する課題を明らかにしました。同レポートはまた、組織のマルチチャネル資産を保護し脅威に対応するためには、全体的なソリューションを採用することが重要であることを示唆しています。



『State of Web Application and API Protection 2022』のダウンロードはこちら: https://bit.ly/3NCmrZR

WAAPに関連したあらゆるタイプの攻撃が急増

1. DDoS攻撃のピークとインシデント数は過去最高

- ネットワーク層のDDoS攻撃のピークは2.09Tbpsで、Tbpsレベルの攻撃が年間を通じて8回発生しました。アプリケーション層のDDoS攻撃のピークは34Mqpsでした。

- CDNetworksのセキュリティプラットフォームは、一日平均439,200件のDDoS攻撃インシデントを監視・阻止し、これは前年比103.8%増でした。



2. ウェブアプリケーション攻撃の急増と多様な脅威をカバーするWAFの苦戦

- 年間を通じて451億2700万件のWebアプリケーション攻撃が検知・ブロックされ、これは前年比96.35%増でした。

- Web企業の87%が同時に二つ以上の脅威に、65%は同時に三つ以上の脅威に遭遇していました。



3. APIアセットが攻撃の最重要ターゲットに

- APIに対する攻撃の割合は2022年に初めて過半数を超え、58.4%に達しました。

- CDNetworksのコンテンツデリバリーネットワーク(CDN)クラウドプラットフォーム上で流通するすべてのAPIリクエストは、総リクエスト数の61.3%を占めました。



4. bot攻撃の急増

- CDNetworksのセキュリティプラットフォームが2022年を通して監視したbot攻撃の総数は1,631億8,500万件で、2021年比1.93倍、2020年比4.55倍に上りました。

- ウェブアプリケーションやAPIのトラフィックのうち、人間の訪問によるものは約60%でした。



本レポートでは、これらの攻撃ベクトルとそれに関連する手法についても詳細に分析しています。例えば、低頻度のアプリケーションレイヤDDoS攻撃について、Second-Dialing-IP攻撃に対する最も効果的な防御として、リスクの高いIPアドレスを特定することに重点を置いて深く論じています。

また、CDNetworksは、0-Dayの脆弱性が公に認知される前にそれを悪用し攻撃するハッカーの存在を発見していました。更にレポート内では、攻撃者がAPIビジネスに破壊的な損害を与えるために標的にされうるAPIの脆弱性にも注目しています。

これらの典型的な攻撃手法とは別に、CDNetworks のセキュリティ専門家チームがオンライン詐欺を調査・分析した結果、サイバー犯罪者が、情報を改ざんするさまざまなエミュレートツールの使用に加え、高度にパーソナライズされた自動化された攻撃テクニックを採用していることが明らかになりました。これらのテクニックは、オンライン詐欺のリスクの増加傾向に大きく寄与しています。



Doyle Deng, Head of Global Marketing & Product

/ ドイル・デン、ヘッド・オブ・グローバルマーケティング&プロダクト

「ウェブアプリケーションとAPI保護を取り巻くセキュリティリスクは常に進化しています。攻撃者は、ターゲットとシナリオを深く理解した上で攻撃を仕掛けています。最も懸念されるのは、電子商取引、旅行、輸送、オンラインゲームなど、特に攻撃を受けやすい業界において、高度に発達した違法チェーンが存在することです。」「このWAAPに関するレポートは、企業が直面しているサイバーセキュリティの状況を理解し、ニーズに応じて適切なWAAPプロバイダーを選択するための視点を提供します。」







本リリースは、2023年6月14日(現地時間)に本社シンガポール法人が発表したリリースの抄訳です。原文は、以下リンク先でご確認いただけます。

https://www.cdnetworks.com/news/state-of-waap-2022/





