アプリケーションのセキュリティ

この記事は、Imperva 2025 Malicious Robots Reportに基づくもので、3つの中核的な傾向を明らかにしている：
自動化されたトラフィックの新常態：自動化されたトラフィックは、2024年に初めて人間のトラフィックを上回り、51%を占め、そのうち37%が悪意のあるボットであり、6年連続で増加している。
AIを活用した攻撃の進化：人工知能（AI）と大規模言語モデル（LLM）の普及により、攻撃の閾値が大幅に引き下げられ、悪意のある自動化攻撃の規模と高度化が加速しています。AIはボットの生成に使用されるだけでなく、ボットの分析、学習、エスケープ技術の最適化を促し、回避能力の高い高度なボットを生み出し、ビジネスロジック攻撃の増加につながります。
APIが攻撃の新たな焦点に：マイクロサービスやモバイルアプリの普及に伴い、APIはその集中的な価値、比較的脆弱な防御、自動化の容易さから、悪意のあるボットの格好の標的となっている。44%の高度なボットトラフィックがAPIに向けられ、中でも金融サービスと通信業界が最も深刻な攻撃を受けており、データのクローリング、決済詐欺、アカウント乗っ取りが主な攻撃手口となっている。
さらに、アカウント乗っ取り（ATO）攻撃の復活を詳細に分析し、2024年には前年比40%の伸びを示すとともに、ATO攻撃急増の要因、最も影響を受ける業種、規制上の罰則について考察している。最後に、従来のWAFにとどまらず、APIセキュリティの強化、ATOへの対策、統一されたセキュリティ・ビューの構築、継続的なモニタリングと脅威インテリジェンスなど、多層的で適応力のある深層防御戦略を提案し、悪意のあるボットのインテリジェント化と規模拡大の脅威に効果的に対抗し、デジタル資産と事業継続性を保護するための支援策を提言している。

Global State of DevSecOps Survey Report 2024」は、世界の開発者、セキュリティ、運用担当者1,000人以上を対象とした調査に基づき、DevSecOps分野における主要なトレンドと課題を明らかにし、主要データのハイライトを掲載している。

82%の組織は6-20のセキュリティ・ツールを使用している。
60%のテスト結果には、21%-60%のノイズが含まれています。
AIのコード保護に「非常に自信がある」と回答したのは24%にとどまった。
86%の組織は、セキュリティ・テストが開発を遅らせると感じていた。

本レポートは、2023年における世界のDevSecOpsの実践状況、戦略、ツールの使用状況、ソフトウェアセキュリティへの影響について概観している。米国、英国、フランス、フィンランド、ドイツ、中国、シンガポール、日本のさまざまな専門的背景を持つITおよびAppSecの専門家1,000人を対象とした調査結果を網羅しています。

この記事では、360 Vulpecker Team のセキュリティ研究者 Li Bo 氏と Zhang Xin 氏が実施した、モバイル APP サードパーティ SDK の実際の脆弱性マイニングについて紹介します。 360 Vulpecker チームは、Android システムとアプリケーションのセキュリティ攻撃と防御の分野に焦点を当てており、Android アプリケーションのセキュリティ監査用に自社開発した自動システムを持っています。この記事では、サードパーティ SDK のセキュリティ状況から始まり、SDK の統合によってもたらされるセキュリティ リスクについて説明し、さまざまな SDK の脆弱性リスクと攻撃手法について詳しく紹介します。プッシュ SDK と共有 SDK の脆弱性悪用手法を例を通じて分析し、関連する脆弱性がアプリケーションに及ぼす影響範囲を指摘します。最後に、モバイル APP のセキュリティについて読者の注意と深い考えを呼び起こすために、いくつかの考えを提案します。