アプリケーションは、攻撃者にとって主要な戦場となりました。組織がクラウドネイティブアーキテクチャ、マイクロサービス、API駆動開発を継続的に採用する中で、従来のセキュリティフレームワークは、モダンアプリケーションを狙う固有の脅威に十分に対処することが難しくなっています。
Application Attack Matrixは、モダンアプリケーションに対して敵対者が用いる戦術・技術・手順(TTPs)をマッピングするために特別に設計された、初の包括的なコミュニティ主導フレームワークです。MITRE ATT&CK®に着想を得つつも、今日のアプリ環境—Webアプリケーション、クラウドネイティブアーキテクチャ、マイクロサービス、API—に合わせて最適化されており、アプリケーション層の脅威を理解し防御するための構造化されたアプローチを提供します。
なぜ今なのか?
この取り組みの緊急性は、最新データによって裏付けられています。脆弱性の悪用は、過去5年間にわたり、攻撃者が組織へアクセスを得るために用いる主要手法の一つであり続けています(Mandiantの調査より)。これはより広い現実を示しています。攻撃者は、検知が最も弱い場所—アプリケーション層の内部—で活動しているのです。これは単なるギャップではなく、今日の脅威環境における主要な戦場です。アプリケーションはビジネスロジックが存在する場所であり、APIが機能を公開する場所であり、攻撃者が従来のセキュリティ制御に検知されにくい形で、しばしば気付かれずに動ける場所でもあります。
アプリケーション層は、モダンクラウドアプリケーションにおいて最も影響が大きいにもかかわらず、最も理解されておらず、最も保護が手薄なコンポーネントです。これはリスクの「最後の1マイル」ではなく、敵対者がワークロードやインフラへエスカレーションする前に突破する最初のフロンティアです。防御側が、戦いが本当に始まる場所へと注意を移す時が来ています。
なぜApplication Attack Matrixを構築したのか
MITRE ATT&CK®のような既存のセキュリティフレームワークは業界に大きく貢献してきましたが、主にインフラとエンドポイントのセキュリティに焦点を当てています。その結果、アプリケーション中心の攻撃ベクトルに関しては重大な盲点が残ります。
– インフラ ≠ アプリケーション:従来のマトリクスはOSやネットワーク層で終わってしまい、攻撃者がますます利用する重要なアプリケーション層の技術を見落としています。
– サプライチェーンの盲点:モダンなパイプライン、依存関係、アクションは、新たな見落とされがちな脅威ベクトルを持ち込みます。
– ランタイムのブラックボックス:アプリケーションは根本的に変化しました—特にAI、マイクロサービス、クラウドネイティブ開発の時代において。アプリは継続的に進化し、ビルドやデプロイのたびに新しい挙動が導入されます。静的なオンプレ環境向けに作られたレガシーツールは、この速度や複雑さに対応するよう設計されていません。その結果、攻撃者がますます活動するアプリケーション層における重要なシグナルを見逃してしまいます。
– アプリケーション&ロジックの悪用:AI駆動開発とモダンなアプリ構成により、従来ツールでは扱えない形で攻撃対象領域が拡大しました。ロジックはAPI、サービス、委任されたAI呼び出しにまたがるようになり、悪用の検知が難しくなっています。APIセキュリティツールはネットワークトラフィックに焦点を当てる一方で、ビジネスロジックの悪用や正当なフローの悪用といったアプリ内脅威を見逃します—まさに攻撃者が検知されずに活動しがちな領域です。
このギャップが、私たちに初のApplication Attack Matrixの開発を促しました。これは、実際に野外でクラウドアプリケーションに対して発生した現実の脅威をマッピングし、脅威アクターに対する防御側のための実践的なガイダンスを提供することを目的とした包括的フレームワークです。
アプリケーション攻撃の4つのフェーズ
Application Attack Matrixは、攻撃ライフサイクル全体をマッピングする4つの明確なフェーズに技術を整理しています。
1. 侵入前(Pre-Intrusion)
攻撃者は準備を行い、情報を収集し、アプリケーションを侵害するためのツールを構築します。
- 偵察(Reconnaissance):アプリケーションAPI仕様の収集、アプリケーション依存関係のマッピング、公開ソースコードの分析
- リソース開発(Resource Development):コード署名の侵害、サードパーティ依存関係の汚染(Poisoning)
2. 侵入(Intrusion)
このフェーズは、初期侵害と、アプリケーション環境内での悪意あるコード実行を示します。
初期アクセス::サプライチェーン侵害、認証バイパス、APIの悪用
ペイロード実行:リモートコード実行(RCE)、インジェクション攻撃、サーバーサイドリクエストフォージェリ(SSRF)
3. 侵入後(Post-Intrusion)
侵入後、攻撃者は永続化を確立し、支配を拡大します。
- 支配の深化(Deepening Control):権限昇格のための悪用、アプリプロトコル上のC2、ランタイム保護の無効化
- 到達範囲の拡大(Expanding Reach):サービス間の信頼の悪用、リモートサービスの悪用
4. 影響(Impact)
攻撃者は目的を実行して運用を妨害し、インフラレベルでは検知されにくい状態になります。
- 影響(Impact):サービス妨害、データ破壊、暗号化または持ち出し、既存のビジネスロジックの悪用、またはアプリケーションの完全性を侵害してビジネスロジックを操作すること。
この構造は、攻撃チェーンのあらゆる段階でアプリケーションが標的となることを示しています。攻撃はインフラで止まるのではなく、アプリケーション内部のロジック、データ、挙動を悪用します。
マトリクスを形作った実際のインシデント
過去5年間に起きた複数の著名な侵害事件や脆弱性が、Application Attack Matrixの基盤形成に重要な役割を果たしました。ここで挙げるのは見出しを飾った代表例の一部にすぎませんが、実際に存在するもののほんの一部を示しています。さらに多くの現実世界の技術が、私たち自身の調査と、より広いセキュリティコミュニティからの貢献によって、すでにマトリクスに文書化されています。そして新たな攻撃手法が次々に現れる中、このような「生きた」アプリケーション中心のフレームワークの必要性は、ますます重要になっています。
これらのインシデントは、既存のセキュリティモデルにおける重大なギャップを露呈し、アプリケーションに焦点を当てた攻撃フレームワークの必要性を浮き彫りにしました。
Bybit 15億ドル規模の暗号資産盗難:脆弱なオープンソースライブラリが、史上最大級として知られる暗号資産強奪につながりました。
Log4Shell:Log4jのJNDI機能を悪用—ネットワークベースの防御、Cloud Workload Protection Platforms(CWPP)、およびワークロード、Webサーバー、ホストレベルのアクティビティを監視するセキュリティツールから完全に見えない形で悪用されました。
SolarWinds:高度なサプライチェーン侵害手法を実証しました
XZ-Utilsバックドア:信頼されたビルドプロセスを通じてマルウェアが出荷され得ることを示しました。
MOVEit Transfer:アプリケーション脆弱性が大規模なデータ侵害につながり得ることを浮き彫りにしました
GitHub Actionsのサプライチェーン攻撃:開発パイプラインを侵害する新たなベクトルを明らかにしました
Application Attack Matrixの使い方
Application Attack Matrixは単なる分類体系ではなく、セキュリティ態勢を強化し、さまざまな役割・機能にわたってビジネスを支えるための実用的なツールです。
以下は、異なるチームがどのように運用へ落とし込めるかの例です。
アプリケーションセキュリティチーム向け
- 深度のある脅威モデリング:アプリケーション、API、パイプラインをマトリクス全体でトレースし、従来モデルが見落とす潜在的な盲点を特定します。
- セキュリティテスト:初期アクセスだけでなく、アプリケーション脅威の全領域をカバーする包括的なテストケースを、マトリクスを用いて作成します。
- コントロール検証:既存のセキュリティコントロールが、マトリクスに記載された技術に対応できているかを評価します。
CISOおよびセキュリティリーダー向け
- リスク評価:どのアプリケーション攻撃ベクトルが自組織にとって最大のリスクとなるかを特定します。
- リソース配分:アプリケーションポートフォリオに最も関連する脅威に基づいて、セキュリティ投資の優先順位を付けます。
- セキュリティ戦略:攻撃ライフサイクルの全フェーズに対処する包括的なアプリケーションセキュリティ戦略を策定します。
セキュリティアナリストおよびインシデント対応担当者向け
- 検知エンジニアリング:汎用的なエクスプロイトだけでなく、アプリケーション固有のTTPを狙った検知ルールを構築します。
- インシデント調査:マトリクスを用いて、潜在的なアプリケーション侵害の分析を導き、初期アクセスがどのように影響へつながったかを解明します。
- パープルチーム演習:マトリクスの技術に基づいて現実的な攻撃シナリオを作成し、検知・対応能力をストレステストします。
なぜこれが重要なのか
アプリケーションが攻撃者の主要ターゲットであり続ける中、セキュリティチームにはアプリケーションレベルの脅威に特化して対処するフレームワークが必要です。Application Attack Matrixは、攻撃ライフサイクル全体にわたってこれらの脅威を理解し、軽減するための包括的で構造化されたアプローチを提供します。このフレームワークを採用することで、組織は重要なアプリケーションと、それらが処理する価値あるデータをより適切に保護できるようになります。
アプリケーションセキュリティの専門家であれ、CISOであれ、セキュリティアナリストであれ、Application Attack Matrixは、最も高度なアプリケーション攻撃に対抗するための有益な洞察と実践的なガイダンスを提供します。ぜひマトリクスを探索し、セキュリティプログラムに適用し、セキュリティコミュニティにとって重要なこのリソースを共に進化させる取り組みにご参加ください。
Discordコミュニティに参加:https://www.oligo.security/lp/oligo-application-attack-matrix
Application Attack Matrixをチェック:https://app-attack-matrix.com/
特別な謝辞
このコミュニティプロジェクトの初期貢献者として、フィードバックと協力を寄せてくださったすべてのセキュリティリーダーの皆さまに感謝します。
翻訳元: https://www.oligo.security/blog/the-application-attack-matrix