2020年2月19日、F5ネットワークスジャパンは記者懇親会を開催し、直近のビジネス動向のほか、買収したShape Securityについて説明した。同社のChief Revenue Officeであるハサン・イマム氏は、直近のオンライン詐欺やクレデンシャルを狙った攻撃、Shape Securityのソリューションについて説明した。
増え続けるクレデンシャルを狙う攻撃
ADC(Application Delivery Controller)市場をリードするF5ネットワークス。ハードウェアアプライアンスから、仮想化、クラウドへとフォーカスを変えており、昨年はWebサーバーベンダーのNGINXを買収したばかり。今回の説明会も、同社が買収したShape Securitiesのトピックが中心となった。
F5が買収したShape Securityはマルチクラウド環境で詐欺対応サービスを提供する。Chief Revenue Officeであるハサン・イマム氏は、デジタルエキスペリエンスにおいては、先進的な認証やセキュリティ対策が非常に重要になるとアピール。一方で、コンシューマーは「煩わしいこと」や「これまでと違う操作」を嫌うため、安全でありながらスムーズなエキスペリエンスを求めていると説明した。
ユーザーIDやパスワードなど顧客のクレデンシャルを狙った攻撃は深刻化している。IDとパスワードをのっとり、本人になりすましてWebサービスにログインするいわゆるアカウントテイクオーバー(ATO)は発生率より、損害金額の方が上回りつつある。また、新規アカウント詐欺(NAF)によってダークウェブに流出した個人情報も多く、「メカニカルターク」と呼ばれるクラウドソーシング的な人力攻撃も増えている。その他、多要素認証を破るサーバーサイドマルウェアの「MageCert」やデジタルIDを詐取する「Genesis」などさまざまな脅威が安全なWeb利用を脅かしている。
自動化された攻撃、マニュアルの攻撃にも対応
これに対してShape Securityはアプリケーションへの攻撃を防ぐ詐欺対応/セキュリティプラットフォームを提供する。現在、他社がカバーするアマチュアな自動化攻撃はもちろん、高いモチベーションとスキルが必要になる自動化された攻撃、さらにはスケール化されたマニュアル攻撃にも対応する。
構成としては、フロントのWebページにはShape JS、モバイルアプリにはSDKのコードを実装し、個人情報をのぞいたシグナル情報を分析側に収集。シグナルはネットワーク上の「ShapeShifters」やクラウド上の「Shape Cloud AI」などに送られ、データ解析されることで悪用や詐欺が検出される。また、システム運用のために「Shape Threat Mitigation Service」が用意されている。
Shape Securityはこれらの包括的なプラットフォームにより、Webやモバイルアプリに対する攻撃を防ぐことができ、数百万ものエンドユーザートランザクションを保護。正規ユーザーによる正しいアプリケーションのアクセスのみに制限できるという。検知サービスはBIG-IPやNGINXのようなプロキシサーバーのみならず、AWSやAzureなどのパブリッククラウドやオンプレミスにも実装できるという。