ブログに戻る

フォロー&ご登録

2025年第1四半期の AppSec : Fastly の最新レポートにおけるトレンド

David King

シニアプロダクトマーケティングマネージャー、セキュリティ

セキュリティプライバシー業界インサイト
盾と鍵のアイコンが鳴り響くメガホンを持つ手のイラスト

サイバーセキュリティの世界では、最悪のシナリオが中心に据えられることがよくあります。超高度な AI 駆動型攻撃のビジョンでフィードはいっぱいです。しかし、現実はどうでしょうか?Fastly の2025年第1四半期脅威インサイトレポートは、ノイズを排除し、Web アプリケーションと API セキュリティの状況を明確に示しており、驚かれるかもしれません。

独自の攻撃の神話

レポートによると、商業業界の攻撃量は2024年第1四半期の15%から2025年第1四半期の31%に倍増し、攻撃者の関心がシフトしていることが示されています。さらに、このレポートでは、観測されたすべてのインターネットトラフィックの37%が自動化ツールまたはボットからのもので、そのボットトラフィックの89%が不要なものとして分類されています。これは、オンラインビジネスが直面している課題をさらに示しています。

私たちの最新レポートの結論として繰り返しているのは、攻撃の大多数は、よく耳にするような他に例のない特殊な脅威ではないということです。その代わりに、攻撃者は頻繁に確立された方法を用い、多くの組織に同じペイロードを展開します。手当たり次第のアプローチと考えてください。XSS と SQLi は過去2年間、最も一般的な攻撃方法であり続けており、全体の攻撃に占める割合に大きな変化はほとんどありませんでした。2025年第1四半期では、XSS が依然として攻撃の大部分を占めており、前年からわずか4%の増加に留まりました。この一貫性は、攻撃者が広く知られている脆弱性に頼り、効果的な手法に固執することを示しています。

レポートで明らかになった最も重要で実用的な発見の1つは、観測されたすべての Web 攻撃の28%が、リアルタイムの脅威インテリジェンスフィード Fastly Network Learning Exchange (NLX) にリストされている IP アドレスから発信されたことです。NLX は、確認された悪意のある IP アドレスを顧客環境全体で共有し、脅威を事前に検知してブロックできるようにします。IP が攻撃しきい値を超えると、フラグが付けられ、NLX に 24 時間追加され、匿名で共有されます。これにより、ブロックルールの一部として使用されると、潜在的な損害が発生する前に防止されます。

その他の主な調査結果は以下のとおりです。

  • クロスサイトスクリプティング (XSS) は依然として最も一般的な攻撃タイプで、観測されたすべての攻撃トラフィックの40%を占めており、2024年第1四半期の35%から増加しています。

  • パスワード侵害の試みは、1日あたり平均130万件を超え、アカウント乗っ取り (ATO) 活動の規模を浮き彫りにしています。

  • 検索エンジンクローラーは、望ましいボットトラフィックの66%を占めており、このタイプの望ましいボットは、ハイテク業界と教育業界で最も多く分布しています。

しかし、これはあなたにとって何を意味するのでしょうか?

  • 影を追いかけない : 既知および既存の攻撃ベクトルに対する防御を強化することに集中する

  • 共有されたインテリジェンスを活用する : Fastly の NLX のようなリソースを利用して、新たな脅威に先手を打つ

  • リスクを理解する : 自分の業界を狙った特定の脅威 (ハイテクへの注目度の高まりなど) に注意する

Fastly の四半期脅威インサイトレポートは、Fastly のNext-Gen WAFBot ManagementDDoS Protection の各ソリューションの毎月6.5兆リクエスト*から作成されており、これらのソリューションは、大手 eコマース、ストリーミング、メディア・エンターテイメント、ファイナンスサービス、テクノロジー企業など、幅広い業界の130,000を超えるアプリや API**のセキュリティ確保に貢献しています。私たちのセキュリティ製品スイートは、ルールを手動で継続的に更新する必要がなく、このような一般的な攻撃を軽減するように設計されています。XSS などの広範囲にわたる攻撃に対するシグナルを自動的に追加し、ゼロデイおよび N デイの脆弱性に対する仮想パッチを提供します。

Fastly セキュリティ調査チームは、ブログ、共通脆弱性識別子通知、新しい Next-Gen WAF ルール、オープンソースツール、チュートリアルなど、さまざまな貴重なリソースを継続的に公開し、顧客に最新のセキュリティ開発に関する情報を提供しています。

私たちがこのレポートを皆様と共有することで、私たちの調査結果が皆様のアプリケーションや API のエクスペリエンスのお役に立つことを楽しみにしています。攻撃の観察内容と分析をより深く探るには、完全なレポートをお読みください

* 2025年4月22日現在における6か月間の平均

** 2025年4月22日現在

Fastly
© Fastly 2025