Home 技術記事 OTTストリーミングアプリケーションにおけるセキュリティリスク
Applications

OTTストリーミングアプリケーションにおけるセキュリティリスク

About The Author

Outline

ここ数年、スタジオや放送局はストリーミング技術を活用して、新たなダイレクト・トゥ・コンシューマー・サービスを生み出してきた。 これは視聴者を構築し、視聴者データから利益を得るための魅力的な機会を提供する一方で、管理するべき新たなリスクでもある。 悪意のある攻撃者は、この成長する消費者データベースから利益を得るために懸命に働いている。 ウェブアプリケーションの脆弱性に関する広範な知識を考慮すると、攻撃者はウェブセキュリティの管理にあまり慣れていない新しいストリーミングサービスを標的にしている。 この技術記事では、これらの新しいウェブアプリケーションが攻撃に対して脆弱である理由と、リスクを軽減するために何ができるかを探る。

Over-the-Top(OTT)攻撃面について

OTTアプリケーションには、それを機能させる多くの部分がある。 できるだけ多くの視聴者にリーチするには、ウェブブラウザ、モバイルデバイス、スマートテレビ、ストリーミングプレーヤーで利用できる必要がある。 各アプリケーションバージョン、サポートされるプラットフォーム、インフラストラクチャは表面積を定義する。 言い換えれば、アプリケーションの表面積はアプリケーションと対話するすべての方法である。

アプリケーションの表面積に、攻撃または悪用に対して脆弱な可能性のあるコンポーネントが含まれている。 カスタムコード、サードパーティのライブラリ、統合がある。 これらのコンポーネントのいずれかに脆弱性がある可能性がある。 これらのコンポーネントに脆弱性が存在する場合、悪意のあるアクターはそれを悪用しようとする。 これらの脆弱な領域が攻撃対象となる。 セキュリティをほとんど持たないように設計されたアプリケーションは、攻撃対象領域が大きくなる可能性がある。 対照的に、適切に設計されたアプリケーションは、攻撃対象となる領域が小さくなる可能性がある。 残念ながら、攻撃面は常に存在し、目標はできるだけ小さくすることである。

OTT攻撃面は進化している

OTTアプリケーションを安全に保つことは、次のいずれかの理由で移動列車のように見えるかもしれない:

  • オペレーティングシステムは毎月更新を展開
  • サードパーティライブラリは定期的に変更をリリース
  • 統合およびストリーミングプレーヤーが廃止を発表
  • セキュリティ研究者が脆弱性をほぼ毎日公開

これらすべての変更に伴い、開発者はセキュリティを後回しにすることになりかねない。 しかし、セキュリティ修正に対処できないと、アプリケーションは脆弱なままになる。

悪意のある動機

悪意のある攻撃者は、セキュリティチームが利用できる脆弱性データベースとツールにアクセスできる。 ほとんどのアプリケーションはJavaScriptを使用しているため、サイバー攻撃者は最も一般的なフレームワークやパッケージをチェックする。 アプリケーションに最新のセキュリティパッチが適用されていない可能性があるため、既知の脆弱性を対象としている。

サイバー攻撃者は、管理ポータル、バックドア、残りの情報ファイル(phpinfo.phpなど)、インストールフォルダ、保護されていないページ、開発者環境、忘れられたAPIエンドポイント、Gitリポジトリ、その他のアクセス方法を探す。 また、サポートシステム(例えば、マーケティングウェブサイト、コンテンツ管理システム、支払い処理業者)からのエントリポイントを見つけようとする。 ダークウェブにアクセスしてエクスプロイトとログイン認証情報を購入する可能性がある。 彼らの監視は適切なセキュリティ対策が講じられていなければ検出されないかもしれない。

OTTストリーミングサービスの脆弱性を特定する方法

多くのセキュリティ対策はアプリケーションを保護し、攻撃対象となる領域を減らすことができる。 それらのいくつかは所見を検出するだけであり、それらを修正するために手動のアクションを必要とする。 その他の対策は脅威から保護する。 セキュリティ対策には、可能な限り検出機能と保護機能の両方が必要である。

脆弱性管理および評価システム

脆弱性管理システムは、アプリケーションが検出した脆弱性をコンパイルし、脆弱性評価システムは脆弱性を検出する。 評価システムは、アプリケーションリソースをスキャンし、オペレーティングシステム、ソフトウェアアプリケーション、システムとネットワークの設定ミスなどに関するセキュリティの発見を報告する。 管理システムは、様々な評価システムから結果をインポートする。 両方のシステムを使用することで、既知の脆弱性を検出し、最上位のリスクを特定して優先順位を提案するレポートを提供することで、攻撃対象となる領域を削減できる。

ソフトウェア組成分析(SCA)

SCAシステムは、OTTアプリケーションのサードパーティライブラリ(または依存関係)内の脆弱性をチェックする。 SCAはアプリケーションと各依存関係をレビューし、脆弱性を解決するために必要なバージョンアップを提案する。 アップグレードによって変更が中断されることがあり、その場合SCAは警告する。 SCAは、依存関係に既知の脆弱性がある場合に警告することで、攻撃対象領域を低減する。

ペネトレーションテスト

自動化されたAPIテストおよびペネトレーションテストツールは、実行中のアプリケーションに脆弱性を発見する。 これらの自動化されたツールは、OTTアプリケーションが認証、クロスサイトスクリプティング、SQLインジェクション、メモリリーク、クラッシュの問題を抱えているかどうかを特定することができる。 アプリケーションを数分で評価し、継続的インテグレーション(CI)システムと統合できる。 自動テストをCIシステムに統合することで、ソフトウェアリリース前に脆弱性を検出できる。

OTTストリーミングサービスを保護する方法

上記のシステムとベストプラクティスは、セキュリティ上のリスクとバグを特定するのに役立つ。 開発者はセキュリティエンジニアやリーダーシップと協力して、セキュリティ更新に迅速に対処する必要がある。 しかし、チームが迅速に修正プログラムを展開できる場合でも、実装の遅れはアプリケーションを攻撃に対して脆弱なままにすることができる。 以下の防御策はOTTストリーミングアプリケーションに追加の保護を提供できる。 これらはストリーミングアプリケーションのコードベースとは独立して機能するため、開発者がシステムにパッチを適用している間、既知の脅威から保護するためのバッファとして機能することができる。 これらの保護は、セキュリティチームが絶えず進化する脅威から防御するために、リアルタイムで対策を展開する際の柔軟性を向上させる。

分散型サービス拒否(DDoS)保護システム

DDoS防御システムは、攻撃を受けたアプリケーションを機能させ続けることを目的としている。 これらの攻撃はそれを圧倒するために短期間の要求であなたのウェブサイトを氾濫させる。 インフラストラクチャとアプリケーションが受信する要求が多すぎると、応答が停止することがある。 DDoS攻撃に成功すると、アプリケーションが長期間使用できなくなる。 DDoS防御システムは、要求と接続を分析することで攻撃がいつ開始されるかを判断する。 DDoS攻撃を検知すると、システムは攻撃者からのリクエスト数を減らしたり停止したりしながら、実際のユーザーがストリーミングを継続できるようにする。

Webアプリケーションファイアウォール(WAF)

WAFはアプリケーション要求を監視し、保護する。 HTTP要求を分析する一連のルールを使用する これらのルールは、IPアドレス、発信国、ヘッダー、ペイロードに基づいてアクセスを許可または制限することができる。 WAFには静的なルールがあるものもあれば、動的なルールがあるものもある。 動的ルールはWAFが新たな脅威から保護することを可能にするが、静的ルールは既知の脅威を阻止するだけである。

ボット管理システム

ボット管理システムは、重要なAPIサービスを含むOTTアプリケーションインフラストラクチャと対話する自動ボットから保護する。 ボットは実際のユーザーをシミュレートし、CAPTCHAを解決し、情報を収集し、悪意のあるコードを挿入し、クレジットカード番号やアカウント資格情報を侵害しようとする可能性がある。 ボット管理システムは、HTTPリクエストの多数の信号特性とユーザーエージェントの詳細を分析し、自動化された脅威がサービスにアクセスしようとしているかどうかを判断する。 ボットはインターネット利用の大部分を占めるため、ボット管理システムはOTTアプリケーションを不正行為から保護できる。

アプリケーションのセキュリティを優先する

Edgioのクラウドベースのウェブセキュリティソリューションは、ストリーミングサービスを正確かつ迅速に保護する。 変更管理の影響を予測するため、正当なユーザーに影響を与えることなく自信を持ってルールを更新でき、攻撃者がOTTアプリケーションサーバーに到達する前に攻撃者を阻止できる。

当社のクラウドセキュリティ機能が、さまざまなサイバーセキュリティの脅威からOTTストリーミングアプリケーションを保護する方法の詳細を学ぶ。