サイトをWeb物理攻撃から守る：POSCの活用

デジタル環境は常に進化しており、それとともに攻撃者がセキュリティを侵害する方法も変化しています。従来のサイバーセキュリティ対策は、コードの脆弱性やネットワーク防御に焦点を当てることが多いです。しかし、Web物理攻撃と呼ばれる新しい種類の攻撃は、Webブラウザの基本的な動作とユーザーインタラクションの根底にある物理法則を利用します。これには考え方の転換と、Proof-of-SpaceとComputation（POSC）のような革新的な防御戦略の採用が必要です。この投稿では、Web物理攻撃の本質、POSCが堅牢な防御を提供する仕組み、およびID認証、内部統制、およびサイト全体のサイバーセキュリティへの影響について詳しく説明します。また、POSCがAPIタスクドメインセキュリティにどのように影響するかについても議論します。

キーポイント1 Web物理攻撃は、従来のセキュリティを迂回し、固有のブラウザの動作を利用するため、従来の手段では検出が困難です。

キーポイント2 POSCは、攻撃者に真の計算努力とリソースの所有を証明することを要求することで、防御の層を追加し、攻撃の成功コストを高めます。

キーポイント3 POSCをID認証と統合することで、信頼性が向上し、ユーザーが誰であるかだけでなく、実際にインタラクティブな人間であるかを検証することで、不正を減らすことができます。

キーポイント4 POSCは、機密性の高いAPIタスクドメイン操作に検証可能な信頼の層を追加することで、内部統制を強化します。

Web物理攻撃の理解

Web物理攻撃は、ユーザーがWebサイトとどのようにインタラクションするかという物理的な特性を利用します。これらの攻撃は必ずしもソフトウェアのバグをターゲットにするものではありません。むしろ、人間のインタラクションのタイミング、動き、および認知的な制限を利用します。例としては次のものがあります。

• マウスの動きの分析：攻撃者は、マウスの動きの微妙なパターンを分析して、人間ユーザーとボットを区別できます。
• タイミング攻撃：ユーザーがタスクを完了するのにかかる時間を測定することで、それが人間か自動化されたスクリプトかを判断できます。
• CAPTCHAとその限界：CAPTCHAは人間とボットを区別することを目的としていますが、高度なAIや人間が介在するファームによってますます回避されています。

主な問題は、これらの攻撃がしばしば微妙で、従来のファイアウォールや侵入検知システムなどの従来のセキュリティ対策を使用して検出することが難しいことです。それらはコードの下のレイヤーで動作するため、防御が非常に困難です。

Proof-of-SpaceとComputation（POSC）の紹介

POSCは、ユーザーが自分の信頼性を証明するために完了する必要がある、検証可能でリソースを大量に消費するタスクを作成するように設計された暗号化技術です。これは、2つの重要な要素を組み合わせることで機能します。

• Proof-of-Space：ユーザーにランダムなデータセットを保存するために特定の量のディスクスペースを割り当てるように要求します。これにより、攻撃者は攻撃に参加するために実際のリソース（ストレージ）に投資する必要があります。
• Proof-of-Computation：ユーザーに保存されたデータに対して計算集約的なタスクを実行するように要求します。これにより、スペースが割り当てられているだけでなく、積極的に使用されていることが検証され、事前計算またはオフライン攻撃を防ぎます。

このタスクは、自動化されたボットを抑止するのに十分な計算量の難易度を持ちながら、正当なユーザーには過度の負担をかけないように設計されています。難易度は、アプリケーションのセキュリティ要件に基づいて調整できます。

POSCがID認証を強化する方法

POSCをID検証プロセスに統合すると、攻撃者の難易度が大幅に向上します。CAPTCHAを回避したり、盗まれた資格情報を使用する代わりに、攻撃者は次のことを行う必要があります。

1. 必要なディスクスペースを割り当てる。
2. 計算集約的なタスクを実行する。
3. 各新しいアカウントまたはセッションごとにこのプロセスを繰り返す。

これにより、攻撃のコストと複雑さが大幅に増加し、経済的に実行できなくなります。さらに、POSCは単純な認証を超えた信頼の層を追加します。ユーザーが人間であることを主張するだけでなく、リソースと時間をプロセスに投資して実際にそれを行っていることを検証します。

たとえば、DiditのIDプラットフォームを使用している金融機関は、POSCをKYC（顧客確認）オンボーディングプロセスに統合できます。これにより、ユーザーが実際の個人であることを保証する追加の層が追加され、不正が減少し、内部統制が強化されます。

POSCとAPIセキュリティによるサイバーセキュリティの強化

POSCの利点はID検証を超えています。また、APIタスクドメインのセキュリティも強化し、機密データを保護し、不正アクセスを防ぐことができます。重要なAPIにアクセスする前にPOSCの完了を要求することにより、組織は自動化された攻撃と悪意のあるボット活動のリスクを大幅に軽減できます。これは特に、金融取引、個人データ、または重要なインフラストラクチャ制御を処理するAPIにとって重要です。実装には、レート制限のあるエンドポイントまたは昇格された権限を必要とするAPIへのアクセスを許可する前にPOSCチャレンジを含めることが考えられます。

Diditがお手伝いできること

Diditは、POSCテクノロジーを積極的に調査し、IDプラットフォームに統合しています。私たちの取り組みは、高いレベルのセキュリティを維持しながら、シームレスで使いやすいエクスペリエンスを提供することに重点を置いています。DiditがPOSCを活用する方法は次のとおりです。

• 柔軟な統合：POSCは、スタンドアロンの検証ステップとして、または既存のID検証方法（ID検証、生体認証検出など）と組み合わせて統合できます。
• 調整可能な難易度：計算上の課題は、ユーザーのプロファイルリスクと要求されたアクションの機密性に基づいて動的に調整できます。
• スケーラブルなインフラストラクチャ：Diditのクラウドベースのインフラストラクチャは、POSCの計算要件をスケールで処理できます。
• APIファーストアプローチ：堅牢なAPIを使用すると、開発者はPOSCを既存のアプリケーションに簡単に統合できます。

さあ、始めましょうか？

サイトをWeb物理攻撃から保護するには、積極的で革新的なアプローチが必要です。POSCは、進化するこれらの脅威に対する強力な防御を提供し、サイトのサイバーセキュリティを強化し、内部統制を強化し、ID検証プロセスを強化します。

DiditがPOSCを実装し、デジタル資産を保護する方法について詳しく学ぶには、次のWebサイトをご覧ください。

• 当社のウェブサイトをご覧ください
• Didit Business Consoleを探索してください
• 技術ドキュメントを確認してください