Impervaによる調査レポート「The State of API Security in 2024(2024年版 APIセキュリティの現状)」では、APIの数と使用量の増加がセキュリティ脅威に及ぼす影響について強調しています。2023年には、APIを標的とした攻撃は大幅に増加しました。
APIのビジネスロジックを標的とした攻撃は、2023年における全攻撃のうち27%を占め、前年比で10%上昇しています。また、APIを標的とするアカウント乗っ取り(ATO)攻撃も、2022年の35%から2023年には46%に増加しました。
本調査レポートは、Imperva Research LabsおよびImperva API Securityから得られた専門的なデータに基づき、一般的なAPIセキュリティの課題についての洞察や、今後1年間に向けた実用的なAPIセキュリティの推奨事項も提示しています。
Webトラフィックを上回るAPIトラフィック
API (アプリケーションプログラミングインターフェース)は、アプリケーションのモダナイゼーションにおいて非常に重要な役割を果たしており、API関連のトラフィック量は通常のWebトラフィックを超える勢いで増加しています。レポートによると、昨年のAPIトラフィックは、Webトラフィック全体の71%以上を占めています。APIを利用することで、シームレスな接続の促進、オンラインエクスペリエンスの強化、イノベーションの促進など、多くのメリットが得られます。しかし、APIの普及によって組織が対処しきれない可能性がある新たなセキュリティ上の課題も発生しました。
APIコールと自動化の悪用
レポートによると、企業サイトに対するAPIコールは平均15億回であると述べられています。人間以外の自動化されたトラフィックが大幅に増加したことと、APIに対する自動攻撃の増加には明白な関連性があります。そのため、分散型サービス拒否(DDoS)攻撃やアカウント乗っ取り攻撃(ATO)など、悪質なボットや自動化された攻撃を防ぐ堅牢なセキュリティ対策への需要が高まっています。また、アカウント乗っ取り攻撃のうち、46%はAPIエンドポイントを標的としていました。攻撃者の戦略もより巧妙になっており、APIに対するDDoS攻撃全体の28%が、この種の攻撃で最も狙われやすい業界である金融サービス機関を標的にしています。
組織がAPIにますます依存するにつれ、APIがアプリケーションのインフラストラクチャにもたらすリスクを十分に把握することがこれまで以上に重要になっています。レポートでは、シャドーAPI、ビジネスロジックの悪用、データ漏えい、APIセキュリティのスキル不足といった主要な課題を明らかにし、焦点を当てています。
重要な最初のステップ:Discovery(発見)
このレポートでは、組織がAPIエコシステムを可視化し、すべてのAPIを詳細に特定できるようにすることが急務であると述べられています。ここで、堅牢なAPIセキュリティ体制を確立するための重要な最初のステップとなるのが、API Discovery(APIの発見)です。高度な技術と機械学習を用いたImpervaの分析では、1組織あたり平均613のAPIが発見されました。さらに、非推奨のエンドポイントや、2023年のOWASPトップ10 APIセキュリティリスクの1つとして認識されているBOLA(壊れたオブジェクトレベル認証)などの潜在的なリスクも明らかになりました。
自動化された攻撃とビジネスロジックの悪用
APIの基本的な構造には、自動化を指向し、人間の介入にとらわれないという設計が施されているため、自動化された攻撃は重大な脅威となります。攻撃者はAPIのビジネスロジックやコア機能を標的にするため、自動化された攻撃や悪質なボットを以前に増して利用するようになりました。通常の自動化されたAPIトラフィックを模倣することで攻撃が検出されなくなるため、脅威アクターは悪質な行為を中断せずに実行することができます。2023年は、すべてのAPI攻撃のうち、27%という驚異的な割合がビジネスロジックを標的としていました。
従来のセキュリティ対策だけではAPIの悪用を検出できない
API攻撃は通常のトラフィックに巧妙に偽装するため、Web Application Firewall (WAF)をはじめとする従来のセキュリティツールでは、こういった不正行為を検出および緩和するのは困難です。つまり、APIはデジタルサービスやオンライン上のエクスペリエンスの機能を強化する一方で、これまで慣れ親しんだ種類の攻撃とは異なる新しいセキュリティ上の課題をもたらしています。
重要なステップ:悪性ボットからの保護
Imperva Threat Researchチームは、APIの悪用と悪性ボットとの相関関係が高まっていることを明らかにし、APIインフラストラクチャの可視性を高めることが急務であると強調しました。包括的な評価と、Imperva Advanced Bot ProtectionやAPIリスク評価ツールなどの必要なセキュリティソリューションの実装を可能にするためにも、こういった可視性は不可欠です。
APIセキュリティへの包括的アプローチ
レポートでは、組織がAPIインフラストラクチャを保護する際に直面する無数の課題と脆弱性について調査し、Web Application Firewall(WAF)やAPI DiscoveryをAdvanced Bot ProtectionとAPI Security(リスク評価、異常検知、緩和を含む高度なAPIセキュリティ対策)と組み合わせ、包括的なAPIセキュリティ戦略を講じることが最重要であると強調しています。APIを強力に保護するために不可欠な統合アプローチを提唱しています。
レポート全文はこちらからダウンロードしてください。