Akamai脅威レポート：Web 攻撃の 29% が API を標的としていることが明らかに

オンラインライフの力となり、守るクラウド企業、Akamai Technologies（NASDAQ：AKAM）は、最新の脅威レポート「インターネットの現状（SOTI）｜影に潜む脅威：攻撃トレンドで API の脅威を解き明かす」、およびレポートの内容から日本のデータを切り出して洞察をまとめたブログを公開しました。本レポートでは、API を標的とした一連の攻撃を取り上げており、また 2023 年 1 月から 12 月の期間で、すべての Web 攻撃のうち 29% が API を標的としたことを発見しています。ブログでは、日本国内ではWeb攻撃のうちAPIを標的とした攻撃は23％だったことを明らかにしています。これらの割合はAPIへの攻撃がセキュリティ上無視できないことを示しています。国内では製造業が最も攻撃を受けた業界であり、Web攻撃全体の 約 57% をAPI攻撃が占めています。次に攻撃が多かったのはゲーム業界で、約 29% でした。

API は従業員と顧客の両方の体験を向上させることができるため、いまやほとんどの組織にとって不可欠な存在です。しかし残念ながら、サイバー犯罪者はこのデジタルイノベーションと API 経済の急速な拡大を利用し、新たな悪用の機会を生み出しました。API の需要が増加するにつれてこれらの攻撃は急増し続けており、組織は適切に API を把握し、セキュリティを確保する必要に迫られていることが、新しい SOTI レポートで指摘されています。

この最新の調査では、ポスチャとランタイムの両方の課題について、最も一般的なものについて分析しています。API セキュリティの実際の影響を明らかにするいくつかのケーススタディを提供するとともに、欧州・中東・アフリカ（EMEA）地域とアジア太平洋・日本（APJ）地域のデータを提示して傾向を説明しています。

その他にも、このレポートでは以下のことが明らかになりました。

l  APIの認証・認可や過度なデータ露出などのビジネスロジックの脆弱性や欠陥はその内容がサービスによって異なるため、API ごとの平時のふるまいのベースラインのプロファイリングなしにアノーマリーな API アクティビティを検知することは困難です。アノーマリーなAPI アクティビティを監視するソリューションを持たない組織は、データスクレイピング（認可された APIアクセスを用いてゆっくりとデータをスクレイピングする、新しいデータ漏えいベクトル）などのランタイム攻撃のリスクに晒される。

• l実際のAPI に対する攻撃では、ローカル・ファイル・インクルージョン（LFI）、SQL インジェクション（SQLi）、クロス・サイト・スクリプティング（XSS）などの、比較的よく知られた Web攻撃手法も観測されている。これらのリスクの一部は、2023版のOWASP API Security Top 10ではランク外となったが、引き続き主要な攻撃ベクトルとして着目する必要がある。
• API は現在、ほとんどのデジタルトランスフォーメーションの中核となっている。最も重要なことは、ロイヤルティ詐欺、悪用、認可されたAPIアクセスによる攻撃、カーディング攻撃など、業界の動向や関連するユースケースを把握することが重要。
• 組織は、システムの再設計が必要となる事態を回避するために、セキュリティ戦略プロセスの初期段階で、APIに関してもセキュリティコンプライアンス要件や新たな法規制を考慮する必要がある。  

Akamai の Advisory CISO である Steve Winterfeld は「API は組織にとってますます重要になっていますが、API のセキュリティはAPIを設計する段階で組み込まれていないことが多く、APIを用いた新しいテクノロジーの迅速な展開にセキュリティチームが対応できていません。本レポートは、組織がベストプラクティスを活用して顧客を保護できるように、知見と可視性を提供します」と、述べています。

Akamai の「インターネットの現状（SOTI）」レポートは今年で 10 周年を迎えました。SOTI シリーズでは、Akamai Connected Cloud から収集したデータに基づいて、クラウドセキュリティと Web パフォーマンスの状況についての専門家の知見をご紹介します。