API攻撃が本格化の兆し Impervaのレポートから判明した最新攻撃動向：セキュリティニュースアラート

Impervaは「The State of API Security in 2024」を発表した。API攻撃が前年比で大幅に増加し、ビジネスロジックやアカウント乗っ取り攻撃が活発なことが明らかになった。

[後藤大地，有限会社オングス]

　Imperva Japanは2024年2月29日、APIセキュリティレポートの2024年版となる「The State of API Security in 2024」を発表した。

APIを狙う自動化された攻撃にどう対処する？　最新攻撃動向から対策を考える

　同レポートによると、APIを悪用したサイバー攻撃の数は2023年に大幅に増加し、APIの利用拡大がサイバー脅威の状況を大きく変えているという。

　レポートの主なポイントは以下の通りだ。

• 2023年に発生したビジネスロジックを標的とした攻撃のうち、APIに対する攻撃が27％を占めた。前年比で10％増加した
• APIを標的としたアカウント乗っ取り攻撃が2023年には46％になった。2022年の35％から増加した
• 2023年のWebトラフィックの71％以上をAPIトラフィックが占めた
• 企業サイトへのAPIコールの平均数は年間15億回だった

　同レポートによると、APIはアプリケーションのモダナイゼーションに重要な役割を果たし、API関連のトラフィックが通常のWebトラフィックを上回ったという。シームレスな接続やオンライン体験の向上、イノベーションの推進などAPIには多くの利点がある。

　だが、APIの広範な導入は組織が対応しきれない新たなセキュリティ課題を生み出している。自動化されたトラフィックが大量に発生していることとAPIに対する自動化された攻撃の増加に関連があることは明らかであり、アカウント乗っ取り攻撃の46％がAPIエンドポイントを標的にしている他、サイバー攻撃者の戦略がより巧妙になっている。

　Imperva JapanはAPIを巡る新しいサイバー攻撃について次の内容を取り上げた。

• 組織がAPIエコシステムを可視化して全てのAPIを詳細に識別できるようにすることが急務となっている。APIディスカバリーは強固なAPIセキュリティ体制を確立するために重要だ。非推奨エンドポイントやBOLA（Broken Object Level Authorization）などの潜在的なリスクが浮き彫りになった
• APIは設計上自動化を前提としており人が関与しないという基本構造を持っている。サイバー攻撃者はAPIのビジネスロジックや中核機能を狙うために自動化された攻撃や悪性botを活用するようになってきている。通常の自動化されたAPIトラフィックを模倣することで攻撃は検知されず、攻撃者は阻害されることなく不正行為を実行できる
• API攻撃は巧妙に通常のトラフィックを装うためWebアプリケーションファイアウォール（WAF）のような従来のセキュリティツールでは検知や緩和が困難だ。APIはデジタルサービスやオンライン体験を向上する一方で従来のサイバー攻撃ほどは検出や阻止が困難な新たなセキュリティ課題をもたらしている
• APIの悪用と悪性botの相関関係が高まっていることを認識するとともに、APIインフラストラクチャの可視性が急務であることを認識する必要がある
• WAFや高度なbot保護機能を備えたAPIディスカバリーやリスク評価、異常検知、攻撃緩和を含む高度なAPIセキュリティ対策を組み合わせた包括的なAPIセキュリティ戦略が重要性を増している

　Webを経由したAPIの利用は現在のアプリケーション開発において必要不可欠だが、サービス利用の増加が新たなサイバー攻撃を生み出していることが明らかになった。企業はこうしたサイバー脅威が存在することを認識するとともに、継続した情報収集と対策を実施することが求められる。