　計画的に実施できる予防策といえるが、いくつか考慮すべき点もある。人気のサービスほど毎日のようにAPIが更新されているので、検査と検査のインターバルに生じた脆弱性をタイムリーに発見することが難しい。大量に存在するAPIを人力で網羅的に検査するのはコスト的にも難しい。なので、注力するサービスのみに絞り、数カ月に一度程度の頻度で実施することが多い。

　一方で、人力による対策の限界を補うため、APIの脆弱性やそれを利用した攻撃をAIによるふるまい検知を用いて自動検出するシステムも導入され始めている。

　システムの仕組みはこうだ。各種のネットワークや、API-Gatewayなどの装置、Kubernetesなどコンテナ化されたアプリケーションの管理システムからAPIに関するトラフィックを収集。一定期間蓄積したデータから、AIでAPI固有の特徴をプロファイリングする。BOLAなどAPI実装上の考慮不足で生じた脆弱性を24時間休みなく自動で発見し、警告を発する機能も備わっている。

　発見された問題点を開発者にフィードバックすることで、仕様やコードの修正などの適切なパッチを促せる。正常なAPIアクセスを元にAIが作ったプロファイルから外れた異常な挙動があったときに、外部の機器と連動して、速やかに攻撃トラフィックの遮断を行うといった措置も取れる。

“認可されたアクセス” による攻撃の実態

　国内の事業者もAPIの脆弱性を探ろうとするアクセスを頻繁に観測している。例えばダミーアカウントを作り、サービスの利用者としてAPIの認証と認可を突破。APIでやりとりされる値の規則性を解析しようとしたり、特殊なリクエストを行うことで本来アクセスが許可されていないデータを引き出そうとしたり、直接アクセスできるサーバを踏み台にしてトークンを盗んだり悪用しようとする攻撃が試みられている。

　一般に公開されていないAPIでも警戒が必要だ。非公開のAPIは、アクセスできるIPアドレスを提携パートナー企業や関連会社に限定するなどの措置を取っていることが多い。しかし、パートナー企業をマルウェアなどで攻撃し、マシンを乗っ取った上でアクセスするケースも見られている。

　例えば海外の関連会社や提携会社に侵入され、認可を突破したうえで顧客や従業員の個人情報が大量に盗み出されるといった事件に聞き覚えはないだろうか。このような“認可されたアクセス”によるリスクは、ここ数年で広く浸透した「ゼロトラスト」の観点からも想定しておくべき事態だ。連続的にデータを読み出そうとするなどの異常なアクセスの兆候をとらえる施策を打っておくべきだろう。

セキュリティ戦略の転換 “攻撃検知”から”予防”へ

前のページへ 1|2|3|4 次のページへ