search
ja日本語
banner
ホームページ / ニュース / API 攻撃は過去 6 か月で 400% 増加
ニュース
pageSearch
最新ニュース

API 攻撃は過去 6 か月で 400% 増加

Jul 15, 2023Jul 15, 2023

ホーム » Security Boulevard (原文) » API 攻撃が過去 6 か月で 400% 増加

API に対する攻撃は急増し続けています。 Salt Labs の新しい調査結果では、ユニークな API 攻撃者が過去 6 か月間で 400% 増加したという衝撃的な事実が判明しました。 興味深いことに、このレポートでは、攻撃の 80% 近くが認証されたエンドポイント経由で発生していることも判明しました。 Gartner は以前、API が間もなく最も頻繁に使用される攻撃ベクトルになると予測していましたが、新しいデータがこれらの主張を証明しているようです。

全体的に、API トラフィックは、主に新しい Web API の急増により急激に増加しています。 これらのエンドポイントは、パブリック プラットフォームを公開したり、内部データセットをオープンしたり、マイクロサービスを接続したり、デジタル パートナー エコシステムを強化したりするために構築される場合があります。 ただし、これらの統合ポイントのすべてが設計上安全であるわけではなく、多くの統合ポイントがオブジェクト レベルの認証の破損などの脆弱性を抱えています。 さらに、API のスプロールにより、管理されないままのゾンビ API やシャドウ API が生成される可能性があります。 こうした理由から、多くのハッカーは API を簡単に実現できる成果とみなしています。

以下に、Salt Lab の 2023 年第 1 四半期 API セキュリティ状況レポートから得たポイントをいくつか紹介します。 私はまた、Salt Security のディレクターである Stephanie Best 氏と対談し、API 攻撃が加速している理由を解明し、API 関連の脅威の増加を食い止めるために組織が採用できるベスト プラクティスについて検討しました。

Salt Security の顧客ベースに対するトラフィックを監視してまとめられた実証データにより、大量の固有の攻撃者が運用 API にアクセスしていることがわかりました。 「その量が爆発的に増えるとは予想していませんでした」とベスト氏は語った。 API の成長は加速しており、そのため、絶えず進化するカタログに追いつくことはおろか、この成長を確保することも困難になる可能性があると彼女は説明しました。

組織が数千ではないにしても数百の API を作成するにつれて、セキュリティへの影響を管理することが負担になってきています。 その結果、過去 1 年間に 94% が運用 API でセキュリティの問題を経験し、17% が API のセキュリティ ギャップにより組織がデータ侵害に遭ったと述べています。 セキュリティ専門家や API 開発者は、時代遅れのゾンビ エンドポイント、アカウント乗っ取り、サービス妨害攻撃の可能性を最も恐れる傾向があります。

一般的な API セキュリティ問題には、脆弱性、認証の問題、機密データの漏洩、ブルート フォース攻撃、その他の問題が含まれます。 そして、最も一般的な攻撃タイプを OWASP API セキュリティ トップ 10 にマッピングすると、上位のリスクには API8:2019 インジェクション (29%)、API7:2019 セキュリティ構成ミス (23%)、API4:2019 リソース不足とレート制限 ( 20%)、API2:2019 のユーザー認証の破損 (9%)。

Best 氏によると、攻撃トラフィック増加の主な理由はその量にあります。 API の使用は爆発的に増加し、ビジネスのさまざまな側面に浸透しています。 非技術系企業ですらソフトウェア企業に変わりつつあり、ソフトウェア アーキテクチャを最新化するにつれて、社内およびサードパーティのクラウド API に依存するようになります。 しかし、従来のセキュリティ ツールには、ビジネス ロジックのギャップを発見する機能が十分に備わっていないとベスト氏は述べています。

興味深いことに、攻撃の 78% は認証されたユーザーからのものであり、攻撃者が通常、認証を達成して正規のユーザーを装おうとすることを示しています。 攻撃者はより賢くなり、API を操作して特権を昇格させ、アクセスすべきではない情報を取得する方法を学習したとベスト氏は説明しました。 これは、HTTP 呼び出しで一意の識別子を切り替えて、別のアカウントからの情報を要求するだけの簡単な方法です。 継続的な開発とセキュリティ監視の欠如により、このようなビジネス ロジック内のギャップが生じる可能性があります。

API 攻撃はデータの盗難やアカウントのエスカレーションにつながり、罰金や評判の低下につながる可能性があります。 しかし、API のセキュリティ問題はさまざまな形でビジネスに影響を与える可能性があります。 つまり、開発が遅くなる可能性があります。59% が、API セキュリティ上の懸念により、新しいアプリケーションの展開を遅らせなければならなかったと報告しました。

2023 年に API がサイバーセキュリティの最大の懸念事項であることは明らかです。では、組織が API カタログを保護するために適用できるベスト プラクティスにはどのようなものがあるでしょうか?

前: 説明者: Reddit の抗議: なぜ何千ものサブレディットが暗転するのでしょうか? 次: API インベントリとは: API インベントリの概要?
お問い合わせを送信
送信