API 攻撃のトラフィックが6ヶ月で 300+% も増大している

API Attack Traffic Grew 300+% In the Last Six Months

2021/07/30 SecurityBoulevard — Salt Labs が発表したレポートにより、過去6ヶ月間における AP 攻撃が。かつてないほど急増していることが明らかになった。月間の API コールレートは 141% 増加し、悪意のトラフィックは 348% と大幅に増加した。今回の調査結果は、Salt Security の顧客データのみをベースにしているが、クラウド・ネイティブの脆弱性が広まっていることが浮き彫りとなり、また、より強固なサイバー・セキュリティ対応が、IT 業界全体にとって必要なことが明確化している。

デジタル・トランスフォーメーションの中で、API の使用は広がり続け、それに伴い攻撃の数も増加している。API に関する懸念としては、開発者の約半数がセキュリティ上の問題を最大の心配事として挙げている。API セキュリティに関する脅威は、アプリケーションのロールアウトを遅らせ、アプリケーションを不安定にし、ブランドの評判を低下させるなど、ビジネスに多大な損害を与える可能性がある。Salt Labs の最新レポート Q3 2021 State of API Security は、API プロバイダーの匿名データを分析し、200人以上の IT 専門家を対象に、API セキュリティ対策について調査したものだ。以下では、その情報をもとに、現状における攻撃のエスカレーションの要因を明らかにし、その対応策を簡単に提案する。

API セキュリティの現状

1つの組織あたりの API 数は飛躍的に増加しており、潜在的な脆弱性の数も増加している。組織内の API エンドポイントの平均数は、2020年6月の28個から2021年には89個にまで増加している。必然的に、API コールの量はエスカレートしており、過去6カ月で 141% 増加している。この、開示される面積の増加が、脅威の増加を生み出している。この新しい革命の多くは、最近のデジタル革新プロジェクトにより主導されているようだ。このレポートによると、61%の 企業が、プラットフォームやシステムを統合するために API を利用している。

また、デジタル・トランスフォーメーションへの取り組みと開発効率の向上も、API 利用の一般的な要因であり、それぞれが 52% と 47% になっている。API は、マイクロサービス・デザインのトレンドを支え、Machine-to-Machine によるパートナー統合のための標準的な手法となる。月ごとの頻度を見てみると、10社に1社以上のプロバイダーが、毎月 500 回以上も API 攻撃されていることが分かる。実際のところ、回答者の 94% が過去12カ月間に API セキュリティ不備を経験しており、悪意のトラフィックが API トラフィック全体の 2.6% を占めるようになっている。

ハッカーたちは、特権昇格のために API のギャップを利用することが多く、正当なアクセス権を摂取した後に、アカウントの悪用や、データを流出、サービス妨害攻撃などを可能にしている。OWASP は、オブジェクト・レベルの認証ができないことを、API セキュリティの最大の問題としている。回答者の 39% が、過去12ヶ月以内に不正認証などの問題を経験したと答えていることからも、この主張は実証されている。

攻撃の増加の理由

API への攻撃が増加している理由は数多くある。多くの企業が、継続的なメンテナンスやセキュリティについて適切に検討することなく、すぐに API の流行に乗ってしまった。その結果として、認証の不備が常に発生し、API はハッカーにとって格好の標的となっている。プライベート・エンドポイントや文書化されていないサービスが、パブリックな Web を横断することは、プライベートの概念から乖離するものであり、いずれは悪用されるだろう。DevSecOps の準備不足に加えて、市場に出回っている API の数の多さが、悪意のトラフィックを確実に前進させている。

API は、いまやインターネットの総トラフィックの、80% を占めている。Gartner は、2022年までに API への攻撃が、最も頻繁に企業の Web アプリケーション攻撃する手段になるとまで言っている。API セキュリティの責任者をめぐる社内の意見の相違が、この問題を悪化させている可能性がある。API のセキュリティに責任を持つのは誰かという質問に対して、回答者の21% は開発者だと答え、20% は API チームだと答えている。また、16% が AppSec、11% が DevOps と答えており、その他の IT 部門に責任があるという回答もあった。つまり、組織内において、API セキュリティの所有権をめぐる混乱が広がっているのだ。

Web API は、多くの企業にとって新しい技術的現象であり、そこに API セキュリティ戦略が追いついていない状況にある。このレポートによると、26% が API セキュリティに関する戦略をまったく持っていないことが分かった。リソース不足や予算の制約が、こうした取り組みを妨げている可能性がある。さらに、API カタログ全体を観察することができないため、露出したまま忘れ去られた、エンド・ポイントが発生する可能性もある。

対策

セキュリティに関する懸念により、ビジネスの革新が妨げられる可能性がある。実際のところ、64% の企業が、API セキュリティに関する懸念のために、新しいアプリケーションのデプロイメントを遅らせたと報告している。では、API プロバイダーは、このような差し迫った API への脅威を、どのようにして軽減すればよいのだろうか。簡単な ToDo としては、会社全体の API インベントリの集計、OWASP API Security Top 10 Vulnerabilities への対応、より高度なツールの導入などが挙げられる。

多くのプロバイダーが、自社の API カタログについて曖昧な認識を持っている。回答者の 85% という大多数が、自社の API インベントリが完全であるという自信がないと答えている。さらに悪いことに、回答者の 85% は、どの API が機密データを公開しているかを、把握している自信がないと答えている。完全に廃棄されなかったレガシー・ゾンビ API は、知らず知らずのうちに機密データを漏えいさせ、データの過剰公開につながっている可能性がある。これらの懸念に対処するために、企業は API カタログ全体を、より適切に把握するよう努めるべきだ。また、誰が API セキュリティに責任を持つかについて混乱しているようなので、組織が一丸となって、より明確な責任を定義する必要があるだろう。

幸いなことに、ほとんどの組織では、すでにこのような取り組みが行われており、回答者の 3分の2が、セキュリティ・チームと DevOps チームの協力/連携が進んでいると答えている。ツールという面においては、従来からのファイアウォールや最新の API ゲートウェイだけでは、多様な攻撃を防ぐことができない。また、API 攻撃を特定する上で、既存のツールが極めて有効であるという回答は 16% に留まった。このレポートでは、日々の脅威を発見するためには、シフトレフトの発想だけでは不十分であり、WAF (web application firewalls) や API ゲートウェイを、プロダクション環境用のランタイム防御で補強すべきであると指摘している。そのためには、人工知能 (AI) や機械学習 (ML) により、不審な動作を検知することで、API 攻撃を未然に防止すると考えられる。

API セキュリティへの影響

デジタル・トランスフォーメーションは、企業がリモートワークに目を向けるようになったパンデミックの時代を介して、本当の意味で急上昇している。それは、この数カ月で、API を悪用する攻撃の急増からも分かる。とりわけ、金融サービスのような重要な機関がデジタル化すると、その出入り口は魅力的な攻撃ポイントとなり、適切なロックを準備することが、組織に対して求められる。

SolaWinds / Colonial Pipelines / JBS Foods などのインシデントにより、米国は大統領令でサプライチェーンの保護を明文化するほど、この問題に真正面から取り組んでいるようです。サプライチェーンを考えるなら、それを支える API へと焦点が移っていくことが、当然の成り行きであり、このような記事が、このところ増えてきています。他にも、「覚醒必須:API の脆弱性を先回りして特定する」や「API ファースト時代のアプリケーション保護を再考する」もあるので、ご参照ください。

%d bloggers like this: