Biggest API Security Attacks of 2021 … So Far
2021/11/30 SecurityBoulevard — 脅威アクターたちにより、API セキュリティのギャップが露呈され続けている。デジタル・サービスを革新し、他のサービスと接続したいという願望は、悪意の脅威アクターたちの攻撃対象を広げることになる。セキュリティ上の懸念よりも、開発の俊敏性/革新性/反復性が優先されがちな世界では、敵対者たちは API を介してサービスに侵入し、いとも簡単に機密データを盗み出していく。そして 2021年には、多くの API 攻撃が発生している。ここでは、その中でも最大級のものを4つ紹介する。
Parler API ハック
Parler は、米国のトランプ政権下で目立つようになった SNS プラットフォームだ。2021年にセキュリティ研究者たちは、同サイトの 1,000万人のユーザーが蓄積した、60テラ・バイトを超えるデータを簡単に取得できる、Parler の API における重大なセキュリティ上の欠陥を明らかにした。
このハッキングは、社会的/政治的な理由により、セキュリティ・チームが協調してシステムを攻撃するハクティビズム (hacktivism) と呼ぶに相応しい行為だった。この事例では、連邦議会議事堂の包囲に備えて、Parler ユーザーが同プラットフォーム上で公開したコンテンツを明らかにしたいという動機があったようだ。
動機が何であれ、その方法は驚くほどシンプルだった。セキュリティ研究者たちは、制限と保護がなされていない API コールを利用した。実際のところ、Parler は何が起きているのかを知る術もなく、研究者たちは好きなだけユーザー・データをダウンロードできた。さらに、Parler が投稿の URL を順番に並べていたことで、数百万件の投稿を簡単にダウンロードすることができた。
Clubhouse のリーク
Clubhouse は、音声によるコミュニケーションを基本とした SNS プラットフォームである。この音声チャットルームでは、何千人もの人々が同時に会話をすることができる。Clubhouse のアプリは比較的新しく、最初のリリースは2020年4月である。そして、リリースから 12カ月後には、1週間に1,000万人以上のユーザーが利用するようになっていた。
ところが、このプラットフォームは、データ流出の被害に遭ってしまった。人気のハッカー・フォーラムが、Clubhouse ユーザーの名前/アカウント作成日/写真の URL などの情報を含む、約 130万人分のデータベースを公開したのだ。このケースにおけるセキュリティ上の欠陥は、API を使用する誰もが、公開されている全ての Clubhouse ユーザーのプロファイル情報を照会できるという点にあった。
興味深いことに Clubhouse は、セキュリティ対策が不十分であるという批判に対して、Teitter 上で断固として自社を擁護している。同社のツイートによると、「参照されているデータは、当社のアプリから公開されている全てのプロフィール情報であり、誰でもアプリまたは API を介してアクセスできるものだ」とのことだ。
このプラットフォームのセキュリティ・ポリシーでは、データの不正なスクレイピングを禁じているが、この API のセキュリティ欠陥により、スクレイピング対策が施されていないことが明らかにされた。技術的なコントロールにより、これらのポリシー・ルールを実施する必要がある。
LinkedIn のブリーチ
2021年に起きたもう一つの大きなセキュリティ事件は、ハッカーが LinkedIn の7億人分以上のユーザー・データを侵害し、そのデータをダークウェブで販売するというものだったで。LinkedIn は世界最大のプロフェッショナル SNS プラットフォームであり、流出した7億人のユーザー・データは、同サイトにおけるユーザー・ベースの 90% 以上に相当する。
この不正アクセスで盗まれたデータには、それぞれのユーザーの氏名/電話番号/住所などが含まれていた。このような情報は、フィッシングやスミッシングなどのソーシャル・エンジニアリング・キャンペーンを行う敵対者にとって、きわめて貴重な情報となる。
この攻撃を行ったハッカーは、LinkedInの API を使用してデータをダウンロードした。しかし、この攻撃の背景にある API の技術的な欠陥については、まだ明らかになっていない。しかし、同プラットフォームでは、API のセキュリティ対策に十分な注意が払われず、その結果として、脅威となる行為者は無制限にデータを要求できたことが判明している。
Salt Security の API Security Checklist には、「API のセキュリティ・テストを行うことは非常に重要だが、標準的なビルド・プロセスを経ていない変更や、テスト・ツールが発見できない悪用をキャッチするためには、ランタイムの保護も必要であることを認識してほしい」と記されている。API のセキュリティ・テストを行わないと、基本的な欠陥を見つけることはできない。このセキュリティ・テストは、DevOps サイクルに組み込まれるべきだ。
NoxPlayer API ハック
NoxPlayer とは、PC と Mac に提供される Android エミュレータである。2021年初頭、セキュリティ研究者たちが、NoxPlayer API のハッキングを発見し、少数のユーザーにマルウェアがプッシュされたというニュースが流れた。正体不明の脅威アクターは、API レスポンスの検証が不十分であることを悪用した高度な技術を用いて、同社のオフィシャル API を侵害した。
このハッカーは、ソフトウェアのアップデートを装い、3種類のマルウェアをユーザーにプッシュすることに成功した。セキュリティ研究者は、これらのマルウェア系統には、監視関連の機能が備わっていたと考えているようだ。なお、NoxPlayer を所有する BigNox は、この攻撃の背景にある API セキュリティの欠陥を修正している。
今後の展開
開発ライフサイクルの中で、セキュリティが後回しにされている限り、ハッカーは API セキュリティ欠陥をうまく利用し続けるだろう。それぞれの企業は、API に特化したセキュリティ戦略を迅速に実行する必要がある。変化の激しい今日のデジタル社会では、企業はイノベーションとデリバリーのスピードを優先するのが当たり前になっている。
この方式をとれば、短期的には競争力を高められるだろうが、長期的に見るなら、組織のセキュリティの欠如が、攻撃者に悪用されることはほぼ確実だ。API は、アプリケーションやサービス間の通信手段を増やし続けるが、同時に、ハッカーたちにチャンスを与え続ける。最もセンシティブな情報資産を守りたいのであれば、API セキュリティを優先する必要がある。
10月19日に「OWASP API Top-10: API を脅かす脆弱性を分析して対策を講じる」という記事をポストしましたが、API でよく見られる脆弱性が、簡潔に分類/分析されていて、とても参考になります。よろしければ、カテゴリ API も、合わせて ど〜ぞ。
IoT OT Security News 