API セキュリティ調査 2021:攻撃トラフィック量は 600% 増という驚異的な伸び

Attacks abusing programming APIs grew over 600% in 2021

2022/03/02 BleepingComputer — セキュリティ・アナリストは、この1年間において API 攻撃が急増しているが、ほとんどの企業は、この問題に取り組むには適切ち言えない慣行をとっていると警告している。Salt Security は、2021年の API 攻撃トラフィックが 681% 増加し、API トラフィック全体は 321% 増加したと、具体的に報告している。一連の統計は、この業界が API ソリューションを採用するにつれて、それらに対する攻撃が不均衡に増加している現実を浮き立たせている。

Diagrams reflecting rise in API use and API attacks
Diagrams reflecting rise in API use and API attacks (Salt Security)


Salt Security のレポートで引用される全てのデータは、さまざまな規模の企業で働く、250人の従業員を対象とした調査から得られたものだ。

API攻撃

API (Application Programming Interface) は、データ交換のために接続される、オンライン・サービスをサポートするソフトウェア・インターフェースのことである。
これらの接続は、認証されていないアクセスから、保護されている必要がある。そうでなければ、ユーザーとプログラム間の相互作用の内容を、誰もが掠め取ることができるようになる。

API 攻撃には、API の仕様を悪用し、データ漏洩/DDoS/SQL インジェクション/中間者攻撃/マルウェア拡散などがあるが、そのベースにあるのは不正な認証回避である。これらの攻撃のリスクは、大規模かつ悲惨であるため、Salt Security 調査では回答者の 62% が API セキュリティを懸念し、アプリケーションの展開を遅らせたことがあると答えている。

誤ったアプローチ

Salt Security は、運用前の API セキュリティに過度に依存し、開発段階でのセキュリティ問題の特定に重点を置いていることが、問題だと指摘している。現実には、ほとんどの API 攻撃は、アプリケーションが運用段階に入ったときに初めて明らかになる、ロジックの欠陥を悪用していることが判明している。しかし、開発から運用へといたる段階で、セキュリティ・チームを活用する企業は、25% ほどに過ぎない。さらに、34% の企業が、API セキュリティ戦略を持たず、API ソリューション・ベンダーに依存するだけとなっている。

phases
(Salt Security)


最終段階で、API ゲートウェイや WAF を導入するだけでは、XSS/SQL/JSON などのインジェクション攻撃を検知/阻止することはできない。なぜなら、これらは脅威アクターは必要な偵察を行い、悪用できるセキュリティ・ギャップを特定した後に、攻撃を実施するからである。

複雑化の一途をたどる

ほとんどの組織では、対象となる API を採用した後に更新や機能の充実が必要となり、管理するプロジェクトは困難な状況へと陥る。Salt Security の報告によると、調査回答者の 83% が、自社のインベントリやドキュメントに、すべての API 機能が反映されているという確信を持てないそうだ。

documentation
(Salt Security)

また、43% の回答者が、すでにアプリからは積極的に使用されていないが、脅威アクターに悪用される可能性がある、古い API 機能に関する懸念を表明している。

zombies
(Salt Security)

セキュリティに関する提言

Salt Security は、業界の API セキュリティに対する認識と対応に、変化の兆しがあると見ているが、まだ不十分だと警告している。レポートの中で示されている、主なセキュリティ上の推奨事項は以下の通りとなる。

  • API のライフサイクル全体に対する堅牢な API セキュリティ戦略を定義する。
  • 現在の AP I設計と既存の制御を検証し、現在のリスクレベルを評価する。
  • オンプレミス/クラウド/コンテナ/レガシーなどの、すべてのアプリ環境において摩擦のない API セキュリティを実現する。
  • クラウド・データを使用して、悪意の偵察行動のパターンを特定できれば、一歩先を行くことが可能となる。
  • コード・レビューにおけるシフト・レフト手法への依存を減らし、ランタイム・セキュリティへの投資を増やす。

新しい年が始まり少し時間が経つと、さまざまな調査ベースのレポートが提供されます。Salt Security を元データとする API の記事は、3月2日の Security Boulevard「Salt Security の調査:API の広大な攻撃面積を保護するためには?」に続く第二弾となります。同じレポートがベースにあっても、それぞれのメディアによる違いがあって、とても興味深いです。ただし、どちらも指摘している、2021年は API 攻撃トラフィックが 681% 増加し、API トラフィック全体は 321% 増加したという現実には、注目していく必要があるでしょう。

%d bloggers like this: