Shadow APIs hit with 5 billion malicious requests
2022/10/07 HelpNetSecurity — Cequence Security は、”API Protection Report: Shadow APIs and API Abuse Explode” と題した、2022年上半期のレポートを発表した。調査結果の主なものは、一般的に Shadow API と呼ばれる、未知かつ管理/保護されていない API を対象とした、約50億 (31%) の悪質なトランザクションに関するものであり、この分野における最大の脅威になっているという。
Cequence Security の CEO である Ameya Talwalkar は、「現実の世界において、私たちが消費者として享受するライドシェアリング/フードデリバリーなどのサービスは、API 上に構築されている。私たちの調査では、このユーザー・エクスペリエンスを向上させる革新的な方法が、企業のセキュリティ/信頼/利益に対する、最大の脅威にもなることが判明した。それぞれの企業は、セキュリティ戦略において優先させるものを再考し、API 保護を見直す必要がある」と述べている。
このレポートは、2022年上半期に観測された、200億以上の API トランザクションの分析に基づいており、企業を悩ませている API 最大の脅威を明らかにしようとしている。
Top threat #1:悪意のある攻撃全体の 31%が Shadow API を標的にしている
観測された 167億件の悪意のリクエストのうち、Shadow API と呼ばれる未知かつ管理/保護されていない API を標的とするものは、約50億件 (31%) であり、幅広いユースケースに及んでいることが判明した。
最新の Dunks や Air Jordans などを狙うスニーカー・ボットから、盗んだクレジットカードでカードテストを行うステルス攻撃にいたるまで、さまざまなケースが確認されている。ショッピング・ボットやギフトカード攻撃の前兆として、大量のコンテン・ツスクレイピングが行われたことで、Shadow API への攻撃は 2022年4月に急増し、その後も増加し続けている。
Top threat #2:API の不正利用
CQ Prime Threat Research Team がブロックした 36億件の攻撃によると、2022年上半期に緩和された API セキュリティ脅威の第2位は、API の不正利用である。それは、適切にコーディングされインベントリ化された、API を標的とする攻撃のことである。
この発見により、OWASP のような業界標準のリストを、最終目標ではなく出発点として使用する必要性が浮き彫りになってきた。ブロックされた攻撃の分析により、それらの攻撃者が用いる戦略が示される。
- スニーカーや高級品を狙った 30億個のショッピング・ボット
- 2億9000万件のギフトカード・チェック攻撃
- 人気のデート/ショッピング・アプリにおける、約2億3,700万件の偽アカウントを作成
Top threat #3:クレデンシャル・スタッフィング/Shadow API/機密データ暴露の組み合わせ
1億件の攻撃において、API2 (ユーザー認証の失敗) /API3 (データの過剰な露出) /API9 (不適切な資産管理) が複合的に使用されている。つまり、脅威アクターたちは、各 API の仕組み/相互作用/期待される結果などを、詳細に分析していることになる。したがって、開発者は脅威アクターの目論見を常に警戒し、API コーディングのベストプラクティスに従う必要がある。
アカウント乗っ取りの被害軽減により $193 million を節約
CQ Prime Threat Research team は、アカウント乗っ取り (ATO:Account Takeovers) が流行し続けていることを示し、約11億7000万件の悪質なアカウント・ログイン要求 (すべてAPIに対するもの) を軽減するために、ユーザーを支援している。ATO の人気は、その汎用性に起因しており、アカウントの不正ログインに API が多用されたことが、このレポートを通じて示されている。
さらに重要なのは、ATO がビジネスに与える影響が大きいことだ。1件のインシデントあたりのコスト見積もりは、およそ9時間の調査作業を含む $290 (Juniper Research) から $311 (FTC) まで、さまざまなものがある。CQ Prime Threat Research team の緩和策を適用すると、およそ 1,170万件のアカウントが保護される。これは、全顧客で $193 million の節約に相当する。
Cequence Security の Director of Threat Research である William Glazier は、「我々の分析と調査は、実際に行われた攻撃に基づいている。この調査結果は、IT/セキュリティのリーダーたちが、正しくコーディングされた API とエラーが存在する API が、どのように攻撃されるのかを、正確に理解することの重要性を強調している。サンプル数が 200億ということは、あらゆる業界の企業が、この種の脅威の影響を受けている可能性が高いということだ」と述べている。
このレポートでは、攻撃者がリスクを悪用するために使用する TTP (tactics, techniques, and procedures) と、防御側からの抵抗に対する攻撃者の反応を、理解することの重要性が強調されている。つまり、出発点としての OWASP API Security Top 10 に、影響されないことがあると確認すべきである。それだけではなく、API10+ と定義できるもの、つまり完全にコーディングされた API が、悪用される可能性を包含する領域について、確認する必要があることを示している。
まず、文中の「API2 (ユーザー認証の失敗) /API3 (データの過剰な露出) /API9 (不適切な資産管理) 」という部分ですが、OWASP API Top-10 の各項目に該当する表現となります。その意味で、先に OWASP API Top-10 に目を通したほうが、全体を把握しやすいかもしれません。この記事が主張しているのは、それらの脅威を組み合わせて、API 攻撃を仕掛けてくる脅威アクターが、急増している現実を認識しようという点なのでしょう。Cequence Security の API Protection Report をダウンロードしましたが、インフォグラフィックを多用する、わかりやすい構成になっています。また、よろしければ、カテゴリ API も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.