Attackers exploit APIs faster than ever before
2023/03/08 HelpNetSecurity — Wallarm が35 万件のレポートを精査したところ、337 のベンダーが関連する、650 の API 固有の脆弱性が確認されたという。さらに、これらの脆弱性に影響を与える 115 の公開されたエクスプロイトを追跡した結果、API の脅威の状況は、さらに危険度を増していることが判明したという。
研究者たちは、以下の2つの傾向に基づき、2022年のデータを分析し、この結論に達したという。
攻撃の増加
2022年には、Wallarm の顧客の API に対する攻撃が大幅に増加し、H1 から H2 にかけて 197% 以上にまで急増した。API 関連の侵害が、最近のメディアの見出しを賑わすように、この傾向は Wallarm の顧客以外にも外延しており、2023年も成長し続けることは明らかだ。
CVE の成長
2022年には API 関連の CVE が大幅に増加しており、H1 から H2 にかけては 78% 増加している。過去2四半期は安定しているが、この増加の傾向は 2023年も継続すると、研究チームは予想している。
悪用までの時間が短縮されている
この研究チームは、API に関する指標を追跡し始めた 2022 Q2 以降において、CVE が公開されてから PoC エクスプロイト POC が公開されるまでの、時間についても分析している。その結果、2022年 Q2 は 58日で、Q3 は4日、Q4 は -3日 と、短縮され続けていることが確認された。
さらに、Q4 のゼロデイ攻撃は平均して、CVE が公開される2ヶ月以上前に検出されている。
Wallarm の CEO である Ivan Novikov は、「Optus や T-Mobile などにおける、API に関係する大規模な侵害のニュースを見れば、API の脅威の状況が、より切迫していることは明らかだ」と述べている。
彼は、「本レポートは、2023年に API セキュリティ体制を強化する方法について、データに基づいた知見を、API セキュリティの研究者や経営者たちに提供する。この研究で判明したことを簡潔に言うと、API の脅威は 2022年に3倍になり、脆弱性を知る前に悪用が可能になったことだ」と指摘している。
さらに彼は、「現在の OWASP API Security Top 10 は、インジェクションが主要な攻撃ベクターである現実を正確に反映していない。特に新しい企業や技術の構築に使用される、オープンソースの DevOps ツールや、クラウド・ネイティブツールが標的になっている。全体として、API を保護するための従来のアプローチは、こうした傾向に適応する必要がある」と結論付けている。
今回の調査結果を踏まえ、この研究チームは 2023年の予測として、開発サイクルとプロダクション・システムの双方で、API セキュリティの向上に取り組む組織が苦戦し、API ポートフォリオのリスクが高まると結論付けている。
短くて簡潔な記事ですが、API について深く考えさせてくれますね。Wallarm の API Vulnerability &Exploit Report, Q2-2022 は、メアドなどの登録が必要ですが、さまざまな統計値がグラフで表現され、とてもわかりやすい内容となっています。また、文中で指摘されている OWASP API Security については以下の記事を、そしてカテゴリ API も、ご参照ください。
2022/10/07:OWASP API Top 10 [+] に注目
2021/10/19:OWASP API Top-10:脆弱性を分析
IoT OT Security News 
You must be logged in to post a comment.