OWASP API Top-10 Risk の 2023版が公開:これまでの 2019版との違いは?

OWASP’s 2023 API Security Top 10 Refines View of API Risks

2023/06/07 SecurityWeek — 2023年の主要な API セキュリティ・リスクに関する、OWASP のランキングが発表された。このランキングは、2019年との類似点が多いが、いくつかが再編成/再定義されたのに加えて、新しいコンセプトも含まれている。


OWASP Top 10 API Security Risks の 2019年版と 2023年版の比較は下記の通りだ:

  • API-1 API-2:上位2つはほぼ変わらず、API-1 はオブジェクト・レベル認証の不備で、API-2 はユーザー認証の不備だった。
  • API-3:2019年はデータの過剰な露出だったが、2023 年にはオブジェクト・プロパティ・レベルの認証の不備になった。
  • API-4:リソース不足/レート制限から、リソースの無制限な消費に変化した。
  • API-5:2019年と変わらず、機能レベル認可の不備だった。
  • API-6:一括割り当てから、機密性の高いビジネス・フローへの無制限のアクセスに変化した。
  • API-7:セキュリティの誤設定から、SSRF (Server-Side Request Forgery) になった。
  • API-8:インジェクションから、セキュリティの誤設定に変化した。
  • API-9:不適切な資産管理から、不適切なインベントリ管理になった。
  • API-10:不十分なロギング/モニタリングから、API の安全でない消費に変化した。

2023年のリストは、まったく新しいものというよりも、既存のリストを洗練させたものである。そこから分かるように、脅威もリスクも数年で劇的に変化するわけではないが、それらは進化しており、それに対する我々の理解も同様に進化している。

OWASP のリストは、共同作業によって作成されている。その価値を疑う人はいないだろうが、すべての人が、すべてに同意しているわけではない。例として、API-3 からデータの過剰な露出が削除されたことについて説明する。

Cequence Security の Jason Kent は、「これは、機密データの漏えいが解決されたということだろうか?いや、機密情報の露出は、依然として深刻な問題のままだ。2023年版の API-3 では、誰かが機密データの漏えいを次のステップに進め、プロパティ・レベルの認証を突破した事例を示している。リストの多くの項目が情報漏えいに起因するもので、無関係なものではない。これは正しい提示の仕方なのだろうか?そうではなく、さまざまな意見がある中の一つの例だと思う」とコメントしている。

また、彼は API-6 に関して、根本的に同じリスクなのにも関わらず、名称が変更されたことを賞賛している。リストアップされた例は基本的に同じで、どちらもライドシェア・アプリで、バックエンドの何かを悪用するものだ。

彼は、「このネーミングには、2023年のものが漠然としていて分かりにくいのではなく、修正する必要があるように思わせる、微妙なものがある。また、API セキュリティが適切に機能していない場合に、攻撃の自動化されてしまうという、我々の調査結果も示している」と述べている。

項目別に順序立てた、リスクのリストを作成する際に、主な問題点となるのは、リスクの連鎖である。侵害は、被害者が忘れてしまった API から始まることが多い (API-9)。つまり、機密性の高いユーザーデータ (API-1) を提供されてしまう可能性があり、攻撃者は可能な限り遠くから、そして、可能な限り迅速に、その欠陥を悪用するボットを作成するよう促される (API-6 に触れる) 。

Kent は、「新しい API Top-10 は完璧なものではないかもしれないが、我々が数年前から知っていることを正確に示してくれている」と締めくくる。

API セキュリティの状況は変化しており、それに合わせて組織も変化する必要がある。API の所在を知ること/API の脆弱性の有無をテストすること/未知のフローを攻撃するボットを軽減することなど、API セキュリティは、すべての人々にとって焦点となる必要があり、この新しいリストは、そのスタート地点となる。

OWASP API Top-10 が、しっかりと記憶されていない限り、この記事だけを読んでも、ちょっと分かりにくいですよね。よろしければ、2021/10/19 の「OWASP API Top-10: API を脅かす脆弱性を分析して対策を講じる」を、ご参照ください。従来の Top-10 が、かなり詳細に説明されています。また、OWASP API で検索も、よろしければ、ご利用ください。