Fortune 1000 企業に潜む脅威:3万の公開 API と10万の API 脆弱性 – Escape

Fortune 1000’s Hidden Threat: 30,000 Exposed APIs and 100,000 API Vulnerabilities Unveiled

2024/11/24 SecurityOnline — Escape チームの State of API Exposure 2024 レポートにより、世界で最大級の企業群の中に、膨大な数の脆弱な公開 API が存在することが明らかになった。Escape の分析が注視するのは、金融から医療にいたるまでの各業界に影響を及ぼし、また、Fortune 1000 企業に蔓延している可能性のある、重大なセキュリティ脆弱性である。

Escape の調査により分析された、Fortune 1000CAC 40 のドメインでは、30,784件の公開 API と、100,000件以上の脆弱性が特定されたという。 確認された脆弱性のうちの約 2,000 件が、認証の不備やミスコンフィグに起因する、きわめて深刻なものだった。Escape の CEO である Tristan Kalos は、 「API セキュリティの強化が、重要な課題である。デジタル需要に応えるために、企業の API 導入が増加する一方で、彼らのセキュリティ・プロセスは、対応が追いつかなくなっている」と指摘している。

公開されている API には、3,650件の Development API が含まれるが、その保護が不十分であるケースが多い。これらの API が脆弱な侵入ポイントとなり、機密設定を露出することで、攻撃者に対して絶好の攻撃条件を与えている。Escape のレポートによると、100以上の Development API を公開している企業が6社あり、そのうちの5社が、Fortune 1000 企業であることが分かった。

それに加えて、1,816件の API 機密情報 (API キー/認証トークン/データベース認証情報など) が公開されていることも発見された。この種のデータは、重要なシステムへのダイレクトなアクセスを可能にし、不正利用につながる可能性があるため、攻撃者にとっては極めて有益なものとなる。

それらの脆弱性の影響は、さまざまな業界に及んでいるが、最も大きな影響を受けているのは、金融/保険/医療などの分野である。脆弱性がもたらす主なリスクには、以下のようなものがある:

  • API2:2023 Broken Authentication (認証の欠陥の脆弱性):381件
    この脆弱性の悪用に成功した攻撃者は、不正アクセスの可能性を得る。
  •  API8:2023 Security Misconfiguration (セキュリティのミスコンフィグ):746件
    この脆弱性の件数の多さが示唆するのは、重要なエンドポイントの大量の露出である。

また、この調査結果は、OpenSSL の脆弱性 CVE-2024-5535CVE-2021-3711 のような、高リスクの CVE の状況とも一致している。つまり、API 環境における既知の脆弱性への対応という、永続的な課題が浮き彫りになっている。

Escape のレポートで取り上げられている、実環境における侵害の事例が、緊急対策の必要性を強調している。以下に例を示す:

  • Trello:2024年1月の時点で、ミスコンフィグされた API により、1,500万件以上のユーザー・レコードが公開された
  • Dell:2024年5月に侵害が発生し、安全対策が施されていない API エンドポイントにより、4,900万件の顧客レコードが流出した
  • Twilio Authy:脆弱性 CVE-2024-39891 により、攻撃者が認証データにアクセスし、数百万人がリスクにさらされた。

同レポートが強調するのは、以下のような積極的な対策の必要性である。

  1. すべての API の監査:シャドー API/レガシー API に焦点を当てるべきである。また、エンドポイントが文書化され、監視されていることを確認する。
  2. Development API のセキュリティ強化:本番レベルのセキュリティ基準により、開発中の API を扱うことで、露出リスクを低減する。
  3. API 発見ツールの導入:脆弱性をリアルタイムで特定するためには、継続的なスキャンと監視が不可欠となる。

この、State of API Exposure 2024 における調査結果が明示するのは、API が増加するにつれ、リスクも増加するという現実である。企業に求められるのは、対応型から予防型への戦略の転換である。それにより、検出の自動化とセキュリティ対策を統合し、拡大する API エコシステムを保護していく必要がある。

Fortune 1000 であっても、このような状況であるなら、業界全体としての API の状況は、いったい どうなっているのでしょうか? 関連する記事としては、2024/08/13 の「暴露された API キーの問題:35% が有効な状態を保持していた – Nightfall 調査」も、とても興味深いものとなっています。よろしければ、API + Statistics で検索も、ご利用ください。