Unattended API challenge: How we’re losing track and can we get full visibility
2023/05/09 HelpNetSecurity — かつてないスピードで、API が開発/導入される現代の企業において、API スプロール (氾濫) の問題が広まり始めている。Postman の 2022 State of the API Report では、「回答者の 89%が、組織の API への時間とリソースの投資は、今後 12ヶ月間で増加するか、変わらないだろうと答えている」と指摘されている。つまり、API の開発/展開が進むだろうと、それぞれの組織は自信を持っているのだ。
Continue reading “API の氾濫という深刻な問題:過去のインシデントを学習して将来を見据える”Why Shadow APIs are More Dangerous than You Think
2023/04/13 TheHackerNews — シャドー API は、悪意の動作を隠蔽し、データ損失を引き起こす可能性があるため、あらゆる規模の組織にとって、リスクを高めるものになっている。シャドー API とは、公式に文書化/サポートされていない API のことだが、この言葉を知らない人も多いだろう。残念なことだが、運用チームやセキュリティ・チームの誰もが知らない API が、プロダクション環境に存在することが一般的である。企業は何千もの API を管理しているが、その多くは API ゲートウェイや Web アプリケーション・ファイアウォールなどのプロキシを経由していない。つまり、大半の API は監視/監査されない、最も脆弱な存在なのだ。
Continue reading “Shadow API の調査:監視/監査されない最も脆弱な存在について考える”Vulnerability in Toyota Management Platform Provided Access to Customer Data
2023/03/07 SecurityWeek — Toyota Customer 360 という CRM (Customer Relationship Management) プラットフォームに、深刻な脆弱性が存在していたことが判明した。この脆弱性を発見したセキュリティ研究者によると、メキシコの顧客の個人情報にアクセスが可能だったという。この Web アプリケーションは、組織全体として顧客データを集約しており、個人情報/購入履歴/サービス内容などの、全ての顧客情報を一元的に把握するためのものだ。
Continue reading “Toyota Customer 360 の深刻な脆弱性が FIX:開発用/本番用 API の錯綜が原因”Attacks abusing programming APIs grew over 600% in 2021
2022/03/02 BleepingComputer — セキュリティ・アナリストは、この1年間において API 攻撃が急増しているが、ほとんどの企業は、この問題に取り組むには適切ち言えない慣行をとっていると警告している。Salt Security は、2021年の API 攻撃トラフィックが 681% 増加し、API トラフィック全体は 321% 増加したと、具体的に報告している。一連の統計は、この業界が API ソリューションを採用するにつれて、それらに対する攻撃が不均衡に増加している現実を浮き立たせている。
Continue reading “API セキュリティ調査 2021:攻撃トラフィック量は 600% 増という驚異的な伸び”
IoT OT Security News 