【要注意】APIがサイバー攻撃の標的に……OWASPも公開する“APIの落とし穴”
- ありがとうございます!
- いいね!した記事一覧をみる
会員になると、いいね!でマイページに保存できます。
モバイルアプリやクラウド、生成AIの普及により、APIは企業システムの根幹を支える存在となっている。その一方で、APIを悪用した攻撃は年々複雑化・高度化しており、世界的にもOWASP Top 10 API Securityなどの脅威リストが発行されるなど、APIセキュリティは非常に重要な課題となっている。従来の防御策では見逃されやすいこれらのリスクに、企業はどう対処すべきか。APIセキュリティの見直しが、いま求められているが、どのような対策手法が最も有効なのか。
(Photo/Shutterstock.com)
急増するAPI攻撃、従来手法では対応不可能
現在、企業の業務においてAPIは不可欠な存在となっている。モバイルアプリ間の連携や、オンラインストアと決済サービスの間、クラウドサービス同士の連携など、APIの利用がなければ我々の生活やビジネスが成り立たないほど浸透してきている。そんなAPIの利用拡大を示す数字として、APIのトラフィックは、今やインターネット全体のトラフィックの半分以上に及ぶほど増えているという。
しかし、こうしたAPIの急速な普及に伴い、新たなセキュリティリスクが顕在化している。OWASP からもAPIに特化したセキュリティリスクが公開されており、認証関連の脆弱性を含む複数の重要なリスクが指摘されている。
たとえば、クレデンシャルスタッフィング攻撃は、漏洩や盗難によって不正に入手されたID・パスワードなどの認証情報を利用し、自動化ツールを用いて複数のWebサービスやアプリケーションに対して不正ログインを試みるサイバー攻撃である。
ある調査によれば、ログインページへのトラフィックのうち平均16.5%がこの種の攻撃に関連していると推測されている。攻撃者は、同一のパスワードを複数のサービスで使い回すユーザーの習慣を巧みに突いてくるのだ。
その他に、サイバー攻撃やデータ漏洩のリスクを高めるものとして「シャドウAPI」や「ゾンビAPI」なども挙げられる。開発中に作成されたテスト用のAPIが削除されずに残存していたり、バージョンアップにより本来置き換えられるはずの古いAPIがそのまま稼働し続けていたりするケースがある。これらは攻撃者にとって格好の侵入経路となっているという。それでは、企業はこのような状況にどのように対処すべきなのか。
しかし、こうしたAPIの急速な普及に伴い、新たなセキュリティリスクが顕在化している。OWASP からもAPIに特化したセキュリティリスクが公開されており、認証関連の脆弱性を含む複数の重要なリスクが指摘されている。
たとえば、クレデンシャルスタッフィング攻撃は、漏洩や盗難によって不正に入手されたID・パスワードなどの認証情報を利用し、自動化ツールを用いて複数のWebサービスやアプリケーションに対して不正ログインを試みるサイバー攻撃である。
ある調査によれば、ログインページへのトラフィックのうち平均16.5%がこの種の攻撃に関連していると推測されている。攻撃者は、同一のパスワードを複数のサービスで使い回すユーザーの習慣を巧みに突いてくるのだ。
その他に、サイバー攻撃やデータ漏洩のリスクを高めるものとして「シャドウAPI」や「ゾンビAPI」なども挙げられる。開発中に作成されたテスト用のAPIが削除されずに残存していたり、バージョンアップにより本来置き換えられるはずの古いAPIがそのまま稼働し続けていたりするケースがある。これらは攻撃者にとって格好の侵入経路となっているという。それでは、企業はこのような状況にどのように対処すべきなのか。
この記事の続き >>
-
・攻撃者の"手口"を逆手に取った革新的防御法
・リスクスコア100点の攻撃者を自動追跡する5つの仕組み
・なぜ従来のセキュリティ対策では90%の攻撃を見逃すのか?
・実証された効果:学習期間を大幅短縮する次世代ソリューション
今すぐビジネス+IT会員に
ご登録ください。
すべて無料!今日から使える、
仕事に役立つ情報満載!
-
ここでしか見られない
2万本超のオリジナル記事・動画・資料が見放題!
-
完全無料
登録料・月額料なし、完全無料で使い放題!
-
トレンドを聞いて学ぶ
年間1000本超の厳選セミナーに参加し放題!
-
興味関心のみ厳選
トピック(タグ)をフォローして自動収集!
関連タグ
タグをフォローすると最新情報が表示されます
