Impervaによると、現在APIはウェブトラフィックのほぼ4分の3(71%)を占めており、サイバー攻撃の対象領域を拡大することで企業のサイバーセキュリティに重大な脅威をもたらしている。
同社は、自社製品が収集したインテリジェンスを基に作成したImperva APIセキュリティの現状レポートで、これらの調査結果を明らかにした。
同レポートでは、APIのビジネスロジックを狙った攻撃が最大の割合(27%)を占め、次いで自動化(19%)が続いた。
Impervaは、全体に占める割合が年率10%で増加したビジネスロジック攻撃には、クレデンシャルスタッフィング、偽アカウント作成、データスクレイピングなどが含まれ得ると述べた。
APIの脅威について詳しく読む:APIを標的とする攻撃は過去6か月で400%増加
レポートは、「APIのビジネスロジックの悪用は、悪意ある行為者が自動化された攻撃エージェントを用いて、機密データの持ち出しやミッションクリティカルなアプリケーションの妨害といった悪意ある目的のために、APIの本来意図された機能を悪用する際に発生する」と指摘した。
「APIのビジネスロジックを標的とする攻撃はデータセキュリティに重大な脅威をもたらし、その影響はビジネスの他領域にも及ぶ。不正行為者がAPIの脆弱性を悪用して不正アクセスを得ることで、不正コストが増大する。これにより金銭的損失が生じ、取引の完全性が損なわれる。」
Impervaは、こうした攻撃の金銭的影響は大きく、インシデント対応、カスタマーサポート、コンプライアンス対応の課題、評判の毀損に多額の支出を招き得ると警告した。
また、「APIのビジネスロジック悪用の検知は難しい。これらの攻撃はしばしば正当なAPI利用を模倣し、通常のトラフィックと区別しにくいからだ」と付け加えた。
レポートはさらに、アカウント乗っ取り(ATO)に関するAPI攻撃の急増も明らかにした。Impervaによれば、昨年記録されたATO攻撃全体の46%が APIエンドポイントを標的としていた。これらは通常、脅威アクターがAPI認証の脆弱性を悪用してユーザーアカウントへ不正アクセスを得ることで発生する。
APIの保護に伴う課題は、多くの組織が自社のAPIを完全に可視化できていないという事実によって、さらに深刻化している。
Impervaは、企業アカウント1件あたり平均29個のシャドーAPIが存在し、それらは文書化されていない、または未発見であると推定した。
「未認証APIやシャドーAPIを含め、これまで特定されていなかったものも含めて、エコシステム内のあらゆるAPIを発見することは、APIを保護するための道筋における重要なステップである」と、同社は主張している。
翻訳元: https://www.infosecurity-magazine.com/news/business-logic-abuse-api-attacks/
