金融サービス、通信、旅行業界が今年上半期に脅威アクターの標的となり、タレスはこの期間だけで40,000件のインシデントを観測しました。
同社のImperva事業部は、世界中の4,000以上の環境からデータを分析し、API脅威レポート(2025年上半期)を作成しました。
このレポートによると、APIは現在、高度なボットトラフィックの44%を引き付けており、これは人間の行動を模倣する高度なソフトウェアによって生成されています。
レポートの主な発見は以下の通りです:
- 適応型多要素認証(MFA)を備えていないAPIを標的としたクレデンシャル・スタッフィングおよびアカウント乗っ取りの試行が40%増加
- データスクレイピングがAPIボット活動のほぼ3分の1(31%)を占めた
- クーポンおよび決済詐欺がAPI攻撃の26%を占めた
- リモートコード実行(RCE)の試行が13%を占めた
- Log4j、Oracle WebLogic、Joomlaが最も標的となった製品であった
「APIはデジタル経済の結合組織ですが、それゆえに最も魅力的な攻撃対象にもなっています」と、タレスのアプリケーションセキュリティ製品担当副社長のティム・チャン氏は述べています。
「私たちが目の当たりにしているのは、攻撃の規模が増大しているだけでなく、犯罪者の手口が根本的に変化していることです。彼らはマルウェアを注入する必要はなく、単にビジネスロジックを逆手に取るだけで済みます。リクエストは正当なものに見えますが、その影響は壊滅的になり得ます。」
APIの脅威についてさらに読む:99%の組織がAPI関連のセキュリティ問題を報告
レポートによると、金融サービスがこの期間のAPIインシデントの27%を占め、次いで通信・ISP(10%)、旅行(14%)、エンターテインメント&アート(13%)となっています。
シャドウAPIは依然として大きなセキュリティの死角であり、組織は実際よりも10~20%少ないAPIしか把握していないのが一般的です。
タレスはまた、今年上半期に記録的な1,500万リクエスト/秒(RPS)のアプリケーション層DDoS攻撃が発生したことも報告しました。
レポートによると、この期間のAPIを標的としたDDoSトラフィックの27%が金融サービスを狙ったものであり、これらの業界が残高確認、送金、決済認証などリアルタイム取引でAPIに大きく依存していることが理由とされています。
チャン氏は、API攻撃の規模と巧妙さは今後6か月でさらに急増し、2025年には8万件以上に達する見込みだと警告しています。
「行動を起こす最適なタイミングは昨日でした。次に良いタイミングは今です」と彼は締めくくりました。
「組織はすべての稼働中のエンドポイントを発見し、そのビジネス価値を理解し、状況に応じた適応型防御で保護しなければ、収益、信頼、コンプライアンスを守ることはできません。」
翻訳元: https://www.infosecurity-magazine.com/news/api-threats-surge-40000-incidents/