執筆者
AI主導のAPI脆弱性は、過去1年で1205%も急増しました。
この数値はWallarmによる 2025 API ThreatStats Report に基づくもので、AIがAPIセキュリティ脅威の最大の要因となっており、AI関連の脆弱性のほぼ99%がAPIの欠陥に結び付いていることを示しています。
また調査では、AI搭載APIの57%が外部からアクセス可能であり、89%が安全な認証を欠いていることが分かりました。堅牢なセキュリティ対策を実装していたのは11%にとどまりました。
Wallarmは2024年にAI関連のCVEを439件追跡しました。これらの多くは、インジェクションの欠陥、設定ミス、そして新たに特定されたカテゴリであるメモリ破損 およびオーバーフローに起因しており、AIが高性能なバイナリAPIに依存していることが原因とされています。
サイバーセキュリティ脅威の状況をAPIが席巻
初めて、CISAが記録した悪用済み脆弱性の50%以上がAPI関連となり、2023年の20%から急増しました。そのうち33.5%は最新のRESTfulおよびGraphQL APIを標的としており、18.9%はAJAXベースのAPIやURLパラメータの脆弱性など、レガシーシステムに影響していました。
現実世界のインシデントはリスクを浮き彫りにしています。2024年5月のDellのAPI侵害では4900万件の記録が流出し、 TwilioのAuthyのエクスプロイト では3340万件の電話番号が侵害されました。医療分野では、Ascension Healthが12月に壊滅的なAPI侵害に直面し、 560万人の患者に影響しました。
主なポイント
報告書の主なポイントとして、Wallarmは次の点を挙げています:
- AIの導入がAPI脆弱性を押し上げている – 企業の53%が複数のAIプロジェクトに取り組んでいると回答
- 認証の欠陥は依然として重大な問題 – AI搭載APIの89%が安全でない認証を使用
- レガシーAPIと最新APIはいずれも同程度にリスクがある – CISA KEV脆弱性の33%以上が最新API技術に関与
- メモリ破損の脆弱性が出現 – AIの高性能計算への依存が新たなセキュリティ課題を生む
- 2024年にAPI侵害が3倍に – インシデントは四半期に数件から、月に複数件へ増加
APIがAI統合の基盤となる中、Wallarmは組織に対し、リスクを軽減するためのリアルタイムのセキュリティ制御を実装するよう促しています。API関連の脅威が増え続ける中、企業は業務、データ、そして評判を守るためにAPIセキュリティを最優先にしなければなりません。
翻訳元: https://www.infosecurity-magazine.com/news/ai-surge-record-1205-increase-api/
