Akamaiによると、APIは現在グローバル企業にとって「主流の」攻撃対象となっており、87%が昨年関連するセキュリティインシデントを報告しています。
今年で12周年を迎えるセキュリティベンダーの最新インターネット状況(SOTI)レポートは、独自データの分析から作成されました。
2025年の組織あたりの平均API攻撃数は258件で、2024年の121件から113%増加しました。昨年のAPI攻撃の61%は不正なワークフローと異常なアクティビティに関連していた一方、2024年は30%でした。Akamaiはこれが従来のウェブベースから動作ベースの攻撃へのシフトを示していると述べています。
OWASPトップAPIセキュリティリスクの中で、セキュリティ設定ミス(40%)、壊れたオブジェクトプロパティレベルの認可(35%)、認証の破断(19%)が最も頻繁に悪用された脆弱性でした。
Akamaiはまた、エージェンティックAIの成長が機密データ漏えいのリスクを増幅していることを警告しています。昨年、顧客あたり平均3000個のAPIが機密データを含んでおり、12%がセキュリティの弱点を示し、その問題の4分の1(24%)が機密データ漏えいに関連していました。
「AIはAPI統合とデータ交換のためにAPIに依存しているため、これらのインターフェースを通過する機密情報の量は飛躍的に増加しています。」とレポートは指摘しています。「今日のAI駆動の環境では、AIのセキュリティ確保は本当にAPIのセキュリティ確保から始まります。」
API セキュリティについてもっと読む:99%の組織がAPI関連のセキュリティ問題を報告
より一般的には、AIは脅威行為者が攻撃を自動化および加速するのに役立つだけでなく、攻撃者が悪用できる新しい脆弱性(例:バイブコーディング)を生み出しています。
「攻撃者はますます見出しを飾るキャンペーンを求めるのではなく、パフォーマンスの低下、インフラストラクチャコストの上昇、および規模でのAI駆動自動化の悪用に焦点を当てています。」とAkamaiのセキュリティ戦略CTOであるPatrick Sullivanは述べています。
「自動化とAIはこれらの高度なキャンペーンを安価で繰り返し可能で高速にしています。企業がAI変革に大きく投資するにつれて、攻撃者はその変革を支えるAPIをターゲットにしています。」
混合攻撃の出現
Akamaiはまた、API悪用、ウェブアプリケーション攻撃、およびレイヤー7 DDoS活動をブレンドする調整された攻撃の増加を指摘しました。ウェブアプリ攻撃は2023年から2025年にかけて73%増加し、レイヤー7 DDoS攻撃は過去3年間で104%増加しました。
後者はDDoS対応サービス/ボットネットとAPIおよびウェブアプリケーションのターゲット指定を合理化するAI対応攻撃スクリプトへの簡単なアクセスによって推進されているとAkamaiは主張しています。
ベンダーはCISO向けの以下の推奨事項を持っていました:
- DDoS、アプリケーション、およびAPI攻撃に対処するための前提条件として、環境への可視性を獲得する
- リーダーシップのリスク許容度に応じて調整できるセキュリティ制御の「統合プラットフォーム」を展開する
- トレーニングおよび検証演習を通じて人材とプロセスに投資する
- 取締役会またはインフォセックスチームと話す際に業界のベストプラクティスを参照する – 例えばOWASPを使用してトレーニングに優先順位を付け、セキュリティ制御を展開し、赤と青のチームペンテストを実施し、脆弱性を分析する
- 現在のセキュリティ制御が目的に適していることを検証するために、詳細な業界レポートを使用する
- DDoS軽減、WAF、APIセキュリティ、ボット、不正使用防止、およびアイデンティティ対応制御全体での保護を調整する – これらを孤立した領域として扱わない
翻訳元: https://www.infosecurity-magazine.com/news/average-number-daily-api-attacks/
