APIセキュリティリスクのOWASPトップ3と、その軽減方法は？ ESETが2023年版を発表：APIは脅威アクターのお気に入りの標的

セキュリティ企業のESETが2023年のOWASPトップ3のAPIセキュリティリスクを紹介し、その脅威を軽減する方法を解説した。

[＠IT]

　セキュリティ企業のESETは2023年6月1日（米国時間）、運営するブログサイト「WeLiveSecurity」で「All eyes on APIs: Top 3 API security risks and how to mitigate them」という記事を公開した。本稿では、その要約を記す。

APIセキュリティの脅威はどの程度深刻なのか？

　アプリケーションプログラミングインタフェース（API）は、デジタル革命の縁の下の力持ちだ。新しいユーザー体験を生み出すために、さまざまなソフトウェアコンポーネントを結び付ける役割を果たす。しかし、バックエンドデータベースへの直接パスを提供するので、脅威アクターにとって魅力的な標的でもある。

　最近の調査によると、世界の組織の94％が過去1年間に運用環境でAPIセキュリティの問題を経験しており、そのうち5分の1近く（17％）がAPI関連の侵害に苦しんでいる。

　2023年だけでも、次のような事例があった。T-Mobile USAは、悪意のある攻撃者がAPIを介し、3700万人に上る顧客の個人情報とアカウント情報にアクセスしたことを認めている。また、Booking.comではOpen Authorization（OAuth）実装の設定が間違っており、サイト上で重大なユーザーアカウントの乗っ取り攻撃につながる可能性があった。

　APIの脅威によってリスクにさらされるのは、企業の評判や収益だけではない。半数以上（59％）の組織が、「APIセキュリティの懸念によって、新しいアプリの展開を遅らせなければならなかった」と主張している。これは、現在、取締役会の半数で経営幹部レベルの議論のテーマとなっている理由の一つだ。

「All eyes on APIs: Top 3 API security risks and how to mitigate them | WeLiveSecurity」

2023年、OWASPトップ3のAPIリスク

　攻撃者がAPIを悪用する方法は数多くある。OWASP（Open Worldwide Application Security Project）が発表した「API Security Top 10 2023」リストでは、次の3つの主要なセキュリティリスクが詳しく説明されている。

1：Broken Object Level Authorization（BOLA）

　APIは、APIを使うユーザーがオブジェクトにアクセスできるかどうかを検証できないので、データの盗難、変更、削除が発生する可能性がある。攻撃者は、問題が存在することを認識するだけで済み、BOLAを悪用するためにコードハッキングやパスワードの盗難は必要ない。

2：壊れた認証

　認証保護が欠落しているか、誤って実装されている状態。OWASPは「API認証は多くの開発者にとって“複雑で分かりにくい”ものかもしれない。API認証の実装方法について誤解を抱いている可能性がある」と警告している。認証メカニズム自体が公開されているので、攻撃者にとって魅力的な標的となる。

　認証を担うAPIエンドポイントは、保護を強化して、他のエンドポイントとは異なる方法で処理する必要がある。また、使用される認証メカニズムは、関連する攻撃ベクトルに適している必要がある。

3：Broken Object Property Level Authorization（BOPLA）

　APIエンドポイントは、機密と見なされるオブジェクトのプロパティを公開する（“過剰なデータ公開”状態にある）場合に、または、ユーザーが（“一括割り当て”によって）機密オブジェクトのプロパティの値を変更、追加、削除できるようにする場合に、脆弱（ぜいじゃく）になる。

　攻撃者は、アクセスされることを想定されていないオブジェクトのプロパティの値を読み取ったり、変更したりできるようになり、不正アクセスによって、不正な関係者へのデータ開示、損失、操作が発生する可能性がある。

APIの脅威を軽減する方法

　API戦略に最初からセキュリティを組み込むことが重要だ。つまり、全てのAPIがどこにあるかを理解し、エンドポイント認証を管理し、ネットワーク通信を保護し、一般的なバグを軽減し、悪質なbotの脅威に対処するためのツールと技術を階層化する必要がある。次のことを推奨する。

• 可視化と制御を可能にする、API中心のアプリ開発モデルに従って、APIガバナンスを向上させる。ソフトウェア開発ライフサイクルの早い段階で制御を効かせて、CI/CD（継続的インテグレーション／継続的デプロイ）パイプラインで制御を自動化することで、セキュリティをシフトレフトする
• API検出ツールを使用して、組織内で既にあるシャドーAPIを排除し、APIがどこにあるか、APIに脆弱性が含まれているかどうかを把握する
• クライアントリクエストを受け入れ、それらを適切なバックエンドサービスにルーティングするAPIゲートウェイをデプロイする。APIゲートウェイの管理ツールは、APIトラフィックの認証、制御、監視、保護に役立つ
• Webアプリケーションファイアウォール（WAF）を追加してAPIゲートウェイのセキュリティを強化し、DDoSや悪用の試みといった悪意のあるトラフィックをブロックする
• APIを通過する全てのデータを（TLS経由などで）暗号化し、中間者攻撃で傍受されないようにする
• OAuthを使用して、ユーザーの資格情報を公開せずにWebサイトなどのリソースへのAPIアクセスを制御する
• レート制限を適用して、APIを呼び出す頻度を制限する。DDoS攻撃やその他の望ましくないスパイクによる脅威が軽減される
• 監視ツールを使用して全てのセキュリティイベントをログに記録し、疑わしいアクティビティーにフラグを立てる
• 全ての操作に対して認証と認可の証明を要求する必要があるが、「境界内のユーザー、資産、リソースは信頼できない」と仮定するゼロトラストセキュリティのアプローチを検討する