「認可されたAPIアクセスで、ゆっくりとデータを盗む攻撃」に注意 Akamaiが脅威レポートを公開：2023年に発生したWeb攻撃のうち、3割が「APIを標的にした攻撃」

Akamaiは、脅威レポート「インターネットの現状（SOTI）｜影に潜む脅威：攻撃トレンドでAPIの脅威を解き明かす」を公開した。それによるとWebに関する全攻撃の29％が「APIを標的とした攻撃」だという。

[＠IT]

　Akamaiは2024年4月4日、脅威レポート「インターネットの現状（SOTI）｜影に潜む脅威：攻撃トレンドでAPIの脅威を解き明かす」を公開した。Akamaiによると、APIの需要が増加するにつれてAPIを標的とした攻撃が急増し続けているという。「企業は適切にAPIを把握し、セキュリティを確保する必要がある」と同社は指摘している。

AkamaiのWebページから引用

「APIを使ったテクノロジー展開にセキュリティが対応できていない」

　Akamaiは「APIの認証、認可や過度なデータ露出などのビジネスロジックに由来する脆弱（ぜいじゃく）性や欠陥は、サービスによって異なる。そのため、APIごとの『平時の振る舞い』を基準としたプロファイリングがなければ、異常なAPIアクティビティーを検知することは難しい」としている。

　APIを狙った攻撃の中には、認可されたAPIアクセスを用いてゆっくりとデータをスクレイピングするデータ漏えい手法（データスクレイピング）もあるため、異常なAPIアクティビティーを監視するソリューションは欠かせないとAkamaiは警告する。また実際に観測された攻撃手法として「ローカルファイルインクルージョン」（LFI）や「SQLインジェクション」（SQLi）、「クロスサイトスクリプティング」（XSS）といった、よく知られた手法もあったことから「引き続き主要な攻撃手法として着目する必要がある」と同社は指摘している。

　Akamaiのスティーブ・ウインターフェルト氏（Advisory CISO＜Chief Information Security Officer＞）は「API は組織にとってますます重要になっているが、APIのセキュリティはAPIを設計する段階で組み込まれていないことが多く、APIを用いた新しいテクノロジーの迅速な展開にセキュリティチームが対応できていない」と注意を促している。