APIの脆弱性はどの程度危険なのか、どうすれば攻撃を防げるのか:API実装の落とし穴に要注意
サイバーセキュリティツールベンダーのPortSwiggerは、APIの脆弱性対策について解説したブログ記事を公開し、警鐘を鳴らした。設計時からAPIの脆弱性に注意を払うこと、さらに攻撃者の立場でAPIをテストすることが重要だという。
サイバーセキュリティツール「Burp Suite」を手掛けるPortSwiggerは2021年1月4日(米国時間)、APIの危険性と対策について解説したブログ記事を公開した。
APIに対する攻撃についての著書をNo Starch Pressから近く出版するコーリー・ボール(Corey Ball)氏へのマット・アトキンソン(Matt Atkinson)氏のインタビューに基づいた内容だ。ボール氏は、公認会計士事務所Moss Adamsのサイバーセキュリティコンサルティングマネジャーを務めている。ブログ記事の概要は次の通り。
APIセキュリティの現状
APIは長年にわたって使われており、成熟したインフラだ。だが、攻撃者の関心は高まる一方だ。近年のマイクロサービスの台頭に伴い、APIエコシステムは複雑さを増しており、昔ながらのセキュリティ問題も相まって、極めて多くの脆弱(ぜいじゃく)性が残っているからだ。例えばオブジェクトレベルの権限認可の失敗やディレクトリトラバーサル、SQLインジェクション、盗難認証情報などの脆弱性だ。
Gartnerは2017年12月時点で既に、APIの悪用は2022年までに、企業アプリケーションのデータ侵害を最も頻繁に引き起こす攻撃ベクトルになると予想していた。また、Akamaiは2018年10月に、API呼び出しだけでWebトラフィック全体の約83%を占めることを明らかにしている。2019年12月にはOWASP(Open Web Application Security Project)がAPIセキュリティだけをまとめた「API Security Top 10」を発表している。
API呼び出しの危険性はなぜ見落とされがちなのか
セキュリティ評価の際にAPI呼び出しがよく見落とされることには理由がある。ボール氏の意見では、ほとんどのAPIは、主に開発者やマシンによって使用されるからだ。多くの企業は、システムで使われる全てのAPIを洗い出すのに苦労するだろうとボール氏は語っており、これが問題をさらに複雑にする。
しかも、APIは多種多様であるため、スキャンしにくい。組織の中で見た目が似ているエンドポイントであっても、全く異なる仕様に基づいている可能性がある。
ボール氏は、「多くの脆弱性スキャナーは、APIを適切にテストする機能が欠けており、APIの脆弱性検出を苦手としている」と指摘している。企業が実施するAPIセキュリティテストの内容が、脆弱性スキャナーを実行するだけだった場合、検出されなかったとしても、テスト結果が「偽陰性」の恐れがある。
これは重大なセキュリティインシデントにつながりかねない。実際、2018年に米国郵政公社(USPS)では、あるアプリケーションに残っていたAPI実装の不備が原因で最大6000万人が影響を受けた可能性がある大規模インシデントが発生した。だが、その1カ月前に実施された脆弱性評価では、この問題を見つけることができなかった。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- Kubernetesクラスタのセキュリティ問題の根本原因は何か、Alcideが概説
「Kubernetes」ネイティブのセキュリティプラットフォームを手掛けるAlcideは、Kubernetesクラスタのセキュリティを確保する上での課題を概説したブログを公開した。Kubernetesのセキュリティ問題の根本原因と原因を絶つコツを紹介している。 - コンテナを標的にしたマルウェア、Aqua Security Softwareが攻撃手法を解説
Aqua Security Softwareは、コンテナ環境を標的にした「kinsing」マルウェア攻撃の脅威について、レポートを発表した。Docker APIポートの設定ミスにつけ込み、多数のコンテナに感染しながら、仮想通貨の発掘を試みる攻撃だ。クラウドネイティブ環境では何に気を付ければよいのかもまとめている。 - 自社だけでできる、コスパ最強の「サイバー演習」実施レシピ&鉄則
既存のインシデント対応体制を強化する方法の1つである「サイバー演習」は、組織のセキュリティ強化に欠かせない。今回はどの組織でも簡易的にサイバー演習を実践できる手法を紹介する。