「認可されたAPIアクセスで、ゆっくりとデータを盗む攻撃」に注意 Akamaiが脅威レポートを公開:2023年に発生したWeb攻撃のうち、3割が「APIを標的にした攻撃」
Akamaiは、脅威レポート「インターネットの現状(SOTI)|影に潜む脅威:攻撃トレンドでAPIの脅威を解き明かす」を公開した。それによるとWebに関する全攻撃の29%が「APIを標的とした攻撃」だという。
Akamaiは2024年4月4日、脅威レポート「インターネットの現状(SOTI)|影に潜む脅威:攻撃トレンドでAPIの脅威を解き明かす」を公開した。Akamaiによると、APIの需要が増加するにつれてAPIを標的とした攻撃が急増し続けているという。「企業は適切にAPIを把握し、セキュリティを確保する必要がある」と同社は指摘している。
「APIを使ったテクノロジー展開にセキュリティが対応できていない」
Akamaiは「APIの認証、認可や過度なデータ露出などのビジネスロジックに由来する脆弱(ぜいじゃく)性や欠陥は、サービスによって異なる。そのため、APIごとの『平時の振る舞い』を基準としたプロファイリングがなければ、異常なAPIアクティビティーを検知することは難しい」としている。
APIを狙った攻撃の中には、認可されたAPIアクセスを用いてゆっくりとデータをスクレイピングするデータ漏えい手法(データスクレイピング)もあるため、異常なAPIアクティビティーを監視するソリューションは欠かせないとAkamaiは警告する。また実際に観測された攻撃手法として「ローカルファイルインクルージョン」(LFI)や「SQLインジェクション」(SQLi)、「クロスサイトスクリプティング」(XSS)といった、よく知られた手法もあったことから「引き続き主要な攻撃手法として着目する必要がある」と同社は指摘している。
Akamaiのスティーブ・ウインターフェルト氏(Advisory CISO<Chief Information Security Officer>)は「API は組織にとってますます重要になっているが、APIのセキュリティはAPIを設計する段階で組み込まれていないことが多く、APIを用いた新しいテクノロジーの迅速な展開にセキュリティチームが対応できていない」と注意を促している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
オンデバイスでLLMを実行できる「MediaPipe LLM Inference API」、Googleがリリース
Googleは「MediaPipe」を通じてオンデバイスでLLMを実行できるLLMを実行できる「MediaPipe LLM Inference API」の実験的リリースを発表した。MediaPipe LLM Inference APIでは、LLMを使ったアプリケーションをスマートフォンなどのデバイス上で使用することができる。
LLM、AIツールの活用がAPIの需要増加要因に Gartner予測
Gartnerによると、2026年までにAPIの需要増加の30%以上は、大規模言語モデル(LLM)を使用するAIやツールからの需要が寄与するようになる見通しだ。
RustとActix Webで投稿アプリにREST APIを導入しよう
第6回は、第5回の続きとして、投稿アプリにREST APIを導入し、後続の回で利用できるようにします。