FacebookやTwitterも被害に 「API攻撃」の危険性と注意点は？：APIセキュリティへの懸念【第4回】

企業のDX推進に伴い、APIを狙う攻撃は広がり続けている。具体的な攻撃とそれによる被害を専門家が解説する。

[Arielle Waldman，TechTarget]

　Akamai Technologiesでセキュリティ戦略部門の最高技術責任者（CTO）を務めるパトリック・サリバン氏は、API（アプリケーションプログラミングインタフェース）セキュリティの最大の課題は「認証プロセスの構成要素」にあるという。重要なデータへのAPIを使ったアクセスが増加するにつれ、その重要性は高まる。

　最近ではAPIが重要なデータにアクセスすることが珍しくなくなった。企業はアジャイル型（小規模な変更を短期間で繰り返す手法）開発を実施する上で、頻繁にAPIを変更するようになった。こうした変化により、APIは攻撃者にとって魅力的な攻撃対象になってきた。「攻撃対象に関する知識を身に付けることがAPIセキュリティの第一歩だ」と、APIセキュリティベンダーSalt SecurityのCEOロエイ・エリヤフ氏は述べる。

FacebookやTwitterも襲った「API攻撃」の気になる実態

併せて読みたいお薦め記事

APIとは何か

• 「SDK」と「API」の違いとは？　どう使い分ける？
• APIとは何か？　Web APIとの違い、利用者のタスクを解説

　セキュリティ専門家によると、攻撃者がAPIを標的とする機会が増えている。調査会社Gartnerは2019年に公開したレポートで、Webアプリケーションの攻撃対象の中心はUI（ユーザーインタフェース）からAPIに移り変わると指摘。Webアプリケーション攻撃においてAPIが標的となる割合が、2019年の40％から2021年末までには90％に上昇すると予測する。

　Akamai Technologiesのセキュリティ戦略部門の最高技術責任者（CTO）パトリック・サリバン氏は、防御側である企業よりも攻撃者の方がAPIを重視していると考える。とはいえ企業の間にもAPIセキュリティの改善に向けた機運が高まっている。「企業がAPIセキュリティに注意を払うようになったのは朗報だ。以前はAPIセキュリティをそれほど重視していなかった」とサリバン氏は説明する。

　API攻撃が増える前から、エリヤフ氏はAPIがどれほど脆弱（ぜいじゃく）かを目の当たりにしてきた。これまでに起きた幾つかのインシデントの中で同氏が注目していたのは、確定申告用の書類を作成するアプリケーション「TurboTax」のAPIや、ソーシャルネットワーキングサービス（SNS）「Facebook」のAPIなどを狙う攻撃だ。

　注目を浴びたAPI攻撃の別の例としては、2018年に発覚したセキュリティベンダーImpervaに対する攻撃がある。これは同社が利用していたクラウドサービス「Amazon Web Services」（AWS）のAPIキーが攻撃者の手に渡り、攻撃者が同社の顧客データを不正入手したというものだ。他の例としては、ミニブログ「Twitter」のAPIの脆弱性を狙った攻撃がある。この脆弱性により、攻撃者がTwitterユーザーのユーザー名と電話番号を入手できる状態になっていた。

　エリヤフ氏は、API攻撃増加の主な理由が「急増し始めたDX（デジタルトランスフォーメーション）の加速だ」と考える。「企業がDX推進で活用するIT製品／サービスは、現在のAPIの開発方法や公開方法に合わせて設計されていない」と同氏は説明する。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。