犯罪者に狙われ始めた「API」 その笑えない理由：LEGO売買サイトの脆弱性から得られる教訓【後編】

LEGOの中古品売買サイト「BrickLink」に見つかった脆弱性は、「API」の脆弱性だった。専門家はAPIセキュリティの重要性を呼び掛けている。その背景は。

[Alex Scroxton，TechTarget]

　ブロック玩具「LEGO」の中古製品売買サイト「BrickLink」のAPI（アプリケーションプログラミングインタフェース）に、2つの脆弱（ぜいじゃく）性があることが分かった。BrickLinkを運営するLEGO BrickLinkは、これらの脆弱性を2022年12月に修正済みだ。

　2022年は、さまざまなAPI関連のインシデントが注目を集めた。例えばオーストラリアの通信事業者Optusを狙った攻撃では、攻撃者は同社の1100万人の顧客の名前、住所、生年月日、電話番号、メールアドレス、運転免許証、パスポートといったデータを盗み、身代金を要求した。被害の深刻さを踏まえて、オーストラリア政府は電気通信のセキュリティ規制の改正を見込んでいる。

　Optusの情報漏えいは、保護されていない公開APIを介した攻撃によって発生した。公開APIを見つけた人は、誰でも認証情報なしでAPIに接続できる状態だったという。

だから「API」は狙われる

併せて読みたいお薦め記事

連載：LEGO売買サイトの脆弱性から得られる教訓

• 前編：LEGO売買サイト「BrickLink」に潜んでいた“危険な脆弱性”とは何だったのか

安全にAPIを使うには

• APIを安全に利用する4つのセキュリティ対策、具体的な実装方法は？
• 「危ない『API』」はこうして生まれる

　BrickLinkの脆弱性を発見したセキュリティベンダーSalt Securityのリサーチ部門担当バイスプレジデント、ヤニブ・バルマス氏は「新しい機能を実現し、消費者と自社サービスの関係を明確にする目的で、企業はますますAPIを利用するようになった」と指摘する。こうした動きは、あらゆる分野で見られるという。

　結果としてAPIは「企業のシステムや、そのエンドユーザーの個人情報にアクセスするための、最大かつ最重要の攻撃経路の一つになった」とバルマス氏は説明する。「大半の企業は、自社サービスに存在する大量のAPI脆弱性に気付いていない」と同氏は主張。「企業とそのデータが、攻撃者に対してむき出しになった状態だ」と指摘する。

APIの守りは手薄

　Salt Securityは、2022年第3四半期（7～9月）のAPIセキュリティ情勢に関するレポート「State of API Security Q3 2022」を公開した。その中で、同社顧客におけるAPIのトラフィック（データ量）が前年同期比で168％増加、API攻撃のトラフィックは117％増加したと伝えている。

　APIセキュリティに関して、State of API Security Q3 2022が示す主な調査結果は以下の通りだ。

• 94％が「本番環境のAPIでセキュリティ問題に遭遇した」と回答
• 54％が「APIセキュリティの懸念が原因で、アプリケーションの公開を遅らせなければならなかった」と回答
• 61％が「APIセキュリティ戦略がない」または「基本的な計画しかない」と回答
• 82％が「従来のツールではAPIを狙う攻撃の防御に十分な効果がない」と回答
  • Salt Securityは、機械学習（ML）などのAI（人工知能）技術を取り入れた方法を提唱している。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。