犯罪者に狙われ始めた「API」 その笑えない理由LEGO売買サイトの脆弱性から得られる教訓【後編】

LEGOの中古品売買サイト「BrickLink」に見つかった脆弱性は、「API」の脆弱性だった。専門家はAPIセキュリティの重要性を呼び掛けている。その背景は。

2023年02月10日 08時15分 公開
[Alex ScroxtonTechTarget]

 ブロック玩具「LEGO」の中古製品売買サイト「BrickLink」のAPI(アプリケーションプログラミングインタフェース)に、2つの脆弱(ぜいじゃく)性があることが分かった。BrickLinkを運営するLEGO BrickLinkは、これらの脆弱性を2022年12月に修正済みだ。

 2022年は、さまざまなAPI関連のインシデントが注目を集めた。例えばオーストラリアの通信事業者Optusを狙った攻撃では、攻撃者は同社の1100万人の顧客の名前、住所、生年月日、電話番号、メールアドレス、運転免許証、パスポートといったデータを盗み、身代金を要求した。被害の深刻さを踏まえて、オーストラリア政府は電気通信のセキュリティ規制の改正を見込んでいる。

 Optusの情報漏えいは、保護されていない公開APIを介した攻撃によって発生した。公開APIを見つけた人は、誰でも認証情報なしでAPIに接続できる状態だったという。

だから「API」は狙われる

 BrickLinkの脆弱性を発見したセキュリティベンダーSalt Securityのリサーチ部門担当バイスプレジデント、ヤニブ・バルマス氏は「新しい機能を実現し、消費者と自社サービスの関係を明確にする目的で、企業はますますAPIを利用するようになった」と指摘する。こうした動きは、あらゆる分野で見られるという。

 結果としてAPIは「企業のシステムや、そのエンドユーザーの個人情報にアクセスするための、最大かつ最重要の攻撃経路の一つになった」とバルマス氏は説明する。「大半の企業は、自社サービスに存在する大量のAPI脆弱性に気付いていない」と同氏は主張。「企業とそのデータが、攻撃者に対してむき出しになった状態だ」と指摘する。

APIの守りは手薄

 Salt Securityは、2022年第3四半期(7~9月)のAPIセキュリティ情勢に関するレポート「State of API Security Q3 2022」を公開した。その中で、同社顧客におけるAPIのトラフィック(データ量)が前年同期比で168%増加、API攻撃のトラフィックは117%増加したと伝えている。

 APIセキュリティに関して、State of API Security Q3 2022が示す主な調査結果は以下の通りだ。

  • 94%が「本番環境のAPIでセキュリティ問題に遭遇した」と回答
  • 54%が「APIセキュリティの懸念が原因で、アプリケーションの公開を遅らせなければならなかった」と回答
  • 61%が「APIセキュリティ戦略がない」または「基本的な計画しかない」と回答
  • 82%が「従来のツールではAPIを狙う攻撃の防御に十分な効果がない」と回答
    • Salt Securityは、機械学習(ML)などのAI(人工知能)技術を取り入れた方法を提唱している。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

隴�スー騾ケツ€郢晏ク厥。郢ァ�、郢晏現�ス郢晢スシ郢昜サ」�ス

製品資料 株式会社AGEST

経営上のリスクに備える、脆弱性診断の目的や実践方法

サイバー攻撃による被害は、金銭的な損失だけでなく、信用の失墜や業務継続への支障といった経営上のリスクに直結する。このようなリスクへの備えとして有効なのが、「脆弱性診断」だ。脆弱性診断の目的や実践方法について解説する。

製品資料 東京エレクトロン デバイス株式会社

高度なエンドポイントセキュリティを実現、EDRの課題を解消するアプローチとは

昨今、組織のネットワーク外に分散したエンドポイントが、攻撃者にとって格好の標的になっている。このような中でエンドポイント保護の新たな形として期待を寄せられているのがEDRだ。しかし、運用が難しいなどの課題も多い。

製品資料 東京エレクトロン デバイス株式会社

セキュリティ最適化の鍵が「エンドポイント」と「認証情報」の保護である理由

サイバー攻撃が激化する中、防御側は限られたリソースで対策することに苦慮している。こうした状況において組織が優先すべきは、エンドポイントと認証情報の保護であり、これらの有効な防御手段として注目されているのが、XDRとITDRだ。

製品資料 LRM株式会社

セキュリティ教育の“目標設定/運用/教育頻度”の課題を一掃する方法とは?

昨今、セキュリティ教育の重要性が高まっている。しかし、効果を正確に測ることが難しく、目標設定や運用に悩むケースも少なくない。本資料では、担当者の負担を軽減しながら、このような問題を解消する方法を紹介する。

製品資料 LRM株式会社

マンネリ化しやすく効果測定も難しいセキュリティ教育、どうすれば改善できる?

情報セキュリティ対策では、従業員の意識を高めるための“教育”が重要となる。しかしセキュリティ教育は、効果の測定が難しく、マンネリ化もしやすいなど課題が多い。効果的なセキュリティ教育を、負荷を抑えて実現するには何が必要か。

アイティメディアからのお知らせ

From Informa TechTarget

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...