アカマイ・テクノロジーズ(Akamai)は4月4日、最新の脅威レポート「インターネットの現状(SOTI)|影に潜む脅威:攻撃トレンドでAPIの脅威を解き明かす」を発表するとともに、この内容から日本のデータを切り出して洞察をまとめたブログを公開した。

  • 日本のサービスや組織に対するWeb攻撃全体数に占めるAPIを狙った攻撃の割合 (2023年1月〜12月)(出典:アカマイブログ)

    日本のサービスや組織に対するWeb攻撃全体数に占めるAPIを狙った攻撃の割合 (2023年1月〜12月)(出典:アカマイブログ)

国内で最もAPIに攻撃を受けた業界は「製造業」

同レポートおよびブログでは、API(Application Programming Interface)を標的とした一連の攻撃を取り上げており、また2023年1月から12月の期間、すべてのWeb攻撃のうち29%がAPIを標的としたことが明らかになったという。

日本国内ではWeb攻撃のうちAPIを標的とした攻撃は23%で、これらの割合はAPIへの攻撃がセキュリティ上無視できないことを示している。

また、国内で最も攻撃を受けた業界は製造業で、Web攻撃全体の約57%をAPI攻撃が占め、次いで攻撃を受けたのはゲーム業界の約29%だった。

  • 日本の各業界へのWeb攻撃総数に占めるAPI攻撃の割合(2023年1月〜12月)(出典:アカマイブログ)

    2023年1月〜12月における日本の各業界へのWeb攻撃総数に占めるAPI攻撃の割合(出典:アカマイブログ)

APIはサイバー犯罪者による悪用の機会を生み出す

APIは従業員と顧客の両方の体験を向上させる組織にとって不可欠なツールだが、同時にサイバー犯罪者による新たな悪用の機会を生み出し、APIの需要が増加するにつれてこれらの攻撃は急増し続けている。組織は適切にAPIを把握し、セキュリティを確保する必要に迫られていることが、新しいSOTIレポートでは指摘している。

そのほか、APIのセキュリティにおいて各サービスのビジネスロジックの脆弱性や欠陥は異なるため、APIごとの通常の挙動のプロファイリングなしにアノーマリーなAPIアクティビティを検知するのは困難であること、実際のAPI攻撃ではLFI、SQLi、XSSなどのよく知られたWeb攻撃手法が観測され、引き続き主要な攻撃ベクトルとして注目する必要があることが発表されている。

加えて、APIはDX(デジタルトランスフォーメーション)の中核となっており、業界の動向や関連するユースケースを把握することが重要であること、組織はシステムの再設計回避のためにセキュリティ戦略の初期段階でAPIに関するセキュリティコンプライアンス要件や新たな法規制を考慮する必要があることなどを明らかにしている。