APIが危機に：Wallarmの最新レポートがAPI攻撃の増加を明らかにし、2024年のセキュリティ予測を紹介

サンフランシスコ – 2024年1月18日 – Wallarmは、エンドツーエンドのAPIとアプリのセキュリティをリードする企業として、本日、Annual API ThreatStats™2024 Reportを公開しました。この年次レポートでは、最も多用されるAPIの脆弱性からOWASP API Top 10を超えた新たなリスクまで、APIセキュリティ脅威を特定し、理解し、対策する上での進展を紹介しています。レポートの主要なポイントは、1月24日午前10時（PT）／午後1時（ET）に開催されるウェビナーで、Wallarmの幹部が発表します。 

‍

Wallarmは、GigaOm Radar report for API Securityでリーダーに選出されたばかりで、本レポートではAPIセキュリティ脅威の上昇傾向を明らかにしました。また、API攻撃と脆弱性の数と深刻度がともに目立って増加していることを指摘しています。API関連のCommon Vulnerabilities and Exposures（CVE）やセキュリティ情報は、2022年と比較して2023年に30％増加しました。加えて、Wallarmがブロックした悪意あるAPIリクエストの割合は、2022年の54%から2023年には70%に大きく上昇しました。

‍

こうした攻撃は一般に認知され始めています。検索数が多い脆弱性のトップ20のうち半数がAPI関連であり、APIセキュリティに対する関心と懸念が高まっていることがわかります。

‍

「2023年に悪意あるAPIリクエストが増加し、APIに対する世間の認知が高まったことは、ビジネスリーダーやサイバーセキュリティ担当者にとってAPIセキュリティへの優先度がますます高まっていることを示しています」と、2023年版CyberTech 100に選ばれたWallarmのCEO、Ivan Novikovは述べています。「今回明らかになった主要トレンドや得られた実用的な見識は、2024年に向けてAPIセキュリティを強化するうえでの出発点となります。企業は今のうちに行動すべきであり、Wallarmはこれからも最前線でこれらの攻撃の被害を軽減し続けます。」

‍

他にも重要な知見が含まれています。

‍

InjectionsとAPIリークが主要APIセキュリティリスクを占める 

Injectionsは、悪意あるデータやコードをAPIに挿入することで不正アクセスやデータ侵害が発生する攻撃手法で、「Top 10 API Security Risks for 2023」で最も高いリスクと位置づけられています。

APIリークは比較的新しいエントリーとして第4位に入っており、機密データの漏えいリスクが大きいため見過ごせない問題です。OWASP Top 10の脅威リストに含まれていないことからも、APIリークへの対応は十分に意識されていないことがうかがえます。

‍

APIセキュリティのバグが報奨金の62%を占める 

2023年では、大手企業のセキュリティを検証するホワイトハッカーによるバグ報奨金の大半がAPIに関するもので、全体の62%を占めました。特にAPI関連のバウンティはより高額で、APIバグの最高報酬は15,000ドルと、API以外のバグの最高額5,000ドルを大きく上回っています。 

ソーシャルメディアプラットフォームのSnapchatは2023年に最も高額なバグ報奨金を支払っており、主要企業が深刻なセキュリティ上の欠陥を早期に抑える重要性を認識していると言えるでしょう。 

‍

即時の対応が必要な2024年のAPIセキュリティ予測

このレポートでは、2024年にはAPIキーやJWTトークンなどの機密情報が漏えいするリスクに一層注目が集まると予想しており、それらを防ぐ取り組みが重要となることを強調しています。

脆弱性の優先度を決定する新しい指標の採用が進み、APIのアクセス制御や認可（BOLA）の問題に対する対策がセキュリティ戦略でさらに重視される見込みです。

‍

Annual API ThreatStats™2024 Reportの詳細を知りたい方は、ウェビナーにご登録ください。  

‍