Wallarmの新レポートによると、M&AとJWTがAPI脅威の意外な要因

SAN FRANCISCO--(BUSINESS WIRE)--Wallarmは、エンドツーエンドのAPIとアプリのセキュリティを守るリーディングカンパニーとして、本日、Q2 API ThreatStats™2024レポートを発表しました。Q1 ThreatStatsレポートの続編として、AI APIの件数と深刻度は増加しており、幾つかの重大な攻撃に寄与しています。レポートはまた、M&Aの過程で多くの組織に顕著なリスクがもたらされる重要な役割と、幅広いアプリにおいてJWTの誤用が意外にも続いている点に光を当てています。

新たな動向と意外な脆弱性

今回のレポートで新たに観察された点の一つは、M&Aの過程で重大なセキュリティリスクが導入されることである。レポートは、進行中のM&A過程でリスクが生じた具体例を示し、この問題が継続する背景にある要因を掘り下げています。注目すべき事例として、TestRail（Atlassian）、HelloSign（Dropbox）、Duo（Cisco）、およびAuthy（Twilio）が挙げられます。これらのプラットフォームは大規模なAPI侵害に直面し、M&A移行時の綿密なセキュリティ評価と厳しいセキュリティ対策の重要性を浮き彫りにしています。

注目すべきは、JWTの誤用が引き続き大きなセキュリティ課題をもたらしている点です。JWTはAPI通信のセキュリティを守るために広く採用されていますが、正しく実装することが難しく、重大なリスクを招いています。主要な問題点として、Veeam Recovery OrchestratorにおいてハードコードされたJWT秘密鍵の使用によって、攻撃者がトークンを偽造し不正な操作を行う可能性がある脆弱性、Lua-Restyの認証バイパス脆弱性、そしてPython-joseにおけるJWTボム攻撃があり、decode関数の悪用によってサービス拒否状態を引き起こす恐れがあります。

Grafanaは強固なセキュリティに注力しているにもかかわらず、今四半期にはいくつかの重大な脆弱性が発見されました。外部組織がキーを用いてスナップショットを削除できる脆弱性、.csvファイルに対するディレクトリトラバーサルの欠陥、そしてアカウント乗っ取りやトークン流出を伴う複数のOAuth問題が確認されました。これらの発見は、どんなにセキュリティに配慮しているプラットフォームでも脆弱性から逃れられない可能性を示し、継続的な監視と積極的なセキュリティ対策の必要性を強調しています。

AI API攻撃の加速が続く

AI APIは驚くべき速さで増加し、Q2には著名なAIシステムにおけるAPI脆弱性が3倍に増えました。これにより、デジタルエコシステムにますます統合されるAIシステムのセキュリティ確保の重要性が増しています。

「前四半期のレポートで観察されたように、AIはAPI脅威の環境に新たなリスクを懸念すべき速さでもたらしています。組織がAI/LLMシステムを狙う攻撃に注力する一方で、環境内に持ち込まれるAI API関連のリスクに十分注意が払われていないケースが多々見受けられます」と、WallarmのCEOであるIvan Novikov氏は述べています。

注目すべき問題として、AnythingLLM APIにおいて、ロゴ写真機能のパストラバーサルにより任意のファイル削除が可能となる脆弱性や、環境変数を利用したリモートコード実行、さらにZenMLにおけるディレクトリトラバーサルの脆弱性が挙げられ、これにより機密ファイルへの不正アクセスが可能となります。

Q2 API ThreatStats™2024レポート全文は以下よりご覧いただけます。
https://www.wallarm.com/resources/q224-api-threatstats-tm-report

‍