Wallarm 2022 年末 API ThreatStats™ レポート、2023年APIセキュリティに向けた重要な知見を提供

SAN FRANCISCO--(BUSINESS WIRE)--Wallarm は、エンドツーエンドのAPIセキュリティ企業であり、本日、2022年年末API ThreatStats™ レポートを発表しました。本レポートは、今年公開されたAPIの脆弱性、エクスプロイト、および攻撃データについて詳細に分析しています。

‍

35万件の報告から337社のベンダーが提供する650件のAPI固有の脆弱性を抽出し、さらにこれらに影響を与える115件のエクスプロイトを追跡した結果、APIに対する脅威は一層危険になっていることが明らかになりました。Wallarmのリサーチチームは2022年のデータを基に、特に以下の3つの傾向に着目しました。

• 攻撃の増加. 2022年、Wallarmの顧客のAPIに対する攻撃が、上期から下期にかけて197%以上急増しました。API関連の侵害が注目される中、この傾向はWallarmの顧客に留まらず、2023年にも拡大すると見られます。
• CVEの増加. 2022年、API関連のCVEが上期から下期にかけて78%以上増加しました。過去2四半期では増加傾向は落ち着いていますが、2023年には再び増加すると予測されています。
• エクスプロイト発生までの期間の短縮. 2022年第2四半期からこの指標を追跡した結果、CVEの公開から関連するエクスプロイトの概念実証が公開されるまでの平均期間が継続的に短縮していることが確認されました。具体的には、第2四半期の58日から第3四半期の4日、そして第4四半期にはマイナス3日となりました。さらに、第4四半期に確認された平均的なゼロデイエクスプロイトは、CVEの公開より2ヶ月以上前にリリースされていました。

「OptusやT-Mobileなど、最近の大型API侵害事件のニュースからも、APIに対する脅威が一層深刻化していることは明らかです」とWallarmのCEO兼共同創業者Ivan Novikovは語りました。「本レポートでは、リサーチチームがAPIセキュリティ担当者や経営者向けに、2023年のAPIセキュリティ体制の強化に役立つデータに基づく知見を提供しています。簡潔に申ししますと、2022年は脆弱性が認識される前にエクスプロイトが出現するなど、APIへの脅威が3倍に増加し、現行のOWASP API Security Top-10では実態、すなわちインジェクション攻撃が主要な攻撃手法であることが十分に反映されていないこと、さらにオープンソースソフトウェア、特に新規企業や技術の構築に利用されるDevOpsやクラウドネイティブツールが標的となっていることが判明しました。全体的に、従来のAPIを守る手法はこれらの新たな状況に適応する必要があります。」

調査結果に基づき、リサーチチームは、組織が開発サイクルおよび運用時にAPIセキュリティの強化に苦慮する中、2023年にはAPIポートフォリオのリスクが増大すると結論付けました。完全版レポートでは、主要な脅威の種類や最も脆弱なAPIのタイプなども詳述されています。APIセキュリティ担当チームやDevOpsチームは、これらのデータに基づく知見をもとに、2023年の改善策を見直す際の参考にできます。