Wallarm Q3 API ThreatStats™レポート：DevOpsツールとインフラが攻撃対象に

SAN FRANCISCO--(BUSINESS WIRE)--Wallarmは、包括的なAPIセキュリティ企業として本日「Q3 API ThreatStats™ Report」を発表しました。本レポートでは、この四半期に公開されたすべてのAPI脆弱性とエクスプロイトを詳細に分析しています。Wallarmのリサーチチームは、ソフトウェアの種類、ベンダー、CVSS scores、CWEs、さらにWebアプリ向けのOWASP Top-10(2021)およびAPI向けのOWASP API Security Top-10(2019)など、さまざまな視点からデータを精査しました。また、公表されているエクスプロイトPOCも調べ、リスクがどこにあるのかを分析しています。

最初の分析によると、Q2 API Vulnerability Reportで報告された大幅な増加からは落ち着いており、API脆弱性と影響を受けたベンダーはわずかな変化にとどまったことが示されています。脆弱性と影響ベンダー数は16%増加し、一方で高～クリティカルと評価される脆弱性は全体の57%で横ばいでした。

しかし、詳細な分析により、組織のAPIセキュリティ対策に大きな影響を与える可能性がある3つの重要な発見がありました:

1. Infrastructure. Q3に分析された重大度の高い脆弱性の大半はDevOpsツールやインフラに影響しており、結果として組織のセキュリティで注目すべき領域が変化しています。
2. Injections. 分析対象となったCVEの33%以上が、OWASP Top-10が定義するInjectionカテゴリ（Webアプリ向けA03:2021、API向けAPI8:2019)に該当しており、さらに詳細を調査すると多様なバリエーションが存在し、修正には追加の労力が必要になることがわかりました。
3. Exploits. 意外だったのは、CVEが公表されてからエクスプロイトPOCが公開されるまでの平均期間が0日だったことで、対策のタイミングに大きな影響を与えます。

‍

「今年はCISOやセキュリティチーム、DevOpsチームなどAPI経済に関わる多くの方々がAPIセキュリティについて話題にしています。しかし、APIセキュリティが本当に何を意味するのか、万が一問題が発生した場合のリスクや影響をどのように測定・算定するかを説明できるベンダーはごくわずかです」とWallarmのCEO兼共同創設者であるIvan Novikovは述べています。「WallarmはこれまでもAPI脆弱性とエクスプロイトの追跡・分析に取り組み、API ThreatStatsレポートを通じてその情報をコミュニティと共有してきました。今回のQ3-2022レポートは通算3回目となりますが、API脆弱性とエクスプロイトの数や深刻度、焦点となる分野に不穏な傾向がはっきりと見て取れます。冗談ではなく、現在観測されているトップ10のAPI問題は、Kubernetes、Rancher、GitLab、HashiCorp、その他いくつかの主要なDevOpsやPaaS製品に影響を与えています。」

最終レポートの主なポイントは、Q3-2022 API ThreatStats™ Report executive summaryでご確認いただけます。さらに詳しく知りたい場合は、リサーチチームが調査結果を紹介するWallarmのウェビナー（11月10日（木）午前11時PT開催）にregisterからご登録ください。