Q1-2023 API ThreatStats™レポート

Gartnerが2022年3月に実施したAPI調査によりますと、組織の98%が内部APIを利用中、または利用予定で、これは2019年の88%から増加しています。そして、組織の90%がパートナー提供のプライベートAPIを利用中、または利用予定で、2019年の68%から増えております。

明らかに、公開用APIのみを守ることに注力する場合、APIセキュリティには大きな盲点がございます。詳細は、Q1-2023 API ThreatStats™レポートのインフォグラフィックにてご確認いただけます。

2023年第1四半期に公開されたAPI脆弱性の初期分析では、件数が緩やかに増加しつつも、重大度は高い範囲に留まっていることが示されました。しかし、これまでのレポート同様、表面下に潜む問題が後に影響を及ぼす可能性があります。

重要なポイント

データをさらに深く掘り下げることで、これらのAPI脆弱性が防御者と開発者双方にどのような影響を与えるかが明確になります。

プライベートAPIを守る

内部インフラの防御は、依然として最優先の課題です。

2023年第1四半期には、SAP NetWeaver AS for Java（CVE-2023-0017）やNVIDIAのグラフィックスカード（CVE-2022-42279）など、主要な内部プロセスのコンポーネントで多くのセキュリティ脆弱性が検出されました。全体として、影響度の高いトップ10のAPI脆弱性は、開発ツール、エンタープライズHW/SW、クラウドプラットフォームといった内部インフラのカテゴリに分類され、GitLab、Kubernetes、HashiCorpといった製品が影響を受けています。

完全な一覧は、Q1-2023 API ThreatStats™レポートのインフォグラフィックでご確認いただけます。

これらの企業を非難する意図はなく、かえってこれらの脆弱性は、技術重視の企業が貴重なデータを守り、事業継続性を維持するためにプライベートAPIのセキュリティ強化を優先すべきであることを浮き彫りにしております。

インジェクション脆弱性に対する防御

要するに、インジェクション脆弱性は大きな弱点です。2023年第1四半期に記録された全API脆弱性の多くがこのカテゴリに該当しました。

一方、全API脆弱性の29.4%がOWASP APIsecトップ10 API8:2019（インジェクション）に分類され、初めてこのカテゴリが他を下回る結果となりました。

また、全API脆弱性の45.3%は、CWEで定義されるインジェクション関連の問題に紐づいており、その内訳は全体の10.1%がCWE-79（XSS）、7.4%がCWE-89（SQLi）、6.6%がCWE-863（GraphQL Mutation）となり、合わせて評価されたインジェクション脆弱性の53%を占めています。

エクスプロイト対策

前四半期では、API脆弱性（CVE）が公開され、関連するエクスプロイトの概念実証（POC）が公開されるまでの期間、すなわちタイム・トゥ・エクスプロイトが平均-3日でした!

しかし、2023年第1四半期ではこの差が守備側に有利となり、タイム・トゥ・エクスプロイトは平均+11日となりました。さらに、エクスプロイトPOCの公開件数は前四半期の65件（全脆弱性の約30%）から、今四半期は24件（全体の約10%）に大幅減少しております。

これらは一見良いニュースですが、注意すべき点がいくつかございます:

• まず、エクスプロイトされたAPI脆弱性の平均CVSSスコアは高い範囲（8.9～7.0）にあり、ハッカーはクリティカル（9.0～10.0）な脆弱性だけでなく、目立たない攻撃経路も模索していることを示しています。
• 次に、これは「平均への回帰」の一例ともいえますが、a) 2022年のデータは上半期の収集が限定的で偏りがあり、b) 2023年第1四半期のデータも年末休暇など外部要因により偏っている可能性がございます。

現時点ではトレンドを断定するには早い段階ですが、今後も注視してまいります。