API悪用とは？

API悪用の概要

API悪用とは、APIを誤った方法で扱い、不正にアクセスを得て、主要な機能を改変する行為を指します。これにより、サーバーへの攻撃や過負荷といった目的でAPIが利用されることになります。ボット、フィッシング攻撃、または悪意あるコードの手動挿入がその手段です。

API悪用の影響

継続的なAPI悪用により、ハッカーは対象APIに管理者並みのアクセスを得ることができます。このアクセス権を利用し、ハッカーはAPIを自由に操るようになります。また、既存のAPIの脆弱性を突いて重要な個人情報や業務情報を盗み、ウェブサイトやアプリを破壊する可能性もあります。さらに、適切なAPI悪用攻撃が成功すると、アカウント全体やソフトウェアエコシステムが乗っ取られる恐れがあります。

API悪用には様々な形態があり、以下に例を挙げます。

• インジェクション攻撃

この手法は、APIに悪意あるコードを埋め込む必要があります。攻撃は脆弱性のあるAPIのみで発生し、現状、インジェクション攻撃はウェブアプリやAPIにおいて最も悪名高い手法です。

現在、SQLインジェクションやXSSが代表的な攻撃タイプであり、コードの挿入はAPIのコード内またはAPIメッセージ中に行われる場合があります。

• DDoS攻撃
  

こちらは、攻撃者が特定の機器やシステムへの正当なアクセスを妨げる主要なAPI悪用の手法です。ハッカーはAPIに大量のトラフィックを送り込むことでこれを実現します。トラフィックはボットや非対称な手法を用いて送信されます。

この攻撃はシステム資源を大量に消費し、正当な利用者がアクセスできなくなる結果を招きます。分散型サービス妨害（DDoS）攻撃は、低速で帯域をほとんど消費する場合もあれば、高速で大量の帯域を使う場合もあり、いずれも最終利用者がサービスを利用できなくなる事態を引き起こします。

• データの露出
  

APIは、2つ以上のエンドポイント間で通信やデータ共有を行うために利用されます。API悪用が発生すると、APIに蓄積された情報が危険な相手に露出する可能性があります。特に、HTTPプロトコルでデータを転送するRESTful APIは、このリスクが高いです。

‍

API悪用をどう防ぐか？

API悪用の影響は大きく、対象のITエコシステム全体に打撃を与える恐れがあります。従って、『public APIの悪用をどう防ぐか？』という課題に対して、あらゆる対策を検討する必要があります。有効な対策として、以下のポイントが挙げられます。

• ボットからのAPIコールは、徹底して監視・管理する必要があります。多くのAPI悪用はボットを通じて行われるため、これらのAPIコールを軽視してはなりません。
• 最上級のAPI認証と認可を実装する必要があります。
• APIログインプロセスには、2FAと強固な暗号化を導入する必要があります。
• API全体の経路を注意深く監視し、初期段階での脆弱性を発見することが求められます。
• 高い耐障害性を確保するため、クラスタAPIの実装を採用することが望まれます。
• API悪用防止

公衆API、非公開APIを問わず、SOAPやRESTなど、あらゆるAPIには効果的なAPIセキュリティ対策が必要です。Wallarmなどのツールを利用することで、APIの脆弱性を最小限に抑え、API悪用のリスクを低く保つことが可能になります。

動画を見る: