Akamai Technologiesは最新の脅威レポートを公開した。
これによると2023年1月から12月の期間で、全てのウェブ攻撃のうち29%がAPIを標的としていたことが分かった。日本国内ではウェブ攻撃のうち同様の攻撃は23%だった。
さらに国内では製造業が最も攻撃を受けており、ウェブ攻撃全体の約57%をAPI攻撃が占めている。次に攻撃が多かったのはゲーム業界で約29%だった。
日本のサービスや組織に対するウェブ攻撃全体に占めるAPIを狙った攻撃の割合(2023年1月〜12月)
日本の各業界へのウェブ攻撃総数に占めるAPI攻撃の割合(2023年1月〜12月)
このほかに同社は、異質なAPIアクティビティを監視するソリューションを持たない組織は、データスクレイピング(認可されたAPIアクセスを用いてゆっくりとデータをスクレイピングする、新しいデータ漏えいベクトル)などのランタイム攻撃のリスクにさらされるとしている。
さらに実際のAPIに対する攻撃では、ローカルファイルインクルージョン(LFI)、SQLインジェクション(SQLi)、クロスサイトスクリプティング(XSS)などの比較的よく知られたウェブ攻撃手法も観測されたという。これらのリスクの一部は、Open Worldwide Application Security Project(OWASP)の2023版の「API Security Top 10」ではランク外となったが、引き続き主要な攻撃ベクトルとして着目する必要があるとしている。
また最も重要なことは、ロイヤルティ詐欺、悪用、認可されたAPIアクセスによる攻撃、カーディング攻撃など、業界の動向や関連するユースケースを把握することが重要だとした。くわえてシステムの再設計が必要となる事態を回避するために、セキュリティ戦略プロセスの初期段階で、APIに関してもセキュリティコンプライアンス要件や新たな法規制を考慮する必要があるとした。
