Akamai Technologies, Inc.は、2023年1月から12月にかけてのウェブ攻撃のうち29%がAPIを対象としていたことを明らかにした。この報告は「State of the Internet (SOTI)」レポートの一部であり、「Lurking in the Shadows: Attack Trends Shine Light on API Threats」と題されている。商業分野がAPI攻撃の44%を占め、ビジネスサービスが約32%で続く。
APIは組織にとって不可欠であり、従業員と顧客の体験を向上させるが、サイバー犯罪者はこのデジタルイノベーションを悪用している。レポートは、APIの使用需要が増加するにつれて、これらの攻撃が増加すると警告している。また、ビジネスロジックの乱用や、Local File Inclusion (LFI)、Structured Query Language injection (SQLi)、Cross-Site Scripting (XSS)などの攻撃方法がAPIに対する脅威として挙げられている。
組織は、セキュリティ戦略を早期に計画し、APIのセキュリティを適切に考慮する必要がある。AkamaiのAdvisory CISOであるSteve Winterfeldは、APIの脅威に光を当てるこのレポートが、組織が顧客を保護するためのベストプラクティスを活用するのに役立つ洞察と可視性を提供すると述べている。
【ニュース解説】
Akamai Technologies, Inc.が発表した最新の「State of the Internet (SOTI)」レポートによると、2023年1月から12月にかけてのウェブ攻撃のうち29%がAPI(Application Programming Interface)を対象としていました。特に商業分野が44%と最も多くのAPI攻撃を受け、ビジネスサービスが約32%でこれに続いています。
APIは、従業員や顧客の体験を向上させるために多くの組織にとって不可欠な技術です。しかし、このレポートは、APIの使用が増加するにつれて、サイバー犯罪者による攻撃も増加すると警告しています。攻撃方法には、ビジネスロジックの乱用、Local File Inclusion (LFI)、Structured Query Language injection (SQLi)、Cross-Site Scripting (XSS)などがあります。
このような状況を踏まえ、組織はセキュリティ戦略を早期に計画し、APIのセキュリティを適切に考慮する必要があります。特に、ビジネスロジックの乱用は、APIの異常な活動を検出することが難しいため、重大な懸念事項とされています。データスクレイピングなどのランタイム攻撃は、認証されたAPIを使用して徐々にデータを抽出する新たなデータ侵害ベクトルとして登場しています。
このレポートは、APIのセキュリティに関する実世界の影響を強調するいくつかのケーススタディを提供し、組織が顧客を保護するためのベストプラクティスを活用するのに役立つ洞察と可視性を提供しています。また、APIのセキュリティを設計段階から考慮すること、新技術の迅速な展開にセキュリティチームが追いつけるようにすることが重要であると強調しています。
この状況は、組織にとって複数の課題を提示します。まず、APIを通じたサービスの提供は顧客体験を向上させる一方で、セキュリティリスクも高めます。そのため、APIのセキュリティ対策は、技術的な側面だけでなく、ビジネスプロセスや顧客データの保護という観点からも重要です。また、API攻撃の増加は、新たな規制や法律の制定を促す可能性があり、組織はこれらの変化に迅速に対応する必要があります。
長期的には、APIセキュリティの強化は、デジタルトランスフォーメーションの成功に不可欠です。組織は、セキュリティをビジネス戦略の中心に置き、技術的な対策だけでなく、従業員の教育やセキュリティ文化の醸成にも注力する必要があります。このようにして、APIを通じたイノベーションを安全に推進し、サイバー犯罪者による悪用から顧客とビジネスを守ることができます。
from Akamai Research Finds 29% of Web Attacks Target APIs.
