インターネットトラフィックの大部分を占める API 悪用に要注意

セキュリティメディア「Hacker News」によると、全インターネットのトラフィック上で API が占める比重が大きくて、攻撃者がそれを積極的に悪用しているそうです。セキュリティ企業のImpervaが調査した結果を引用したもので、2023年のインターネットトラフィックの73%が API 呼び出しと関係があったそうです。企業サイトの場合、1年の間に平均15億回のAPI呼び出しを記録しました。これは API がDXの核心要素だという事実が如実にあらわれる部分であり、攻撃者もやはりこれに基づき、APIエンドポイントを攻略する方法を続いて開発しています。その中で一番多く使われる戦略は「アカウントの掌握」であり、API 認証段階を侵害することで API と関係があるアカウントを乗っ取ることです。2023年の間発生した全てのアカウント掌握攻撃の中で45.8が API エンドポイントを狙ったのでした。

API はDXにあたり核心要素です。特定機能を自由に取って使えるようにするもので、開発者がアプリを開発する際に必要な全ての機能をいちいちコーディングしなくてもいいようにするからです。そのため、アプリの開発が活性化され、速度も速くなり、それに従って革新も加速されます。しかし、そんなAPIに対するセキュリティはあんなに高い水準ではないのが普通です。

Impervaの関係者は「これから API はもっと広がるはずで、今から API セキュリティの概念を確立しなければならない」と言い、また「 API もデータのように、敏感さの程度、どれがどのような目的でどのように使われているのかをいちいち追跡して管理しなければならない」と加えました。