API 攻撃防止: サイバー犯罪者の新たなアカウント乗っ取りターゲットへの備え
脅威の状況は絶えず変化しており、サイバー犯罪者は貴重なリソースや機能に直接アクセスできる API をアカウント乗っ取り(ATO) 詐欺を実行するための新たな武器として利用しています。 API の脅威は大きな問題となっており、OWASP は組織が対処する必要のある領域に注意を喚起するために、新しい2023 年のトップ 10 API セキュリティ リスクリストをリリースしました。
犯罪者は ATO 戦術を転換し、悪意のあるボットを使用して API を標的とし、クレデンシャル スタッフィングやビジネス ロジックの悪用からDDoS 攻撃に至るまでの攻撃を実行しています。これらの攻撃はいずれも、アプリケーションのダウンタイム、個人情報の盗難、詐欺につながることがよくあります。 これらの攻撃は、すぐに利用できるツールを使用することでこれまで以上に簡単に実行でき、従来のボット防御技術では検出が困難です。
F5 の CTO オフィスの推定によると、運用中の API の数は今後数年間で飛躍的に増加するでしょう。 2030 年までに、5 億から 15 億を超える API が実稼働する可能性があります。 残念ながら、これは、標的を継続的に拡大しようとしているサイバー犯罪者にとっては素晴らしいニュースです。
API の拡散により、多くの盲点が生じ、脆弱性につながる可能性があります
- オープンな設計と予測可能な構造により、簡単に調査できる多くのオープンドアが作成されます。
開発者は、論理アーキテクチャ (REST など) に準拠した予測可能な構造を持つ柔軟な API を構築する傾向があるため、犯罪者は公開されている可能性のある追加データを簡単に調査できます。
- 組織間の可視性が低下すると、特に API が存在することすらわからない場合は、API アクティビティを監視することが難しくなります。
API は、SecOps チームが知る前に公開されることが多く、シャドーまたはゾンビ API エコシステムが作成され、API トラフィックのエンドツーエンドの可視性が欠如します。
- 複雑さが増すと、管理されていない、セキュリティ保護されていない API が作成され、攻撃対象領域が拡大します。
分散環境とサービスの急増により、すべての API を一貫して検出、管理、監視することが困難になり、脅威の数が増加し、セキュリティとプライバシーのインシデントに対する脆弱性が高まります。
既存のセキュリティ制御では API を ATO 攻撃から保護できない可能性があります
現代の悪意のあるボット攻撃は進化し続けており、従来のボット防止ツールではその有効性を維持できなくなっています。 API に関しては、ボット攻撃が、探索スキャンの自動化からリソースやビジネス ロジックの脆弱性の操作、クレデンシャル スタッフィング攻撃やインジェクション攻撃の実行に至るまで、さまざまな新しい方法で API をターゲットにするために使用されるため、この問題はおそらくさらに悪化するでしょう。
API クレデンシャル スタッフィング攻撃は、従来のボット軽減戦略では危険にさらされる理由を示す良い例です。 一部の API では、Web サイトにログインする場合と同様に、ユーザー名とパスワードが送信された後に認証トークンが提供されます。 このトークンは通常、API に対する他のすべてのリクエストに使用されます。これは API、特に古い API でよく見られるパターンであり、クレデンシャル スタッフィング攻撃やパスワード スプレー攻撃に対して脆弱です。
こうした種類の標的型攻撃は従来の制御のほとんどを回避するため、攻撃者と実際の顧客を区別することは困難です。 基本的なWeb アプリケーション ファイアウォール (WAF)やセキュリティ情報およびイベント管理 (SIEM) システムなどの従来のセキュリティ制御では、マシン間 (API 間) のトラフィックが大量にあるため、API に対するボット攻撃を識別して防止するには不十分です。 攻撃は表面上は通常のアプリの動作のように見えますが、舞台裏では API が悪用され、悪用される可能性があり、攻撃者は手遅れになるまで検出を逃れることができます。
ATO 攻撃から保護するための API セキュリティ戦略を成功させるには、複数の面での警戒が必要です
API セキュリティは組織全体で共有される責任であり、従来の Web アプリと最新の API ファブリックの両方において、侵害やデータ漏洩につながるボット駆動型攻撃、および稼働時間と信頼性に影響を与える攻撃に注意を払う必要性が高まっています。
API セキュリティに関しては、クレデンシャル スタッフィング、ブルート フォース、その他の強制的なログイン試行メカニズムによるAPI 経由の不正アクセスから保護するために、洗練された AI/ML エンジンが、失敗したログイン試行アクティビティや API パラメータの検出試行を識別し、それらの試行にフラグを付けて運用チームが確認できるようにすることで役立ちます。
組織が API セキュリティを強化するには、接続とアクセスの検証、時間の経過に伴う動作の監視と警告、異常なクライアント動作の特定による潜在的な侵害領域の特定など、いくつかの方法があります。
- API エンドポイントを継続的に監視および保護して、変化するアプリ統合を識別し、脆弱なコンポーネントを検出し、サードパーティ統合を通じて攻撃を軽減します。
- CI/CD パイプラインと統合され、OpenAPI および Swagger インターフェース仕様をサポートするポジティブ セキュリティ モデルを実装して、スキーマの検証、プロトコル コンプライアンスの適用、通常のトラフィック パターンのベースラインの自動設定、異常な動作の検出を簡単に行うことができます。
- 最小権限アクセスの原則を採用し、ペイロードを検査し、不正なデータ公開を防止し、オブジェクトと機能に対するアクセス制御とリスクベースの認証を実装することで、ゼロ トラストとリスクベースのセキュリティを採用します。 これには、インテリジェンスの収集と、API に関するボットの通常の動作のベースラインの構築が含まれます。 行動とパターンの分析、ワークフローの検証、フィンガープリンティングを活用することで、人間、善良なボット、悪質なボットのアクティビティを区別できます。
- 異機種環境全体でのセキュリティの誤った構成を防止し、侵害やサービス拒否につながる可能性のある不正使用を軽減し、クラウドとアーキテクチャ全体で一貫して脅威を修復することで、変化するアプリケーション ライフサイクルに対応します。 誤った構成、脆弱性、ビジネス ロジックの欠陥がないか、API をスキャン、テスト、監視し続けます。
組織が迅速に行動し、API 環境内の潜在的な問題を特定し、ドリルダウンして調査し、接続性、可用性、アプリおよびAPI のセキュリティに影響を及ぼす可能性のある異常や脅威を中和するために適切な対応ができるように、API セキュリティ体制を一元的に把握することを検討する必要があります。
このオンデマンド ウェビナーで、アカウント乗っ取り攻撃を防ぐ方法について詳しく学んでください。