ハッカーによるAPI経由での攻撃が増加
リサーチ・コンサルティング会社のGartner社によると、2022年までにAPIの悪用がもっとも一般的なWebアプリケーション攻撃になるといいます。
外部にAPIを公開する企業の数は増えており、ハッカーはAPI経由で企業の内部情報・システムなどに攻撃する可能性があります。
APIに対する主要な攻撃
Ping IdentityのCTO兼GMのBernard Harguindeguy氏によると、ハッカーによるAPIに対する攻撃は主に3つのパターンに集約されるといいます。
- DoSおよびDDoS攻撃
- ログイン攻撃
- アプリケーションとデータの攻撃
1.DoSおよびDDoS攻撃
Dos攻撃はDenial of Service attack、DDoS攻撃はDistributed Denial of Service attackの英語名からきています。
Dos攻撃は、攻撃対象であるサイトやサーバーに対して大量のデータを送りつけるというものです。
データの受信側では大量のトラフィックが発生し、負荷に耐えられなくなったサーバーやサイトがダウンしてしまいます。
DDoS攻撃は、マルウェアを使用し複数のマシンを乗っ取った上で、DoS攻撃を行うというものです。
DDoS攻撃は複数のIPを使って行われるので、攻撃対象により大きな負荷をかけることになります。
API経由でのDooS攻撃は、複数の送信元から大量のトラフィックを送信して、ログインやセッション管理などの重要なAPIサービスに負荷をかけることで行われます。
2.ログイン攻撃
ユーザーのAPIキーまたはトークンを盗み、APIサービスに不正にアクセスする攻撃です。
適切な認証情報を盗んで使用するため、API管理システムはこの攻撃を検知できません。
ログイン攻撃によって、正当なユーザーがログインできないようにすることも可能であるようです。
3.アプリケーションとデータの攻撃
Harguindeguy氏によると、ハッカーは一般ユーザーの認証情報を利用しアクセスした上で、APIサービスに対し以下のような操作を行うといいます。
- データ抽出または盗難
- データの削除または操作
- アカウントの引き継ぎ
- アプリケーションサービスへのインジェクション攻撃
- アプリケーションサービスへの悪質なコード挿入
- リモートアプリケーションまたはシステム制御
APIを公開する企業は、以上のような攻撃を受けるリスクにさらされています。
自社のAPIサービスの公開を考えているのであれば、サイバー攻撃を受けるリスクについて十分に検討する必要があると言えるのではないでしょうか。
How Does Your API Security Stand Up Against the 3 Most Common Attacks? – programmableweb
GARTNER REPORT: HOW TO BUILD AN EFFECTIVE API SECURITY STRATEGY – Ping
