ブログ

APIセキュリティにはボット管理が必要です: OWASPトップ10 API脆弱性への対処

ジム・ダウニー サムネイル
ジム・ダウニー
2025年5月16日公開

企業のサイバーセキュリティ チームはAPI セキュリティに重点を置くようになりましたが、それは当然のことです。 デジタル経済において、API はビジネスへの正面玄関であり、IoT デバイス、Web アプリ、モバイル アプリ、そしてビジネスのやり方を変革する AI 駆動型アプリケーションへのエントリ ポイントとなっています。 残念なことに、API は犯罪者の玄関口でもあり、その多くはボットを利用して攻撃を実行しています。 したがって、セキュリティ チームが API を保護し、API を攻撃するために使用されるボットを軽減することが重要です。

OWASP のトップ 10 API セキュリティ脆弱性リストでは、API への攻撃においてボットが果たす中心的な役割が明確に示されています。 上位 10 件の API 脆弱性のうち 3 つはボットに直接関連しています。

  • 認証が壊れています: ボットは、ブルートフォース攻撃、辞書攻撃、クレデンシャルスタッフィング攻撃によって認証を突破し、アカウントの乗っ取り、詐欺、経済的損失、顧客の怒りを引き起こします。
  • 無制限のリソース消費: ボットは無制限のリソース消費を利用し、API のメモリと処理能力を使い果たします。 ボットが、インタラクティブ アプリケーション (人間が使用する Web アプリケーションやモバイル アプリケーション) で使用するために設計された API をターゲットにすると、パフォーマンスとコストに壊滅的な影響が生じる可能性があります。
  • 機密ビジネスフローへの無制限のアクセス: 特定のビジネス フローに過度にアクセスすると、ビジネスに悪影響を与える可能性があります。 許可されていない再販業者は、製品の在庫を使い果たし、大幅に高い価格で再販する可能性があります。 スパマーはコメント/投稿フローを悪用する可能性があります。 攻撃者は予約システムを利用して、利用可能な時間枠をすべて予約することができます。 このような場合、これらのビジネス フローを悪用するためにボットが展開されます。

彼の著書『Hacking APIs』には次のように記されている。 『Breaking Web Application Programming Interfaces』では、有名なサイバーセキュリティおよび API の専門家 Corey J. Ball が、API 検出 (OWASP ZAP、Gobuster、Kiterunner) およびファジング (Postman、Wfuzz、Burp Suite) の自動化ツールが、攻撃者によってどのように使用され、何千ものリクエストを API に送信して脆弱性を探し出すのに利用されるのかを説明しています。 スヌーピングを特定し、その影響を減らすためにボット管理を実施する必要があります。

ボットはすべての API に同じように影響を与えるわけではありません。 API は通常、相互 TLSによって保護されているため、認証が破られるリスクは低く、認証されたクライアントごとにレート制限を適用できます。 インタラクティブな Web およびモバイル アプリからのトラフィックのみを想定する API は、ボットに対して最も脆弱です。

人間が開始するトラフィックを想定する API では、ボットに対する防御がますます困難になっています。 オープンソースライブラリを使用すると、ヘッダー フィンガープリントによる検出の回避が容易になり、数千万の住宅 IP アドレスを含むネットワークを介したCAPTCHAプロキシ要求を回避するサービスがボット オペレーターに広く提供されています。 ヘッダー分析、IP 拒否リスト、CAPTCHA などの古い手法はもはや効果的ではありません。つまり、ボットの軽減を目指すアプリケーション セキュリティ チームは、JavaScript とモバイル SDK を活用した豊富なクライアント側シグナル収集と、攻撃ツールとボットの動作を区別するための高度な機械学習に頼る必要があります。

AI アプリケーションがより広く導入されるようになると、自動化された攻撃から API とこれらのエンドポイントを保護することが重要になります。 これに応えて、OWASP はLLM および Gen AI アプリの 2025 年トップ 10 リスクと軽減策を発表しました。 詳細については、最近の投稿「ボットが大規模言語モデルを攻撃する方法」を参照してください。

組織のどの API がボットに対して脆弱ですか? 攻撃の可能性と影響のコストはどれくらいですか? ボットに対する必要な保護を確実にするために、セキュリティ制御をどのように設計すればよいでしょうか? これらは脅威モデル化で対処するのに適した質問です。 ボットのビジネスへの影響について詳しくは、F5のホワイトペーパーをご覧ください。または、無料相談にご登録ください。