BLOG

T-Mobileのハッキング被害から(現時点で)得られた教訓

Ian Dinno サムネール
Ian Dinno
Published February 06, 2023

アプリケーション セキュリティ(API)は開拓時代さながらの勢いで成長していますが、先頃のT-Mobileによるデータ侵害の開示によってその課題が浮き彫りとなっています。一個人(またはグループ)がAPIの使用(というよりは悪用)によって3,000万人を超える顧客の個人データを収集し、検知されるまでの1か月にわたって毎日情報が盗まれていたのです。

この記事を書いていた当時、この事案(機能の悪用、オブジェクト レベルの承認の不具合、過剰なデータ曝露など)でAPIがどのように、またはなぜ悪用されたのか、その詳細は不明でした。また、最終的にハッキングがどのように実行されたのかもよくわかっていませんでした。数字を確認しただけでも、平均で902,000人の顧客データが毎日APIを通じて削除されました。しかも、レート制限のしきい値警告が発せられることも、時系列変動の異常が検出されることもなくです。実際にはあったのかもしれませんが、該当する脅威レベルを運用チームが即座に特定して緩和策をとることができなかったのでしょう。これは、ロー アンド スロー攻撃の特徴です。

このような侵害は、APIがいかに浸透しており、今日の組織にとってAPIがいかに重要か、そしてセキュリティ(または危険性)に、ひいては組織全体においてAPIが果たす役割について考える機会を我々に与えることとなりました。近年の侵害分析でF5 Labsは、インシデントがAPIと関連するほとんどの状況において、侵害方法は技術的には非常に単純でありながら、外部公開されたセキュリティの甘いAPIエンドポイントに深刻な影響を及ぼしていることに気付きました。

APIに関して、セキュリティは口で言うのはやさしいが行う(少なくともうまく行う)ことは難しいものです。近年、大半の組織が監視対象とするアプリケーションとエンドポイントは増加の一途をたどり、生成されるアプリケーション セキュリティ イベント データも大量になっているため、あらゆる状況を把握することは不可能な作業のように思えるかもしれません。

しかし、この攻撃によって、APIセキュリティに不可欠な3つの要素が明らかになりました。これらを参考に、以下の技術とサービスの優先度を決めて導入してください。

APIの可視性と検出。このケースでは、あるAPIが既知のものであるのか、能動的な監視対象なのかが明らかではありませんでした。スキーマ強制機能を備えた、セキュアに開発され立証済みのAPIに依存した積極的なセキュリティは重要ですが、まだ道半ばです。おそらく、ほとんどの組織はその環境内で実行されているAPIを把握していないでしょう。したがって、アプリケーションのすべての通信経路でまだ安全性が立証されていないAPIを常に把握してマッピングすることが最も重要です。検出技術によって、組織はAPIの状況全体をマッピングし、不明な/疑わしいAPI、ブロック/削除すべき放棄API/ゾンビAPI、ガバナンス対象として考慮すべき未知の「善良な」APIを洗い出すことでより包括的な監視が可能になります。

APIの存在を把握すること、および制御機能を利用することは、APIセキュリティというジグソーパズルの重要な2つのピースです。当社の2022年度アプリケーション戦略状況レポートによると、回答者の68%がAPIセキュリティの最も重要な要素として認証と承認をあげています。これに僅差で続くのが、動作分析と異常検出によってAPIを監視し、異常な動作と潜在的な悪用を特定して警告することです。攻撃者にとって、認証と承認を簡単にかいくぐる方法はいくらでもあるからです。この場合、APIとクライアント間でやり取りされるデータに何か問題があるはずです。実運用環境への投入後も継続的にAPIの動作を追跡するには通常、基準となる動作属性を構築することが必要です。その際、APIリクエスト分析と時系列変動検出を使用します。この属性を使用してリクエスト レート、エラー、遅延、スループットなどの異常を特定できます。この機能では、予期しないトラフィックの急増または急減が発生したり、見慣れないトラフィック パターンが存在したり、異常なAPIリクエストが検出されたりした場合に問題を提起するためのアラート機能といった要素が不可欠です。

完璧な最新のAPIセキュリティ スタックには、インライン アプリケーションとAPIセキュリティ強制エンジンが必要です。その場合、多層的なアプリケーション セキュリティ機能(レート制限を含む詳細なL7ポリシー適用)を備えたWAF、IPレピュテーション、許可/拒否リスト機能、悪性のエンドポイント、ユーザー、その他の活動を詳しく調査して対策をとる機能を備えたL7 DoSなどが確実に含まれます。その結果、運用チームは、API悪用の可能性を異常として即座かつ容易に特定して阻止するためのポリシーを作成し、攻撃が進化して挙動が変化しても、APIとアプリケーションのエンドポイントを確実に保護できます。

時間とともにさらに詳細が明らかになることでしょう。今回のデータ侵害で何が起きたのかを知ることも大事ですが、組織にとって重要なことは、この3つの要素を活かして、このような悪用からアプリケーションとAPIエンドポイントのセキュリティを確保するためのより良い計画を評価し、立案することです。

APIセキュリティの課題と最新のアプリケーション開発およびAPIセキュリティのヒントについて

Forresterの「APIの危険性」レポートには、現代におけるアプリケーション開発とAPIセキュリティの増え続ける課題について解説されているほか、最新のアプリケーション/API開発ワークフローの一環としてセキュリティを実装するうえでのヒントも記載されています。