ブログ

OWASP トップ 10 API 脆弱性への対処: API セキュリティにはボット管理が必要

ジム・ダウニー サムネイル
ジム・ダウニー
2024年2月29日公開

企業のサイバーセキュリティ チームはAPI セキュリティに重点を置くようになりましたが、それは当然のことです。 デジタル経済において、API はビジネスへの正面玄関であり、IoT デバイス、Web アプリ、モバイル アプリ、そしてビジネスのやり方を変革する AI 駆動型applicationsへのエントリ ポイントとなっています。 残念なことに、API は犯罪者の玄関口でもあり、その多くはボットを利用して攻撃を実行しています。 したがって、セキュリティ チームが API を保護し、API を攻撃するために使用されるボットを軽減することが重要です。

OWASP の上位 10 の API セキュリティ脆弱性を見ると、ボットが API 攻撃の中心であることがわかります。 上位 10 件の API 脆弱性のうち 3 つは、直接的かつ明白な形でボットに関連しています。

  • 認証が壊れています: ボットは、ブルートフォース攻撃、辞書攻撃、クレデンシャルスタッフィング攻撃によって認証を突破し、アカウントの乗っ取り、詐欺、金銭的損失、顧客の怒りを引き起こします。
  • 無制限のリソース消費: 無制限のリソース消費を悪用し、API のメモリと処理能力を使い果たすのはボットです。 ボットが、インタラクティブapplications(つまり、人間が使用する Web アプリケーションやモバイルapplications)で使用するために設計された API をターゲットにすると、パフォーマンスとコストに壊滅的な影響が生じる可能性があります。
  • 機密ビジネスフローへの無制限アクセス: 特定のビジネス フローに過度にアクセスすると、ビジネスに悪影響を与える可能性があります。 許可されていない再販業者は、商品の在庫を買い占めて、より高い価格で再販することができます。 スパマーはコメント/投稿フローを悪用する可能性があります。 攻撃者は予約システムを利用して、利用可能なすべての時間枠を予約することができます。 いずれの場合も、損害を引き起こすのはボットです。 テイラー・スウィフトのコンサートチケットがあっという間に完売し、チケットマスターのアプリがクラッシュしてファンを苛立たせたことを覚えていますか? その騒動を引き起こしたのはボットだった。

OWASP API トップ 10 リストの他の 7 つの項目 (セキュリティ構成の誤り、在庫管理の不備、認証の不備など) は、ボットとそれほど関連が明らかではありませんが、攻撃者はボットを利用してこれらの脆弱性を効果的に発見し、迅速に悪用します。 Corey J. Ball は著書『 Hacking APIs 』で、API 検出 (OWASP ZAP、Gobuster、Kiterunner) とファジング (Postman、Wfuzz、Burp Suite) のためのいくつかの自動化ツールの使用について説明しています。 攻撃者はこれらのツールを使用して、API に何千ものリクエストを送信し、脆弱性を探し出します。 このスヌーピングを可視化し、成功する可能性を減らすには、ボットを軽減するための効果的なシステムが必要です。

さらに、AIapplicationsによって API が大幅に増加し、それらの API が自動化された攻撃に対してより脆弱になっています。 これに応えて、OWASP は LLM および Gen AI アプリの 2025 年トップ 10 リスクと軽減策を発表しました。 詳細については、最近の投稿「ボットが大規模言語モデルを攻撃する方法」を参照してください。

ボットがすべての API に同じように影響を与えるわけではないことに注意することが重要です。 マシン間で行われ、自動化されたプロセス (通常は内部プロセスまたはパートナーのプロセス) によってアクセスされる API は、通常、相互 TLSによって保護されます。この場合、認証が破られるリスクは低く、認証されたクライアントごとにレート制限を適用できます。 むしろ、ボットに対して最も脆弱なのは、インタラクティブ アプリ (つまり、人間が操作する Web アプリやモバイル アプリ) からのトラフィックのみを想定する API です。

人間が開始するトラフィックを想定する API の場合、ボットに対する防御はますます困難になっています。 オープンソースライブラリにより、ヘッダー フィンガー プリンティングによる検出の回避が容易になり、ボット オペレーターは、数千万の住宅 IP アドレスを含むネットワークを通じてCAPTCHAプロキシ要求を回避できるサービスを広く利用できます。 ヘッダー分析、IP 拒否リスト、CAPTCHA などの古い手法はもはや効果的ではないため、ボットの軽減を目指すapplicationセキュリティ チームは、JavaScript とモバイル SDK を活用した豊富なクライアント側シグナル収集と、攻撃ツールとボットの動作を区別するための高度な機械学習に頼る必要があります。

組織のどの API がボットに対して脆弱であり、影響の可能性とコストはどの程度か、また、ボットに対する必要な保護を確保するためにセキュリティ制御をどのように設計できるか。 これらは脅威モデル化で対処すべき良い質問です。 ボットのビジネスへの影響について詳しくは、このトピックに関する F5 のホワイトペーパーを参照するか、無料相談にご登録ください。