企業のサイバーセキュリティ チームはAPI セキュリティに重点を置くようになりましたが、それは当然のことです。 デジタル経済において、API はビジネスへの正面玄関であり、IoT デバイス、Web アプリ、モバイル アプリ、そしてビジネスのやり方を変革する AI 駆動型アプリケーションへのエントリ ポイントとなっています。 残念なことに、API は犯罪者の玄関口でもあり、その多くはボットを利用して攻撃を実行しています。 したがって、セキュリティ チームが API を保護し、API を攻撃するために使用されるボットを軽減することが重要です。
OWASP のトップ 10 API セキュリティ脆弱性リストでは、API への攻撃においてボットが果たす中心的な役割が明確に示されています。 上位 10 件の API 脆弱性のうち 3 つはボットに直接関連しています。
彼の著書『Hacking APIs』には次のように記されている。 『Breaking Web Application Programming Interfaces』では、有名なサイバーセキュリティおよび API の専門家 Corey J. Ball が、API 検出 (OWASP ZAP、Gobuster、Kiterunner) およびファジング (Postman、Wfuzz、Burp Suite) の自動化ツールが、攻撃者によってどのように使用され、何千ものリクエストを API に送信して脆弱性を探し出すのに利用されるのかを説明しています。 スヌーピングを特定し、その影響を減らすためにボット管理を実施する必要があります。
ボットはすべての API に同じように影響を与えるわけではありません。 API は通常、相互 TLSによって保護されているため、認証が破られるリスクは低く、認証されたクライアントごとにレート制限を適用できます。 インタラクティブな Web およびモバイル アプリからのトラフィックのみを想定する API は、ボットに対して最も脆弱です。
人間が開始するトラフィックを想定する API では、ボットに対する防御がますます困難になっています。 オープンソースライブラリを使用すると、ヘッダー フィンガープリントによる検出の回避が容易になり、数千万の住宅 IP アドレスを含むネットワークを介したCAPTCHAやプロキシ要求を回避するサービスがボット オペレーターに広く提供されています。 ヘッダー分析、IP 拒否リスト、CAPTCHA などの古い手法はもはや効果的ではありません。つまり、ボットの軽減を目指すアプリケーション セキュリティ チームは、JavaScript とモバイル SDK を活用した豊富なクライアント側シグナル収集と、攻撃ツールとボットの動作を区別するための高度な機械学習に頼る必要があります。
AI アプリケーションがより広く導入されるようになると、自動化された攻撃から API とこれらのエンドポイントを保護することが重要になります。 これに応えて、OWASP はLLM および Gen AI アプリの 2025 年トップ 10 リスクと軽減策を発表しました。 詳細については、最近の投稿「ボットが大規模言語モデルを攻撃する方法」を参照してください。
組織のどの API がボットに対して脆弱ですか? 攻撃の可能性と影響のコストはどれくらいですか? ボットに対する必要な保護を確実にするために、セキュリティ制御をどのように設計すればよいでしょうか? これらは脅威モデル化で対処するのに適した質問です。 ボットのビジネスへの影響について詳しくは、F5のホワイトペーパーをご覧ください。または、無料相談にご登録ください。