ブログ

OWASP トップ 10 API 脆弱性への対処: API セキュリティにはボット管理が必要

ジム・ダウニー サムネイル
ジム・ダウニー
2024年2月29日公開

企業のサイバーセキュリティ チームはAPI セキュリティに重点を移しており、それは当然のことです。 デジタル経済において、API はビジネスへの玄関口であり、IoT デバイス、Web およびモバイル アプリ、ビジネス パートナー プロセスへのエントリ ポイントです。 残念なことに、API は犯罪者にとっての入り口でもあり、その多くはボットを利用して攻撃を実行します。 したがって、セキュリティ チームが API を保護し、API への攻撃に使用されるボットを軽減することが重要です。

OWASP の上位 10 の API セキュリティ脆弱性を見ると、ボットが API への攻撃の中心であることがわかります。 上位 10 件の API 脆弱性のうち 3 つは、ボットに直接的かつ明白に関連しています。

  • 認証が壊れています: ボットは、ブルートフォース攻撃、辞書攻撃、クレデンシャルスタッフィング攻撃によって認証を突破し、アカウントの乗っ取り、詐欺、金銭的損失、顧客の怒りを引き起こします。
  • 無制限のリソース消費: 無制限のリソース消費を利用し、API のメモリと処理能力を使い果たすのはボットです。 ボットが、インタラクティブ アプリケーション (つまり、人間が使用する Web アプリケーションやモバイル アプリケーション) で使用するために設計された API をターゲットにすると、パフォーマンスに壊滅的な影響を与える可能性があります。
  • 機密ビジネスフローへの無制限アクセス: 特定のビジネス フローに過度にアクセスすると、ビジネスに悪影響を与える可能性があります。 許可されていない再販業者は、商品の在庫を買い占めて、より高い価格で再販することができます。 スパマーはコメント/投稿フローを悪用する可能性があります。 攻撃者は予約システムを利用して、利用可能なすべての時間枠を予約することができます。 いずれの場合も、損害を引き起こすのはボットです。 テイラー・スウィフトのコンサートチケットがあっという間に完売し、チケットマスターのアプリがクラッシュしてファンを苛立たせたことを覚えていますか? その騒動を引き起こしたのはボットだった。

OWASP API トップ 10 リストの他の 7 つの項目 (セキュリティ構成の誤り、在庫管理の不備、認証の不備など) は、ボットとそれほど関連が明らかではありませんが、攻撃者はボットを利用してこれらの脆弱性を効果的に発見し、迅速に悪用します。 Corey J. Ball は著書『 Hacking APIs 』で、API 検出 (OWASP ZAP、Gobuster、Kiterunner) とファジング (Postman、Wfuzz、Burp Suite) のためのいくつかの自動化ツールの使用について説明しています。 攻撃者はこれらのツールを使用して、API に何千ものリクエストを送信し、脆弱性を探し出します。 このスヌーピングを可視化し、成功する可能性を減らすには、ボットを軽減するための効果的なシステムが必要です。

ボットはすべての API に同じように影響を与えるわけではありません。 マシン間であり、自動化されたプロセス (通常は内部プロセスまたはパートナーのプロセス) によってアクセスされる API は、通常、相互 TLSによって保護されます。この場合、認証が破られるリスクは低く、認証されたクライアントごとにレート制限を適用できます。 むしろ、ボットに対して最も脆弱なのは、インタラクティブ アプリ (つまり、人間が操作する Web アプリやモバイル アプリ) からのトラフィックのみを想定する API です。

人間が開始するトラフィックを想定する API の場合、ボットに対する防御はますます困難になっています。 オープンソースライブラリを使用すると、ヘッダー フィンガープリントによる検出を回避するのが簡単になり、ボット オペレーターは、数千万の住宅 IP アドレスを含むネットワークを介してCAPTCHAプロキシ要求を回避するために広く利用可能なサービスを利用できます。 ヘッダー分析、IP 拒否リスト、CAPTCHA などの古い手法はもはや効果的ではないため、ボットの軽減を目指すアプリケーション セキュリティ チームは、JavaScript とモバイル SDK を活用した豊富なクライアント側シグナル収集と、攻撃ツールとボットの動作を区別するための高度な機械学習に頼る必要があります。

組織のどの API がボットに対して脆弱であり、影響の可能性とコストはどの程度か、また、ボットに対する必要な保護を確保するためにセキュリティ制御をどのように設計できるか。 これらは脅威モデル化で対処すべき良い質問です。 ボットのビジネスへの影響について詳しくは、このトピックに関する F5 のホワイトペーパーを参照するか、無料相談にご登録ください。