APIセキュリティの危機：2025年上半期に予想以上の攻撃増加

サイバーセキュリティの専門家であるタレスが、「2025年上半期 API脅威レポート」を発表し、APIがサイバー攻撃の主要対象となっていることを警告しました。この報告書は、世界中の4,000を超える監視下にある環境からのデータを基にし、特にAPIに対して発生した4万件以上のインシデントを講じています。これらの攻撃は、アプリケーション、決済、ログインを支えるAPIに集中しており、その脅威の深刻さが浮かび上がってきました。

増大するAPI攻撃の実態

この報告書では、APIが全攻撃対象のわずか14%を占めるにもかかわらず、高度なボットトラフィックの44%がAPIに集中していることが明らかになっており、APIがビジネスの基盤を支える存在であるが故に、最も魅力的な攻撃対象となっています。特に注目すべきは、毎秒1,500万リクエストが送信される金融サービス向けの過去最大規模のアプリケーション層DDoS攻撃です。

この攻撃手法は、従来のネットワーク帯域を超えるボリューメトリック型のDDoS攻撃とは異なり、APIを悪用してリソースを枯渇させる形で業務に影響を与えます。2025年上半期にはAPIを標的とするDDoSトラフィックの27%が金融サービスを狙っており、リアルタイム取引にもAPIが多く使用されていることが伺えます。このデータは、攻撃者が大規模かつ低い観測性を持つ攻撃手法を採用していることを示しています。

具体的な攻撃手法と傾向

レポートによれば、データアクセスへの攻撃が37%、チェックアウトや決済関連が32%、認証に関するものが16%を占めており、さらに以下の傾向が見られます：

- クレデンシャルスタッフィングやアカウント乗っ取りが40%増加
- データスクレイピングがAPIボット活動の31%を占め、ユーザーの高価値情報を狙う
- クーポンや決済詐欺が攻撃の26%を占め、プロモーションの抜け穴が悪用
- リモートコード実行（RCE）プローブが攻撃の13%を占め、特にLog4jやOracle WebLogicが標的に

業種ごとには、金融サービスが26%で最大の標的とされ、続いて旅行（14%）、エンターテインメント（13%）が続きます。このように、より多くの企業がAPIを利用するようになる中で、その安全性への配慮が急務となっています。

シャドウAPIの存在とその影響

さらに、企業が管理しているAPIよりも実際には10%〜20%多いシャドウAPIが稼働していることも指摘されており、これらもまたサイバー攻撃の脅威にさらされています。タレスのアプリケーションセキュリティ製品担当バイスプレジデント、Tim Chang氏は、「APIはデジタル経済を支える結合組織であり、攻撃者にとって非常に魅力的なターゲットとなっています。特に、攻撃者はマルウェアを注入する代わりに、ビジネスロジックそのものを逆利用する手法を取っているため、通常の通信に紛れ込む危険性が高まっています」と警告しています。

まとめ

このタレスの報告書は、API攻撃の増加とその巧妙化が進んでいることを示しています。今後6か月間でさらなる拡大が予測されており、企業はこの状況を真剣に捉え、速やかに対策を講じることが求められます。収益、信頼、コンプライアンスを守るためには、全ての稼働中エンドポイントを特定し、そのビジネス価値を理解した上で、適切な防御策を構築する必要があります。