APIの脆弱性がサイバー攻撃の温床に
皆さんは、家計簿アプリなどは利用されていますか?最近では家計簿アプリと口座やクレジットカード情報が連携でき、家計簿の管理がとても便利になっていますね。他にもスマホアプリやWebアプリなど、様々なアプリの機能の一部を連携することで、私たちの生活を便利にしてくれているのがAPIです。
APIとは「Application Programming Interface」の頭文字をあわせた略語で、ソフトウェアの持つ機能を外部に公開して共有するための仕組みのことです。ソフトウェアの機能を外から利用するための窓口と考えてもらえば良いかとおもいます。中でも、インターネット経由で提供される機能を利用する仕組みをWeb APIと呼びます。本ブログでのAPIとは、このWeb APIのことです。
例えば1つのアプリで、チャットや電話、音楽が聴けたり、ゲームや漫画も読むことができたりするのは、アプリが全ての機能を持つのではなくAPIを活用することで様々な機能を提供するというAPI活用の例です。
また、企業の口座情報と会計ソフトを連携させることで、入出金などを一元管理できるなど、経理の方の負担を軽減できるため、会計ソフトを導入するときに、口座情報とのAPI連携の有無が選定理由の一つになることもあるかと思います。
こうした連携が可能になったのも、金融機関が、APIを公開して、外部のアプリなどから情報を取得できるようになったことが要因です。
ただ、こうした連携について、口座情報やクレジットカード情報が流出してしまうのではないか?など、不安の声も多く聞きます。
便利なAPIですが、今回は、そうしたAPI利用に潜む危険性や対策について紹介したいと思います。
1.APIを利用に潜む危険性
API連携は便利な反面、悪意のある攻撃者から標的にされ易く、脆弱性が存在すると、それを悪用され、利用者、サービス提供者、さらにはAPI連携しているビジネスパートナーにまで被害が広がってしまうリスクもあります。
一般的な対策として、WAF(Web Application Firewall=Webアプリケーションの脆弱性を悪用した攻撃を防御する仕組み)を利用するなどいくつか方法はありますが、こうしたセキュリティ対策を導入しても、100%安全という保証はできません。
例えば、Webアプリケーションのセキュリティを推進することを目的とした非営利団体であるOWASP(Open Web Application Security Project)が発表している、OWASP Top 10 API Security Risk(https://owasp.org/API-Security/editions/2023/en/0x11-t10/ )にあるほとんどの脆弱性は、WAFでの防御が難しい脆弱性であるため、やはり根本原因であるAPIの脆弱性をなくすことが重要です。
2.脆弱性診断を活用してAPIを安全に公開しよう
脆弱性診断とは、ソフトウェアやWebアプリケーションなどにセキュリティ上の欠陥(=脆弱性)がないか検証して診断することです。自社でAPIを公開している企業は、公開しているAPIの脆弱性診断を行い、脆弱性の有無を把握し、必要な対策を行うことで、被害を未然に防ぐことで、個人だけでなく、APIを連携しているパートナー企業にも安心したサービスを提供できるようになります。また、その後も、新たな脆弱性が見つかることもありますので、継続的な診断の実施をおすすめします。
セキュアブレインでは、各種サーバなどに潜むセキュリティホールを専門家による診断で洗い出し、対策方法の提示までを支援する「セキュリティ診断サービス(ITインフラ診断/Webアプリ診断/ソースコード診断)」をご用意しています。Webアプリ診断では、Web APIの脆弱性を調査することも可能です。専門家によるセキュリティ診断をご検討でしたら、セキュアブレインにお声がけください。
セキュアブレインの製品・サービスのお問い合わせは以下よりお願いします。
https://www.securebrain.co.jp/form/service/inquiry_input.html