OWASP Top 10 APIセキュリティリスク – 2023
OWASP APIセキュリティトップ10は、最も一般的かつ深刻なAPIセキュリティリスクのリストです。この著名なサイバーセキュリティ機関は、2019年に初めて重大なAPI脆弱性のリストを発表しました。
残念ながら、その後も状況はほとんど変わっていません。2019年から2023年にかけて、T-MobileやLinkedInを含む複数の大手企業のAPIが悪用され、壊滅的なデータ侵害が発生しました。これらの広く報じられたセキュリティインシデントは、以下の事実を浮き彫りにしました:
- APIセキュリティは、多くのビジネス環境やソフトウェア開発環境において依然として後回しにされている。
- APIの不適切な管理は、深刻な財務的・評判的・事業的結果を招きうる。
本記事では、爆発的に増加するAPI利用に潜むセキュリティ脅威の最新リスト「OWASP APIセキュリティトップ10 – 2023」について解説します(最近の報告によれば、典型的な現代アプリケーションには26~50ものAPIが活用されています)。OWASP APIトップ10があなたや組織にどう関わるのか、そしてAPIセキュリティを真剣に考慮すべき理由を明らかにします。
目次
|
OWASP API Security Top 10 – 2023
データ
OWASPチームは、主要なバウンティプラットフォームやニュースソースから収集した公開データに基づき、API脆弱性トップ10リストを作成しました。このリストはOWASPガイドラインと併せ、APIセキュリティに関する現時点で最良のリソースです。情報は体系化され明確に提示されており、APIセキュリティ戦略構築の基盤となる主要な参照ポイントを提供します。
リスクスコア
OWASP APIセキュリティトップ10 – 2023は、2019年版APIトップ10と同様のリスク評価手法を採用し、重大度に基づいてセキュリティリスクを順位付けしています。
API脆弱性を評価する際、OWASPは以下の要素を考慮します:
- 悪用可能性
- 普及度
- 検出可能性
- 技術的影響
各要素のスコアは1~3の範囲で評価されます。4要素の数値が最終的なリスクスコアを決定し、その結果として個々のAPIセキュリティ脆弱性がリスト内でどの位置にランク付けされるかが決まります。
リスト
このリストは開発者とセキュリティ専門家向けに作成され、内部APIと外部APIの両方に適用されます。
API1:2023 Broken Object Level Authorization (BOLA)
説明: BOLAとは、ユーザーAが権限を持たないにもかかわらずユーザーBのデータにアクセスできる状態を指します。脅威アクターは、オブジェクト識別子(ユーザーID:文字列または数値)の操作や、アクセストークンの不正再利用を通じて、このAPIの脆弱性を悪用できます。
結果: データ漏洩、データ損失、データ改ざん、および完全なアカウント乗っ取り。
防止策: ユーザーポリシーに基づく認証(要求された操作を実行するアクセス権限の有無を検証する認証メカニズム)、ランダムかつ予測不可能なID値、導入済みの認証メカニズムを評価するテスト。
これは実環境で悪用される最も一般的なAPI脆弱性である。2019年のAPI脆弱性トップ10リストで第1位となり、2023年においても同順位を維持している。API2:2023 Broken Authentication
説明: この脆弱性は、推測されやすいパスワードと、転送中および保存時の暗号化の欠如または脆弱性に起因します。
認証メカニズムが正しく実装されていない、または不十分な場合(無制限のログイン失敗や脆弱なパスワードポリシーなど)、APIはすぐにサイバー攻撃の被害に遭う可能性があります。悪意のある攻撃者は、ブルートフォース攻撃、クレデンシャルスタッフィング、辞書攻撃を実行して認証情報を取得し、正当なユーザーを装うことができます。
結果: 他アカウントの完全な制御権取得およびユーザーの個人情報へのアクセス。
対策: アカウントメールアドレス変更などの機密操作における再認証、多要素認証、ブルートフォース対策メカニズムの導入、APIクライアント認証にのみAPIキーを使用すること。
API3:2023 Broken Object Property Level Authorization (BOPLA)
説明: BOPLA(権限不足による認証検証)とは、APIがユーザー自身によるデータフィルタリングを前提とするなど、認証検証が欠落または不十分な状態を指します。
適切な検証メカニズムが欠如している場合、APIはフィルタリングされていないデータ(必要以上の情報)を表示します。
この脆弱性は、2019年APIセキュリティトップ10の「過剰なデータ開示」と「マスアサインメント」を組み合わせたものです。
影響: データ漏洩、データ損失、データ破損、権限昇格、アカウント乗っ取り。
防止策: to_json() や to_string() などのメソッドの回避、スキーマベースのレスポンス検証メカニズム、最小限の返却データ構造など。
API6:2023 Unrestricted Access to Sensitive Business Flows
説明: この脆弱性は、API利用の背後にあるビジネスロジックに直接関連します。攻撃者がアプリ内のコメント機能などの機密性の高いビジネスフローを発見した場合、自動化を通じて過剰利用したり悪用したりすることで、ビジネスに損害を与える可能性があります。
結果: 一般ユーザーへのアプリアクセス拒否(例: コメント投稿やチケット購入不可)や、アプリの通常機能・フローの改変(例: オンラインゲームの標準的なプレイ方法の変更)を引き起こす。
対策: デバイスフィンガープリンティング、キャプチャ、生体認証ソリューション、Torノードや悪名高いプロキシのブロック、非人間的なパターンの検出。
API8:2023 Security Misconfiguration
説明: この脆弱性は直感的に理解しやすいものです。APIの設定ミスや複雑な設定を指し、セキュリティを犠牲にしてカスタマイズ性を提供する場合があります。
設定ミスしたHTTPヘッダー、不要なHTTPメソッド、デフォルト設定、クロスオリジンリソース共有(CORS)、過剰な情報を開示する詳細なエラーメッセージなどがこのカテゴリーに該当します。
影響: サーバーの侵害、および機密ユーザーデータやシステム詳細の漏洩。
予防策: クライアントとサーバー間の暗号化通信チャネル、不要なHTTP動詞の無効化、適切なCORSポリシー、コンテンツタイプとデータ形式の制限、自動化された設定評価。
API9:2023 Improper Inventory Management
説明: 不適切なインベントリ管理とは、適切かつ最新の文書化不足、APIカタログの欠落または不完全性、古いパッチ未適用のAPI、ステージングAPIバージョン、シャドウAPI、および同様の望ましくない現象を指します。
問題は、廃止または非表示にするべきAPIが、現行の公式APIと同じデータソースに(依然として)接続している場合に発生します。
この脆弱性は人的ミスの明らかな例です。
結果: サーバー乗っ取りおよび機密データへのアクセス。
予防策: 各APIホストの適切な文書化によるインベントリ管理、統合サービスの適切な文書化によるインベントリ管理、権限のあるユーザー/コンシューマーのみがアクセス可能な適切なAPIドキュメントの提供、全APIバージョンの保護、必要に応じて最新APIバージョンの強制使用。
API10:2023 Unsafe Consumption of APIs
説明: この脆弱性は、APIが第三者のAPIやサービスと連携することで危険に晒されることを意味します。例えば、開発者が第三者のAPIに対して脆弱なセキュリティ基準を使用している場合、脅威アクターはまずそれらの他のAPIを侵害することで、対象のAPIに到達できます。第三者のサービスは、認証を迂回したりAPI応答を操作したりすることを可能にする場合があります。
OWASP APIセキュリティトップ10(2019年版)で別個の脆弱性として扱われていた「インジェクション」は、現在このカテゴリに分類される。
影響: 機密情報の漏洩、各種インジェクション攻撃、DoS攻撃。
対策: サードパーティサービスのAPIセキュリティ態勢の評価、セキュアなチャネルを介したAPI通信、統合サービスからのデータ検証とサニタイズ、リダイレクト先の許可リスト管理。
OWASP APIセキュリティトップ10とその重要性
今や、APIセキュリティ、特にOWASP APIセキュリティプロジェクトに関心を持つべき理由は明らかでしょう。しかし、その重要性を再確認するため、企業が最も深刻なAPIセキュリティ脅威から身を守れなかった場合に生じる懸念すべき統計データと事例を見ていきましょう。
- Salt Labの最近の調査では、2022年末の数か月間でAPI攻撃が400%急増したことが判明しました。
- 同調査では、API攻撃の最大78%が正当なユーザーを装って行われていたことが判明。これは不十分なAPI認証メカニズムが如何に悪用されやすく、進行中のAPI攻撃を検知することが如何に困難かを浮き彫りにした。
- 2022年、Salt Securityの調査対象企業の94%が過去12ヶ月間にAPI関連の問題に直面したと回答。
- 安全でないAPIの使用は、企業に年間410億~750億米ドルの損失をもたらしている。
- Google、Facebook、Peloton、SamsungはいずれもAPI攻撃を受け、最初の3社では機密データの漏洩が発生した。GoogleはAPIの脆弱性が悪用され、同社の顧客の個人識別情報が漏洩したため、消費者向けGoogle+サービスを停止した。
APIセキュリティはWebアプリケーションセキュリティの一分野とは?
最新のOWASP APIセキュリティトップ10(2023年版)とOWASPトップ10(2021年版:Webアプリケーションセキュリティ)を比較すると、少なくともある程度は重複していることに気づかざるを得ません。また、組織はAPIを保護するために、従来のWebアプリケーションセキュリティに内在するWAF(Webアプリケーションファイアウォール)などのセキュリティ対策に依存することがよくあります。
さらに、私たちが個人および専門職として経験し理解しているところでは、現代のウェブアプリケーションはAPIなしではほぼ想像できません。
では、APIセキュリティは結局のところウェブアプリケーションセキュリティに帰着すると言えるでしょうか?それは単にAppSecの延長、あるいは付録に過ぎないのでしょうか?
早くも2016年、セキュリティ専門家はこの問いに明確な否定で応えています。APIは独自のセキュリティ課題を伴い、ウェブアプリケーションセキュリティでは説明できず、WAFなどのメカニズムでも修正できないのです。
この結論は現在も有効だ。現代を代表するAPIセキュリティ専門家の一人、アリッサ・ナイトは、API保護におけるWAFの非効率性を公然と指摘している。彼女が55の銀行や仮想通貨取引所をハッキングできた主な理由は、標的が「API保護にWAFを使用していた」ことにあります。
APIセキュリティの独自性の多くは、APIを多用する(少数ではなく多数)現代アプリケーションの特異なアーキテクチャに起因しています。
また、従来のアプリケーションと比較してAPIの攻撃対象領域が著しく広いことも関係しています。これは、APIにアクセスするクライアントの膨大な数と多様な種類、そして数多くのエンドポイントに起因します。さらに以下の点も挙げられます:
- APIには特有の認証・認可の微妙な差異があり、悪用につながる可能性があります。
- サイバー攻撃は正当なAPIリクエストに容易に隠蔽できます。
- APIは急速に拡大するため、既存のWAF設定と実際に保護すべき対象との間にギャップが生じます。
もちろん、この議論は網羅的なものではありません。それでも、APIセキュリティが独自の分野であり、別途の注意と予算を必要とすることを示すには十分でしょう。
何をするか?
API攻撃はますます巧妙かつ頻繁に発生しており、攻撃者の忍耐力と技術力はかつてないほど高まっています。さらに、彼らは自動化ツール、機械学習、人工知能といった技術を駆使しているため、APIのセキュリティ対策は以前にも増して困難になっています。
APIのセキュリティ対策はそもそも難解な作業ですが、APIの脆弱性を悪用して攻撃者に侵入を許してしまっては、さらに困難を招くだけです。上位10位のAPI脆弱性について理解を深め、OWASPの対策推奨事項を実践し、強力なセキュリティ対策を講じましょう。攻撃を完全に防ぐことはできなくても、重大な事態を回避できる可能性が高まります。
Equixlyは、APIのペネトレーションテストを自動化するツールです。アプリケーションのビジネスロジックの脆弱性、境界条件、見落としがちな脆弱性などを検出できます。
APIを徹底的にテストし、あらゆる可能性を網羅的に検証することで、ゼロデイ脆弱性を見つけ出すことができます。
詳細については、ぜひお問い合わせください。
※この記事はEquixly社ブログを日本語化したものです。
※この記事の無断複写及び転載を禁じます。
※原文:https://equixly.com/blog/2023/11/28/owasp-api-security-top-10/
Carlo De Micheli
Director of Product Marketing
カルロ氏は、豊富な国際経験を持つ多才なプロフェッショナルです。サイバーセキュリティ、自動車、航空宇宙分野など、イノベーションへの情熱は多岐にわたり、先駆的なプロジェクトに積極的に取り組んでいます。航空宇宙工学の技術的バックグラウンドに加え、プログラミングとセキュリティに関する独学も積極的でした。国際会議の企画・発表や、シェアリングエコノミーやファッション関連のテクノロジー系スタートアップの設立を経て、マーケティングとセールスに携わるようになりました。
Zoran Gorgiev
Technical Content Specialist
ゾラン氏は、SEOの専門知識に加え、サイバーセキュリティとウェブテクノロジーに関する実践的な知識を備えたテクニカルコンテンツのスペシャリストです。コンテンツおよび製品マーケティングにおいて豊富な国際経験を有し、中小企業から大企業まで、効果的なコンテンツ戦略の実践とマーケティング目標達成を支援しています。哲学的なバックグラウンドを執筆活動に活かし、知的に刺激的なコンテンツを制作しています。ゾランは熱心な学習者であり、継続的な学習と終わりのないスキル磨きを信条としています。