AI ベースの再起動:Web アプリと API の防御を再検討する
人工知能(AI)のおかげで、短期間のうちにセキュリティに大きな変革が起こっています。考えたこともない完全に新しいタイプの脅威や、新たな攻撃ベクトルを使用した「転用」によって再び関連性が高まった脆弱性など、防御者は AI が発揮し得る有益な力と悪性の力の両方について短期集中的に学習しています。
これは特に、レイヤー 7 を防御するブルーチームに当てはまります。国家の支援を受けた攻撃者や感情的な若者などが AI を採用して、新世代の高度な自動化ツールを導入し、サイバー犯罪を実行しています。
Web アプリケーションに対する攻撃は急激な速度で増加しています。Akamai のアナリストは、2024 年に前年比 33% の増加を観測しました。また、API が標的とされることが着実に増加しており、2024 年には 1,500 億件の API 攻撃が記録されました。
しかし、すべてを AI のせいにすることはできません。通常、悪性アクティビティの変化の原因は 1 つだけではありません。クラウドサービスの成長の加速、マイクロサービスアーキテクチャの採用、新たなレベルのテクノロジー精通者、その他の数多くの影響により、デジタルエコシステムがうんざりするほど複雑化しています。
新しい SOTI:アプリスタイル
変化の時代には、知識が極めて重要です。その知識を共有するために、Akamai は新しいインターネットの現状(SOTI)レポート「アプリと API セキュリティの現状 2025:AI はデジタル領域をどうシフトさせるか」をリリースしました。このレポートでは、Web アプリケーションと API に影響を与えているトレンドに関する Akamai の分析を提示しています。この新しい環境の形勢を探り、セキュリティ専門家が重要なシステムとデータを同時に保護するためにはどうすればよいのかを説明します。
アプリケーションと API に対する攻撃戦略
Web アプリケーションに対する攻撃と API に対する攻撃は相互につながっていますが、相互に依存してはいません。API 以外の Web アプリ攻撃が数多く存在し、その逆も同様です。攻撃の手法と戦術は、攻撃者の動機と技術力によって異なります。
Web アプリケーション攻撃は、公開されているログインページなどの Web アプリケーションのユーザー向けコンポーネントを標的としており、通常は比較的単純な手法を使用します。
API 攻撃は、アプリケーションの API エンドポイント(システム間の連携など)に存在する脆弱性を悪用することに重点を置いており、API の構造とふるまいをより深く理解する必要があります。
独立した防御
攻撃自体が相互依存していない場合は、それに対する防御も相互依存しません。最新のアプリケーションは、機能に API を使用することが増えています。そのため、Web 攻撃と API 攻撃の両方に対応する、将来を見据えたサイバーセキュリティ戦略を開発することが重要です。
これらの側面をおろそかにすると、アプリケーションのフロントエンドとバックエンドの両方の弱点を悪用する高度なマルチベクトル攻撃に対して脆弱になる可能性があります。大規模言語モデル(LLM)と生成 AI によって実現する自動化機能により、攻撃者は大規模なボットネットやフィッシングキャンペーンをこれまで以上に簡単に実行できるようになります。
API に対する攻撃:新たな知見
Akamai Security Intelligence Group(SIG)は、適切なデータサイエンスと研究には、データ出力の徹底的なレビューと、生データの取得元の調査の両方が必要であることを十分に認識しています。また、API は現在、攻撃者のお気に入りの遊び場になっていることを実感しています。この 2 つの知見に基づき、Akamai は最近、レポートデータセットを進化させ(API 脅威調査と分析の強化)、興味深い調査結果を得ました。2024 年には:
OWASP API Security Top 10 に関連するインシデントが 32% 増加しました。これにより、認証や認可の欠陥が原因で機微な情報や機能が脅威にさらされていることが明らかになりました
攻撃者が AI と自動化を使用して API を悪用したため、MITRE セキュリティフレームワークに関連するセキュリティアラートが 30% 増加 しました
欧州・中東・アフリカ(EMEA)地域で発生した 1,160 億件の Web 攻撃のうち、37% が API を標的としていました。これは他のどのグローバル地域よりも大きい割合です
AI ベースの API は、人力の API よりも安全性が低いことが実証されました。そのような API の大多数は、認証メカニズムが脆弱であるため外部からアクセス可能であり、適切にテストされていないため攻撃に対して脆弱です。
API が他の何に接続するかによって、悲惨な結果につながるおそれがあります。脅威アクターが電子署名プロバイダーの API を悪用して不正な請求書を送信したときのことを覚えていますか?まさに悲惨な結果でした。😬
安全なコードレビューは過大評価されていない
私たちはまだ API 攻撃について学習している段階ですが、現実では「本番環境でのテスト」による学習方法が採用されています。消費者はイノベーションを求めており、利益を上げるためには迅速なイノベーションが必要です。
セキュリティはコード・レビュー・プロセスの中でも目を光らせる「べき」要素ですが、そうすることにより、このプロセスは製品を市場に投入する上で最も妨げとなるステップになる可能性があります。残念なことに、それが理由でテストの回数が減り、テストされていないコードの上にコードが構築されることが増えます。
セキュリティチェックは本質的に開発者の目的と対極にありますが、テストを最小限に抑えると、理想的とは言えないシナリオにつながる可能性があります。
セキュリティアラートの増加:Akamai の分析により、Payment Card Industry Data Security Standard(PCI DSS)、一般データ保護規則(GDPR)、国際標準化機構(ISO)–27001に関連するセキュリティアラートがそれぞれ 16%、21%、22% 増加したことが明らかになりました。
API の悪用の検知に関する課題:これらの課題は、脅威を事前に特定するために異常とふるまいをリアルタイムで監視することの必要性を明確に示しています。
管理されていないゾンビ API とシャドウ API:この 2 つは API セキュリティインシデントの主な原因であり、セキュリティチームは包括的な API インベントリの維持に苦慮しています。
Web アプリケーションに対する攻撃:新たな調査結果
前述のとおり、Web アプリケーションに対する攻撃と API に対する攻撃は相互につながっていますが、相互に依存してはいません。「相互につながっている」部分は、次のとおりです。Akamai の調査によると、Web アプリケーションと API の両方を標的とした Web 攻撃が過去 2 年間に世界中で大幅に増加しています。
場所によって問題が異なるため、Akamai は特定の業界、地域、攻撃の傾向を分析して、レイヤー 7 の悪用による影響を複数の視点で把握しました。このレポートで取り上げている極めて重要な調査結果の例として、次のものが挙げられます。
2023 年第 1 四半期から 2024 年第 4 四半期までに、Web アプリケーションと API を標的とした Web 攻撃が 65% 増加(140 億件から 290 億件以上に増加)しました。
同期間にレイヤー 7 分散サービス妨害(DDoS)攻撃が 94% 増加し、1 か月あたり 5,000 億件強から 1.1 兆件以上に急増しました。
アジア太平洋・日本地域を標的とした Web 攻撃が 73% 増加し、2023 年の 290 億件から、2024 年には 510 億件に達しました。
コマース業界は引き続き主要なターゲットであり、2024 年には 2,300 億件以上の Web 攻撃を受けました。これは、2 番目に標的とされることが多かったハイテク業界の約 3 倍の件数です。
攻撃と防御における AI の役割
攻撃者は AI を使用して何ができるのかということが、よく話題になります。AI システムの悪用に関しては、基本的に次のようなさまざまなオプションがあります。
- 以前は考えられなかった速度での自動脆弱性スキャン
- AI によって生成された悪性コード
- AI ベースのボットによる自動攻撃
- 自動化されたボリューム型 DDoS 攻撃
- ふるまいベースの攻撃(検知を回避し、よくある API の脆弱性を標的とする Low & Slow(少しずつ時間をかけた)攻撃)
ここで一筋の光明が差しているとすれば、それは、AI の恩恵を受けているのは犯罪者だけではないということです。AI は、AI ベースの新しい Web アプリケーションファイアウォール(WAF)システムによって脅威への対応を後押しし、ボット、DDoS 攻撃、スクレイパー、スキャナーなどのサイバー脅威の特定と緩和を支援しています。
プロアクティブな防御がコンプライアンスにつながる
コンプライアンスは組織の全体的なリスク管理ポスチャに大きな影響を与えるため、Akamai は、この SOTI レポートで規制について取り上げています。ビジネスに対する脅威はサイバー攻撃だけではありません。世界中の変化する無数のセキュリティ規制に準拠し続けることだけで、フルタイムの仕事になります。
この SOTI レポートでは、米国の Cyber Incident Reporting for Critical Infrastructure Act(重要インフラ向けサイバーインシデント報告法、CIRCIA)や欧州の Network and Information Systems(NIS2)Directive(ネットワークおよび情報システムに関する指令、NIS2 指令) など、さまざまな地域の新規および更新版のサイバーセキュリティ要件を取り上げました。地域によって規制の複雑さのレベルが異なるため、世界的な影響を及ぼす差異が生じます。
たとえば、北米は包括的なリスク管理と義務的なインシデント報告に重点を置いていますが、欧州は規制を拡大し、モバイルサービスも対象としています。
防御者は、攻撃者と同じレベルと速度で自動化とイノベーションを行うと同時に、政府の基準を満たし、インシデントだけでなく、チームが防御者に求める他のあらゆることに対処する必要があります。
規制当局はアプリや API に対する脅威の増大に積極的に対応しているため、組織は、より将来を見据えて行動できることが望ましいです。そのため、プロアクティブな防御に重点を置くことで、コンプライアンスとセキュリティを確保できます(もちろん、規制が適切に構築されている場合)。
侵害を想定し、基本をカバーする
AI 時代にセキュリティを確保し続けるための鍵は、侵害を想定し、基本をカバーすることに重点を置いた包括的なセキュリティプランを確立することです。規制当局に促されていないとしても、現在のレビュー慣行を見直して基礎を強化するのにこれほど適した時期はありません。
フィッシングメールをクリックしたことが原因で大規模な侵害や攻撃が発生したことは何回ありますか?攻撃者は成功を収め続けるために、基本的な保護の穴を悪用します。
強化された入力検証、安全な開発方法、定期的なセキュリティ監査といった慣行は、決して過大評価されているわけではありません。これらは、将来的に想定外の結果につながる可能性のある保守的な保護や短期的な流行りの保護ではなく、プロアクティブで長期的なセキュリティをもたらします。
結論:SOTI をダウンロードする
この調査結果の全文をご覧になるには、新しいインターネットの現状(SOTI)レポート「アプリと API セキュリティの現状 2025:AI はデジタル領域をどうシフトさせるか」をダウンロードしてください。