X
Akamai
ログイン
ログイン Close
Control Center
Akamai プラットフォームへのアクセス
ログイン Close
Cloud Manager
クラウドリソースを管理する

AIベースの再起動:WebアプリとAPIの防御を再検討する

Tricia Howard

執筆者

Tricia Howard

April 22, 2025

Tricia Howard

執筆者

Tricia Howard

Tricia Howard is an artist gone rogue who ended up in cybersecurity research. With a bachelor’s degree in theater arts and interests ranging from “Star Wars” to opera, she likes to bring a bit of pizzazz into the cyber realm. When she’s not helping researchers get their stories out efficiently and effectively, without denigrating the technical acumen of the piece, you can find her writing and performing security parody songs; dramatically reading cold emails; speed jigsaw puzzling; hanging out with her Pomsky dog, Darth; and begging people to smile. You can also catch Tricia live on her monthly show: Monthly Threat Brief: The SIG Download!

Webアプリケーションに対する攻撃は、急激な速度で増加しています。
Webアプリケーションに対する攻撃は、急激な速度で増加しています。

人工知能(AI)のおかげで、短期間のうちにセキュリティに大きな変革が起こっています。考えたこともない完全に新しいタイプの脅威や、新たな攻撃ベクトルを使用した「転用」によって再び関連性が高まった脆弱性など、防御者はAIが発揮し得る有益な力と悪性の力の両方について短期集中的に学習しています。

これは特に、レイヤー7を防御するブルーチームに当てはまります。国家の支援を受けた攻撃者や感情的な若者などがAIを採用して、新世代の高度な自動化ツールを導入し、サイバー犯罪を実行しています。

Webアプリケーションに対する攻撃は急激な速度で増加しています。Akamaiのアナリストは、2024年に前年比33%の増加を観測しました。また、APIが標的とされることが着実に増加しており、2024年には1,500億件のAPI攻撃が記録されました

しかし、すべてをAIのせいにすることはできません。通常、悪性アクティビティの変化の原因は1つだけではありません。クラウドサービスの成長の加速、マイクロサービスアーキテクチャの採用、新たなレベルのテクノロジー精通者、その他の数多くの影響により、デジタルエコシステムがうんざりするほど複雑化しています。

新しいSOTI:アプリスタイル

変化の時代には、知識が極めて重要です。その知識を共有するために、Akamaiは新しいインターネットの現状(SOTI)レポート「アプリと API セキュリティの現状 2025:AI はデジタル領域をどうシフトさせるか」をダウンロードしてください。このレポートでは、WebアプリケーションとAPIに影響を与えているトレンドに関するAkamaiの分析を提示しています。この新しい環境の形勢を探り、セキュリティ専門家が重要なシステムとデータを同時に保護するためにはどうすればよいのかを説明します。

アプリケーションとAPIに対する攻撃戦略

Webアプリケーションに対する攻撃とAPIに対する攻撃は相互につながっていますが、相互に依存してはいません。API以外のWebアプリ攻撃が数多く存在し、その逆も同様です。攻撃の手法と戦術は、攻撃者の動機と技術力によって異なります。

  • Webアプリケーション攻撃は、公開されているログインページなどのWebアプリケーションのユーザー向けコンポーネントを標的としており、通常は比較的単純な手法を使用します。

  • API攻撃は、アプリケーションのAPIエンドポイント(システム間の連携など)に存在する脆弱性を悪用することに重点を置いており、APIの構造とふるまいをより深く理解する必要があります。

独立した防御

攻撃自体が相互依存していない場合は、それに対する防御も相互依存しません。最新のアプリケーションは、機能にAPIを使用することが増えています。そのため、Web攻撃とAPI攻撃の両方に対応する、将来を見据えたサイバーセキュリティ戦略を開発することが重要です。

これらの側面をおろそかにすると、アプリケーションのフロントエンドとバックエンドの両方の弱点を悪用する高度なマルチベクトル攻撃に対して脆弱になる可能性があります。大規模言語モデル(LLM)と生成AIによって実現する自動化機能により、攻撃者は大規模なボットネットやフィッシングキャンペーンをこれまで以上に簡単に実行できるようになります。

APIに対する攻撃:新たな知見

Akamai Security Intelligence Group(SIG)は、適切なデータサイエンスと研究には、データ出力の徹底的なレビューと、生データの取得元の調査の両方が必要であることを十分に認識しています。また、APIは現在、攻撃者のお気に入りの遊び場になっていることを実感しています。この2つの知見に基づき、Akamaiは最近、レポートデータセットを進化させ(API脅威調査と分析の強化)、興味深い調査結果を得ました。2024年には:

  • OWASP API Security Top 10に関連するインシデントが32%増加しました。これにより、認証や認可の欠陥が原因で機微な情報や機能が脅威にさらされていることが明らかになりました

  • 攻撃者がAIと自動化を使用してAPIを悪用したため、MITREセキュリティフレームワークに関連するセキュリティアラートが30%増加しました  

  • 欧州・中東・アフリカ(EMEA)地域で発生した1,160億件のWeb攻撃のうち、37%がAPIを標的としていました。これは他のどのグローバル地域よりも大きい割合です

AIベースのAPIは、人力のAPIよりも安全性が低いことが実証されました。そのようなAPIの大多数は、認証メカニズムが脆弱であるため外部からアクセス可能であり、適切にテストされていないため攻撃に対して脆弱です。

APIが他の何に接続するかによって、悲惨な結果につながるおそれがあります。脅威アクターが電子署名プロバイダーのAPIを悪用して不正な請求書を送信したときのことを覚えていますか?まさに悲惨な結果でした。😬

安全なコードレビューは過大評価されていない

私たちはまだAPI攻撃について学習している段階ですが、現実では「本番環境でのテスト」による学習方法が採用されています。消費者はイノベーションを求めており、利益を上げるためには迅速なイノベーションが必要です。 

セキュリティはコード・レビュー・プロセスの中でも目を光らせる「べき」要素ですが、そうすることにより、このプロセスは製品を市場に投入する上で最も妨げとなるステップになる可能性があります。残念なことに、それが理由でテストの回数が減り、テストされていないコードの上にコードが構築されることが増えます。 

セキュリティチェックは本質的に開発者の目的と対極にありますが、テストを最小限に抑えると、理想的とは言えないシナリオにつながる可能性があります。  

  • セキュリティアラートの増加:Akamaiの分析により、Payment Card Industry Data Security Standard(PCI DSS)、一般データ保護規則(GDPR)、国際標準化機構(ISO)–27001に関連するセキュリティアラートがそれぞれ16%、21%、22%増加したことが明らかになりました。

  • API の悪用の検知に関する課題:これらの課題は、脅威を事前に特定するために異常とふるまいをリアルタイムで監視することの必要性を明確に示しています。

  • 管理されていないゾンビAPIとシャドウAPI:この2つはAPIセキュリティインシデントの主な原因であり、セキュリティチームは包括的なAPIインベントリの維持に苦慮しています。

Webアプリケーションに対する攻撃:新たな調査結果

前述のとおり、Webアプリケーションに対する攻撃とAPIに対する攻撃は相互につながっていますが、相互に依存してはいません。「相互につながっている」部分は、次のとおりです。Akamaiの調査によると、WebアプリケーションとAPIの両方を標的としたWeb攻撃が過去2年間に世界中で大幅に増加しています。

場所によって問題が異なるため、Akamaiは特定の業界、地域、攻撃の傾向を分析して、レイヤー7の悪用による影響を複数の視点で把握しました。このレポートで取り上げている極めて重要な調査結果の例として、次のものが挙げられます。

  • 2023年第1四半期から2024年第4四半期までに、WebアプリケーションとAPIを標的としたWeb攻撃が65%増加(140億件から290億件以上に増加)しました。

  • 同期間にレイヤー7分散サービス妨害(DDoS)攻撃が94%増加し、1か月あたり5,000億件強から1.1兆件以上に急増しました。

  • アジア太平洋・日本地域を標的としたWeb攻撃が73%増加し、2023年の290億件から、2024年には510億件に達しました。

  • コマース業界は引き続き主要なターゲットであり、2024年には2,300億件以上のWeb攻撃を受けました。これは、2番目に標的とされることが多かったハイテク業界の約3倍の件数です。 

攻撃と防御におけるAIの役割

攻撃者はAIを使用して何ができるのかということが、よく話題になります。AIシステムの悪用に関しては、基本的に次のようなさまざまなオプションがあります。

  • 以前は考えられなかった速度での自動脆弱性スキャン
  • AIによって生成された悪性コード
  • AIベースのボットによる自動攻撃
  • 自動化されたボリューム型DDoS攻撃
  • ふるまいベースの攻撃(検知を回避し、よくあるAPIの脆弱性を標的とするLow & Slow(少しずつ時間をかけた)攻撃)

ここで一筋の光明が差しているとすれば、それは、AIの恩恵を受けているのは犯罪者だけではないということです。AIは、AIベースの新しいWebアプリケーションファイアウォール(WAF)システムによって脅威への対応を後押しし、ボット、DDoS攻撃、スクレイパー、スキャナーなどのサイバー脅威の特定と緩和を支援しています。

プロアクティブな防御がコンプライアンスにつながる

コンプライアンスは組織の全体的なリスク管理ポスチャに大きな影響を与えるため、Akamaiは、このSOTIレポートで規制について取り上げています。ビジネスに対する脅威はサイバー攻撃だけではありません。世界中の変化する無数のセキュリティ規制に準拠し続けることだけで、フルタイムの仕事になります。

このSOTIレポートでは、米国のCyber Incident Reporting for Critical Infrastructure Act(重要インフラ向けサイバーインシデント報告法、CIRCIA)や欧州のNetwork and Information Systems(NIS2)Directive(ネットワークおよび情報システムに関する指令、NIS2指令)など、さまざまな地域の新規および更新版のサイバーセキュリティ要件を取り上げました。地域によって規制の複雑さのレベルが異なるため、世界的な影響を及ぼす差異が生じます。

たとえば、北米は包括的なリスク管理と義務的なインシデント報告に重点を置いていますが、欧州は規制を拡大し、モバイルサービスも対象としています。

  • 防御担当者は、攻撃者と同じレベルと速度で自動化とイノベーションを行うと同時に、政府の基準を満たし、インシデントだけでなく、チームが防御者に求める他のあらゆることに対処する必要があります。  

  • 規制当局はアプリやAPIに対する脅威の増大に積極的に対応しているため、組織は、より将来を見据えて行動できることが望ましいです。そのため、プロアクティブな防御に重点を置くことで、コンプライアンスとセキュリティを確保できます(もちろん、規制が適切に構築されていれば、という前提ではありますが)。

侵害を想定し、基本をカバーする

AI時代にセキュリティを確保し続けるための鍵は、侵害を想定し、基本をカバーすることに重点を置いた包括的なセキュリティプランを確立することです。規制当局に促されていないとしても、現在のレビュー慣行を見直して基礎を強化するのにこれほど適した時期はありません。

フィッシングメールをクリックしたことが原因で大規模な侵害や攻撃が発生したことは何回ありますか?攻撃者は成功を収め続けるために、基本的な保護の穴を悪用します。

強化された入力検証、安全な開発方法、定期的なセキュリティ監査といった慣行は、決して過大評価されているわけではありません。これらは、将来的に想定外の結果につながる可能性のある保守的な保護や短期的な流行りの保護ではなく、プロアクティブで長期的なセキュリティをもたらします。

結論:SOTIをダウンロードする

この調査結果の全文をご覧になるには、新しいインターネットの現状(SOTI)レポート「アプリと API セキュリティの現状 2025:AI はデジタル領域をどうシフトさせるか」をダウンロードしてください。

レポートを入手する
Tricia Howard

執筆者

Tricia Howard

April 22, 2025

Tricia Howard

執筆者

Tricia Howard

Tricia Howard is an artist gone rogue who ended up in cybersecurity research. With a bachelor’s degree in theater arts and interests ranging from “Star Wars” to opera, she likes to bring a bit of pizzazz into the cyber realm. When she’s not helping researchers get their stories out efficiently and effectively, without denigrating the technical acumen of the piece, you can find her writing and performing security parody songs; dramatically reading cold emails; speed jigsaw puzzling; hanging out with her Pomsky dog, Darth; and begging people to smile. You can also catch Tricia live on her monthly show: Monthly Threat Brief: The SIG Download!

関連ブログ記事

CVE-2026-31979 は、権限のないローカルユーザーと高権限のシステムデーモンの間にある信頼境界の崩壊という重大な脆弱性です。
CVE-2026-31979 は、権限のないローカルユーザーと高権限のシステムデーモンの間にある信頼境界の崩壊という重大な脆弱性です。
サイバーセキュリティ

CVE-2026-31979:シンボリックリンクの罠 — Himmelblau における root 権限の昇格

March 20, 2026
深刻度の高い脆弱性である CVE-2026-31979 は、特定の Himmelblau の導入環境に影響を及ぼします。直ちに対策を講じることをお勧めします。
by Akamai Security Intelligence Group
続きを読む
この作戦は、より安全なインターネットの実現に向けた大きな一歩であり、Akamai をはじめとした複数の関係者の協調的な取り組みを反映しています。
この作戦は、より安全なインターネットの実現に向けた大きな一歩であり、Akamai をはじめとした複数の関係者の協調的な取り組みを反映しています。
サイバーセキュリティ

Akamai、世界最大の IoT ボットネットを解体する米国司法省を支援

March 19, 2026
米国司法省は最近、複数の大規模かつ強力な DDoS ボットネットを停止させ、関連する DDoS 請負サービスをシャットダウンしました。Akamai はその支援にあたりました。
by Akamai Security Intelligence Group
続きを読む
低品質の CVE が大量に発生すると、セキュリティ調査プロセスの信頼が損なわれ、重大な脆弱性から注意がそれる可能性があります。
低品質の CVE が大量に発生すると、セキュリティ調査プロセスの信頼が損なわれ、重大な脆弱性から注意がそれる可能性があります。
セキュリティリサーチ

脆弱性検知に活躍する AI:人間による監視と注意が必要

March 13, 2026
セキュリティの脆弱性を見つけ出す際に、責任ある AI システムの利用を実現するには、人間による監視が不可欠である理由と、フォールス・ポジティブ(誤検知)を回避する方法を説明します。
by Larry Cashdollar and Kyle Lefton
続きを読む