Wallarm(ワラーム)が公開した2026年版API ThreatStatsレポートは、デジタルビジネス環境におけるAPIセキュリティーの重要性の高まりを明らかにした。レポートでは、APIがデジタルビジネスの主要な攻撃対象領域となっていることが明らかになった。これは、新たなゼロデイ攻撃ではなく、ID、情報漏洩、不正利用に関する欠陥が原因だ。レポートは、企業がAPIを保護できなければAIを保護することはできないと強調し、現代のデジタルインフラにおけるこれら2つの重要な側面が密接に関連していることを浮き彫りにしている。
2025年には、報告された脆弱性の17%をAPIが占め、現代のソフトウェアにおける最大の脆弱性領域の一つとなった。また、レポートでは、2025年に新たに追加されたCISA既知の悪用脆弱性(KEV)のほぼ半数がAPI関連であったことも強調しており、APIは脆弱であるだけでなく、不均衡に悪用されていることを示している。さらに、レポートでは、AIの脆弱性はAPIの脆弱性と重複することが多く、特定されたAIの脆弱性の36%がAPIの脆弱性にも該当することが明らかになった。
レポートでは、攻撃者がAPIをどのように悪用するかについても明らかにしている。2025年の攻撃件数では、クロスサイト攻撃が最も悪用されるAPIの脆弱性となり、インジェクション攻撃は2位に後退した。また、アクセス制御の不備と安全でないリソース消費も大きな問題となっており、悪意のある攻撃者が自動化に耐えられるように設計されていないAPIのロジック、信頼性、および使用パターンを悪用していることを示している。
レポートでは、APIの脆弱性が容易にかつ迅速に悪用される点も強調している。APIの脆弱性の97%は単一のリクエストで悪用可能であり、APIの脆弱性の約99%はリモートアクセス可能であることが明らかになった。さらに、APIの脆弱性の半数以上は認証を必要とせず、公開されているAPIの脆弱性の約30%には既に公開されたエクスプロイトコードが存在することも指摘されている。この悪用の容易さは、悪用と収益化が容易である一方で、排除が非常に困難な、持続的なリスクを生み出す。
Wallarmレポートは、AIとAPIの融合を強調して締めくくっている。2025年に公開されるAIの脆弱性の3分の1以上がAPIの脆弱性でもあるとされている。また、モデルコンテキストプロトコル(MCP)に関連するリスクの増大も指摘しており、2025年の全AI脆弱性の14.4%を占めている。レポートは、APIセキュリティーの向上は、新しいタイプの攻撃を発見することよりも、自動化によってビジネスレベルのインシデントにつながる繰り返し発生する障害を修正することの方が重要であると強調している。
出典:Wallarm
この製品の詳細については、Wallarm製品ページをご覧ください。
