Wallarm(ワラーム)の最新の2025年第3四半期API ThreatStatsレポートでは、APIの脆弱性、エクスプロイト、侵害の大幅な増加と進化が明らかになった。レポートでは、悪意のある攻撃者がコードレベルの脆弱性からビジネスロジックの欠陥へ、そしてウェブアプリからパートナーとの連携へと焦点を移していることが示されている。さらに、RESTからAIを活用したAPIへの移行が顕著であり、サイバー脅威の進化を浮き彫りにしている。
本レポートでは、2025年第3四半期に1,602件のAPI関連の脆弱性が特定され、前四半期から20%増加した。これらの脆弱性の平均深刻度はCVSS 7.4と依然として高くなっている。最も多く発生していた問題は、セキュリティー設定ミス、認可の不備、認証の不備であり、特にRESTとSOAP APIで顕著だった。認識の高まりにもかかわらず、これらの根本的な問題は依然として存在しており、APIの導入ペースがセキュリティー確保のペースを上回っていることを示している。
本レポートで特定された最も重要なトレンドの一つは、AI-API脆弱性の増加だ。第3四半期には、これらの脆弱性はわずか3力月で57%増加した。中でも、モデルコンテキストプロトコル(MCP)の脆弱性は驚異的な270%の増加を記録した。これは、悪意のある攻撃者がモデルサービングと推論パイプラインを悪用する方法を急速に習得していることを示唆している。これらのAI-API統合は、データだけでなく、ビジネスロジック、ワークフロー、そして信頼チェーンも危険にさらす。顧客やパートナーのインターフェイス全体にAIを組み込む組織が増えるにつれて、これらの攻撃対象領域は増加しており、従来のAPIスキャンだけでは対応しきれない。
本レポートでは、悪用されたAPIの持続性についても強調している。CISAの既知の悪用脆弱性(KEV)カタログには第3四半期に51件の新規エントリーが追加され、そのうち16%がAPI関連だった。これらの実際の攻撃は、認証の不備やセキュリティー設定の不備といった、よくあるパターンを反映している。脆弱性とアクティブなエクスプロイトの重複は、同じ種類の脆弱性が再発見され、再び悪用され、修正されていることを示唆しており、多くの場合、手遅れになっている。
本レポートでは、第2四半期から件数はわずかに減少したものの、API関連の侵害の複雑さと範囲が拡大していることも明らかになった。特に注目すべきは、Salesloft / Drift OAuthインシデントで盗難トークンが使用され、複数の企業のSalesforce APIが侵害されたことだ。その他の重大な侵害には、Restaurant Brands International、SwissBorg、McDonald's、Flexypay Solutionsが関与していた。これらのインシデントは、悪意のある攻撃者がAPIのインジェクション脆弱性を調査するだけでなく、ワークフロー、トークン、信頼境界を操作していることを示唆している。
本レポートで最も重要な発見の一つは、ビジネスロジックの悪用(BLA)の増加だ。従来の攻撃とは異なり、BLAはアプリケーションの動作設計を悪用する。攻撃者は、手順を省略したり、一度限りのアクションを繰り返したり、状態遷移を操作したりすることで、不正な結果を得ることができる。この増加傾向にある攻撃の種類は、今年リリースされたOWASPビジネスロジックの悪用に関するトップ10で正式に定義されている。
本レポートは、セキュリティーリーダーにとって重要なポイントをまとめている。APIセキュリティーを優先事項とし、アプリケーションセキュリティーの分断を埋め、AIパイプラインへの保護を拡張し、シャドーAPIを探し出し、コードだけでなくビジネスロジックをテストする必要性を強調している。また、APIの無秩序な拡散、AIの統合、ビジネスロジックの欠陥がシステムリスクへと収束していく状況を描き出している。攻撃者の進化は防御の進化よりも速く、APIセキュリティーがアプリケーションセキュリティーをリードする必要があることを示唆している。
レポートのダウンロードはこちら
出典:Wallarm
この製品の詳細については、Wallarm製品ページをご覧ください。
