近年、APIセキュリティーは大きな懸念事項となっている。大規模な侵害事件やPCI DSS 4.0などのコンプライアンス要件の制定により、APIセキュリティーの重要性が浮き彫りになっている。Open Web Application Security Project(OWASP)は先日、初のビジネスロジック不正使用トップ10リストを公開し、業界におけるAPIセキュリティーへの注力を強調した。このプロジェクトの主要貢献者であるWallarm(ワラーム)のCEO、Ivan Novikov氏は、今日の攻撃者によって積極的に悪用されているビジネスロジック攻撃に関する共通言語を持つことの重要性を強調した。
ビジネスロジックの悪用は、あらゆる業界や地域における本番環境において深刻な問題となっている。これらの欠陥は、従来の脆弱性悪用に伴うような明白な痕跡を残さないことがよくある。例えば、2025年9月、Burger Kingなどを展開するRBI Internationalは、ドライブスルー事業に関連する複数のAPIセキュリティー欠陥を露呈した。攻撃者は、適切な確認なしに認証トークンを生成し、ドライブスルーの音声にアクセスしたり盗聴し、一般顧客から管理者への権限昇格を行うことが可能だった。このインシデントは、OWASPビジネスロジック悪用トップ10の複数のカテゴリーに該当し、問題の深刻さを浮き彫りにしている。
この問題は食品業界に限ったことではない。フィンテックやeコマース企業は、トランザクションワークフローの不正利用の被害に遭うことがよくある。攻撃者は、支払いをキャンセルして再開したり、複数のリクエストを並行して送信したりすることで、タイミングのギャップやシステムの想定を悪用する。これらの不正利用は、アクション制限オーバーラン、同時ワークフロー順序バイパス、リソースクォーター違反など、いくつかのOWASPカテゴリーに該当する。
従来のセキュリティー対策では、ビジネスロジックの悪用を防ぐのに十分ではないことがよくある。これらの脅威は、ウェブアプリケーションファイアウォール、スキャナー、静的解析といった従来のセキュリティーツールをすり抜けてしまうことがよくある。これらのツールは通常、悪意のあるコードや設定ミスの既知のパターンを検出するように設計されている。PCI DSS 4.0要件6.2.4では、ロジックの悪用の検出と防止が明確に義務付けられているため、セキュリティーチームはもはやロジックの悪用をエッジケースとして扱うことはできない。OWASPのビジネスロジックの悪用に関するトップ10は、ますますまん延し、巧妙化するこれらの脅威を評価、優先順位付け、防御するための重要なフレームワークを業界に提供する。
Wallarmは、APIのビジネスロジックの欠陥を防御するために設計されている。APIの動作を常に可視化し、リクエストが軌道から外れた際にそれを検出する。例えば、攻撃者が孤立したトークンを悪用したり、複数ステップのフローを操作しようとした場合、Wallarmのビジネスロジック識別、動作ベースライン、ステートフルインスペクションによって、被害が発生する前に不整合を検出する。また、Wallarmは認可チェックを評価し、状態遷移を検証し、あらゆるAPIタイプにおける全ての呼び出しでクォーターの境界が遵守されていることを確認する。OWASP Top 10の各カテゴリーは、Wallarmプラットフォーム内の保護機能にマッピングされており、ロジックをセキュリティー体制における進化し続けるレイヤーとして扱う。
出典:Wallarm
この製品の詳細については、Wallarm製品ページをご覧ください。
