APIがサイバー攻撃の主要標的に―― 2025年上半期だけで4万件超のAPIインシデント
タレスDISジャパン株式会社
タレスの最新API脅威レポートが、過去最多の攻撃件数と金融・通信・旅行業界の高リスクを指摘
世界をリードするテクノロジーとセキュリティのプロバイダーである
タレスはこの度、「
2025年上半期 API脅威レポート」を発表し、アプリ、決済、ログインなどを支えるコネクタであるAPIが、サイバー攻撃の主要な標的となっていることを警告しました。
[画像1:
https://prcdn.freetls.fastly.net/release_image/106675/23/106675-23-07b26192d5680316e5fb4347d141ff89-475x619.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
世界で4,000超の監視された環境において、タレスは2025年上半期だけで4万件以上のAPIインシデントを確認しています。APIは全攻撃対象面のわずか14%でありながら、高度なボットトラフィックの44%がAPIに集中しており、重要な事業を支えるワークフローに最も洗練された自動化攻撃が行われていることが明らかになっています。
記録的な金融サービス向けDDoS攻撃
調査結果で特に注目すべき点の一つは、毎秒1,500万リクエストにものぼる金融サービスのAPIを狙った過去最大規模のアプリケーション層DDoS攻撃です。
ネットワーク帯域を飽和させる従来のボリューメトリック型のDDoS攻撃とは異なり、この攻撃はアプリケーション層を狙い、APIを悪用することでリソースを枯渇させ、業務を妨害します。2025年上半期に発生したAPIを標的とするDDoSトラフィックの27%が金融サービスを攻撃しており、残高照会、送金、支払承認などのリアルタイム取引においてAPIが多用されていることがうかがえます。
またこれらは、攻撃者が近年、多大な規模と低い観測性を両立させていることを示しています。攻撃者は、巨大なボットネットやヘッドレスブラウザを駆使し、正規のAPIリクエストを装うことで、悪意あるトラフィックと本物の利用者の区別を困難にします。
レポートによる主な発見
- 2025年上半期に4万件超(1日平均220件以上)のAPIインシデントを記録しており、この傾向が続けば年末には8万件を超える見込み - エンドポイント別の攻撃分布:データアクセス(37%)、チェックアウト・決済(32%)、認証(16%)、ギフトカード/プロモ認証(5%)、シャドウ・誤設定エンドポイント(3%)
[画像2:
https://prcdn.freetls.fastly.net/release_image/106675/23/106675-23-65fde1cded6bd7940eace03dd0084d7c-406x224.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
- 適応型の多要素認証(MFA)を持たないAPIで、クレデンシャルスタッフィング攻撃とアカウント乗っ取りが40%増加 - データスクレイピングはAPIボット活動の31%を占め、多くの場合はメールアドレスや支払情報など高価値な情報を狙う - クーポンおよび決済詐欺は攻撃の26%を占め、プロモーションの抜け穴や不十分なチェックアウト認証を悪用
[画像3:
https://prcdn.freetls.fastly.net/release_image/106675/23/106675-23-e9787fb05c7d47fec33f78b5b3d00e32-403x224.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
- リモートコード実行(RCE)プローブは攻撃の13%を占め、特にLog4j、Oracle WebLogic、Joomlaが標的に
[画像4:
https://prcdn.freetls.fastly.net/release_image/106675/23/106675-23-5e1128eb2ed93ecbda8385a0b231ea4b-404x228.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
- 業種別では金融サービス(26%)が最も標的とされており、次いで、旅行(14%)、エンタメ・アート(13%)、通信・ISP(10%)
[画像5:
https://prcdn.freetls.fastly.net/release_image/106675/23/106675-23-7e1aaff31eb4fcacf96ceafc185d6913-406x190.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
- シャドウAPIは依然として深刻な盲点であり、組織が把握しているよりも、実際には10~20%多くのAPIが稼働
タレスのアプリケーションセキュリティ製品担当バイスプレジデントであるTim Changは、次のように述べています。「APIはデジタル経済を支える結合組織です。ただし、それゆえに最も魅力的な攻撃対象にもなります。私たちが目の当たりにしているのは、攻撃規模の拡大だけでなく、攻撃者の手口そのものの根本的な変化です。今ではマルウェアを注入することなく、ビジネスロジックそのものを逆用することが可能になっています。リクエストが一見正規に見えたとしても、その影響は多大になりかねません。今後6か月で、API攻撃の拡大と高度化はさらに進むでしょう。本来ならば既に対応していることが望ましいですが、そうでない場合は今からすぐに行動することが求められます。収益、信頼、コンプライアンスを守るために、組織はすべての稼働中エンドポイントを特定し、そのビジネス価値を理解し、コンテキストに応じた適応型防御で保護する必要があります。」
調査方法
タレスの「2025年上半期 API脅威レポート」は、世界で4,000以上のImpervaの顧客環境から収集した実際の攻撃テレメトリを基にしています。データは2025年1月から7月にかけて収集され、以下を含みます。
- 金融、通信、旅行、医療、eコマースを含む様々な業界における4万件超のAPIインシデント - 攻撃者がウェブおよびモバイルAPIで高度な自動化をどのように活用しているかを分析するためのボットのテレメトリとフィンガープリンティング - トラフィック量、異常、悪用を示すステルスパターンなど、エンドポイントの行動分析 - Log4j、Oracle WebLogic、Joomlaなど持続的な脆弱性に焦点を当てた共通脆弱性識別子 (CVE)の悪用の追跡 - 金融サービスAPIに対する、毎秒1,500万件の前例のないリクエストを明らかにしたDDoSフォレンジック分析
タレスのThreat Researchチームは、行動分析、機械学習、フォレンジック分析を活用し、攻撃を分類し、標的エンドポイントにマッピングし、業界全体の傾向を特定しました。データセットはImpervaの顧客基盤に基づいていますが、APIが世界中で悪用されている実態を示す堅牢な全体像を描き出しています。
タレスグループについて
タレス(本社:フランス・パリ、Euronext Paris: HO)は、防衛、航空・宇宙、サイバー・デジタル分野における、先端技術のグローバルリーダーです。主権、セキュリティ、サステナビリティ、インクルージョンなどの課題に対し、革新的な製品とソリューションで応えてまいります。タレスグループは、AI、サイバーセキュリティ、量子技術、クラウド技術など主要分野における研究開発に関して、年間40億ユーロ近くを投資しています。68カ国に8万3,000人の従業員を擁するタレスの2024年度売上高は、206億ユーロを記録しています。
プレスリリース提供:PR TIMES
記事提供:PRTimes
