エグゼクティブサマリー
APIは現代デジタルインフラの結合組織となり、攻撃者はそれを知っています。2023年1月から2024年12月にかけて、Akamaiは1,500億件のAPI攻撃を記録しました。この数字は脅威ランドスケープにおける根本的な転換を裏付けています。APIは平均的な組織の攻撃対象領域のわずか14%を占めるに過ぎませんが、現在では高度なボットトラフィックの44%を引きつけています。この不釣り合いな標的化は、APIエンドポイントの高い価値を反映しています:機密データ、ビジネスロジック、バックエンドシステムへの直接的なアクセスを提供するためです。
統計は厳しい現実を示しています。Salt Securityによれば、組織の99%が過去1年間にAPIセキュリティインシデントを経験し、3分の1以上が機密データの露出を伴いました。月次の攻撃量は2023年初頭から2倍以上に増加し、2024年末までに5,000億件から1.1兆件のWeb攻撃へと拡大しました。しかし防御能力は追いついていません ― API層での攻撃を有効に検知できる組織はわずか21%、試みられた侵害の半数超を防止できる組織は13%のみです。
本レポートは、現在のAPI脅威ランドスケープを検証し、攻撃パターンと手法を分析し、強靱なAPIセキュリティプログラム構築のための実行可能な推奨事項を提供します。メッセージは明確です:APIはもはやセキュリティアーキテクチャにおける二次的考慮事項ではありません。第一線です。
数字で見るAPI脅威
24か月間に記録された攻撃
2024年にAPIインシデントを経験
全API攻撃がBOLAを悪用
API層の攻撃を検知可能
攻撃量の推移
API標的攻撃の加速は、API採用拡大と攻撃者の高度化の両方を反映しています。従来のペリメータセキュリティに依存していた組織は、慣行的な防御を完全に迂回する脅威に直面しています。
| 指標 | 2023年初頭 | 2024年末 | 変化 | 意義 |
|---|---|---|---|---|
| 月次Web攻撃 | 5,000億 | 1.1兆 | +120% | 2年未満で倍増 |
| API攻撃(24か月合計) | - | 1,500億 | - | APIが現在の主要標的 |
| Layer 7 DDoS | ベースライン | +94% | +94% | アプリケーション層への注力 |
| OWASP API Top 10 悪用 | ベースライン | +32% | +32% | 既知の脆弱性が増加 |
| 資格情報詰込み(月次) | 180億 | 260億 | +44% | 自動化された資格情報悪用 |
なぜAPIが主要な標的となったのか
直接的なデータアクセス
APIは機密データへの構造化されたマシン可読アクセスを提供します。1つの侵害されたエンドポイントから、伝統的なデータ流出のような騒音を出さずに数百万件のレコードを露出させ得ます。
認証の弱点
AI関連APIの89%は安全でない認証を持ちます。レガシー認証メカニズムは現代のAPIトラフィックの量と多様性のために設計されていません。
ビジネスロジックの欠陥
APIは詐欺、データ操作、権限昇格に悪用され得るビジネスロジックを露出します ― シグネチャベースツールでは検知できない攻撃です。
可視性の欠如
自社APIのうち機密データを露出するものを把握している組織は37%のみです。シャドウAPIや文書化されていないエンドポイントが、攻撃者が悪用する盲点を生み出します。
自動化との親和性
APIはプログラマブルアクセス向けに設計されており、自動攻撃にとって理想的な標的です。人間の攻撃者から守るものが、ボットには通用しないことがしばしばあります。
信頼の前提
API攻撃の78%は正当で認証されたユーザーからのものに見えます。従来のセキュリティは認証されたユーザーが信頼に足ると仮定しますが ― これは危険な前提です。
OWASP API Security Top 10:何が悪用されているか
**2019年以降、APIリスクの第1位。** BOLAは、APIが特定のオブジェクトにアクセスする権限をユーザーが持っているかを検証しない場合に発生します。攻撃者はリクエスト内のオブジェクトIDを変更するだけで、認可されていないデータにアクセスします。この脆弱性はUber(2016年)、Facebook(2018年)、Trello(2024年)の侵害を可能にし、数百万件のユーザーレコードを露出させました。BOLAは全API攻撃の約40%を占めます。
弱い認証メカニズムにより、攻撃者はトークンを侵害し、セッション管理の欠陥を悪用し、または認証を完全に迂回することができます。月間260億件の資格情報詰込み試行で、認証エンドポイントは絶え間ない攻撃を受けています。適応型MFAを持たないAPIではアカウント乗っ取り試行が40%増加しました。
従来の「Excessive Data Exposure」と「Mass Assignment」リスクの組み合わせ。APIは必要以上のデータを返したり、許可すべきでないプロパティ変更を受け入れたりすることがあります。攻撃者はこれらの欠陥を悪用して機密フィールドにアクセスしたり、保護された属性を変更したりします。
適切なレート制限やリソース制御がないAPIは、サービス拒否攻撃やリソース枯渇に対して脆弱です。攻撃者はエンドポイントを圧倒し、サービス低下を引き起こすか、他の悪意ある活動の隠蔽を作り出すことができます。
階層的なロール、グループ、機能を持つ複雑なアクセス制御ポリシーは認可の欠陥につながり得ます。攻撃者は通常ユーザーに露出された管理機能を探したり、ロールの混乱を悪用して権限を昇格させたりします。
適切な制御なしに購買、アカウント作成、料金確認などの機密ビジネスフローを露出するAPIは、自動化された悪用を可能にします。転売者、詐欺師、競合他社がこれらのフローをマシンスピードで悪用します。
APIが検証なしにユーザー入力に基づいてリモートリソースを取得する場合、攻撃者はサーバーに内部リソースや外部の悪意あるコンテンツへのリクエストを行わせることができます。SSRFは内部インフラを露出させ、さらなる攻撃を可能にし得ます。
デフォルト設定、不要なHTTPメソッド、欠落したセキュリティヘッダー、詳細なエラーメッセージ、不適切なCORS設定が悪用可能な攻撃対象領域を生み出します。設定ミスはしばしばより深い攻撃の初期足がかりとなります。
組織は、どのAPIが存在し、どのバージョンが稼働し、どれを廃止すべきかを把握できなくなります。シャドウAPIや廃止予定のエンドポイントは、監視も保護もされていないため攻撃ベクターとなります。
開発者はしばしば第三者APIを適切な検証なしに信頼します。外部APIを利用する場合、アプリケーションは脆弱性を継承したり、侵害された第三者サービスを通じて悪用されたりし得ます。
種別別API攻撃分布
最も標的化されるエンドポイント種別
金融取引エンドポイント
ログインおよびトークンエンドポイント
多様な機能エンドポイント
業界別影響分析
API攻撃の強度は、アクセス可能なデータの価値と取引量に応じて業界ごとに大きく異なります。
| 業界 | 攻撃順位 | 主要脅威 | 注目すべき動向 |
|---|---|---|---|
| 金融サービス | #1 最も標的化 | 資格情報詰込み、詐欺 | 侵害成功あたりの価値が最高 |
| 通信 | #2 | 高度なボット(モバイルログインの50%) | 高度な自動化率が最高 |
| 旅行・ホスピタリティ | #3 | アカウント乗っ取り、スクレイピング | +400%攻撃(宿泊業) |
| 小売・Eコマース | #4 | ボット攻撃、チェックアウト詐欺 | 2025年に悪意ある設定+92% |
| テクノロジー | #5 | データ流出、知的財産盗難 | 悪意あるログイントラフィックが33.5% |
ボット問題:高度化が加速
APIに対する自動攻撃は単純なスクリプトから、人間とマシンのトラフィックの境界をあいまいにする高度な作戦へと進化しました。F5 Labsによれば、行動型ボットは現在ホリデーシーズンのWebトラフィックの大半を占め、シーズン早期から攻撃し、前例のない速度で運用されています。APIセキュリティへの影響は深刻です。
アカウント乗っ取り(ATO)攻撃は2024年に250%増加し、ダークウェブマーケットで利用可能な3億1,100万件の盗難アカウントを活用した資格情報詰込みキャンペーンによって加速しました。Kasadaは単月で133小売事業者にまたがる1,100件超の資格情報詰込みインシデントを観測し、推定265,000件のアカウントが侵害されました。ある主要小売業者はブラックフライデーにボット駆動のログイン試行が32倍に増加し、全トラフィックの72%が悪意あるボットから発生していました。
高度化の勾配は明確です:観測されたATO攻撃の62%は高度な手法を用い、3%は極めて高度に分類されました。しかしボットトラフィックを有効に緩和できる組織はわずか21%、53%はすでにボット関連攻撃を経験済みです。この能力格差はAPIセキュリティ態勢における重大な脆弱性を意味します。
Traceable/Ponemon Instituteの研究によれば、API層での攻撃検知能力が高いと報告した組織はわずか**21%**、API攻撃の**50%超を防止できる**組織は**13%**のみです。一方、**65%は生成AIがAPIセキュリティに深刻なリスクをもたらす**と考えていますが、防御側のAI導入は攻撃側の応用に大きく遅れをとっています。組織は単に軍拡競争に負けているだけでなく、多くはまだ参戦すらしていません。
地域スポットライト:アジア太平洋
前年比+73%の攻撃成長
アジア太平洋および日本は、世界のいずれの地域よりも高いWebアプリケーション攻撃の増加率を示しました。
85%のインシデント発生率
APAC組織の85%が過去12か月間に少なくとも1件のAPI関連セキュリティインシデントを報告しました。
オーストラリア:95%が侵害
世界最高のインシデント率である一方、定期的な包括的API脆弱性テストを実施しているのはわずか6%。
平均58万ドルのコスト
APAC企業はAPIセキュリティインシデント1件あたり平均58万ドル超のコストを負担しました。
有効なAPIセキュリティプログラムの構築
完全なAPIインベントリ
存在を知らないものを守ることはできません。シャドウAPIや廃止予定バージョンを含むすべてのエンドポイントを識別するため、継続的なAPIディスカバリを導入します。現在、機密データを露出するAPIを把握している組織はわずか37%です。
強力な認証の実装
すべてのAPIアクセスに対し適応型多要素認証を導入します。適応型MFAを持たない組織はアカウント乗っ取り試行が40%増加しました。パブリッククライアントにはPKCEを伴うOAuth 2.0を検討してください。
あらゆる階層で認可を強制
すべてのリクエストでオブジェクトレベルの認可チェックを実装することでBOLA脆弱性に対処します。オブジェクトIDの隠蔽に頼らず、認証されたユーザーが各特定のリソースにアクセスする権限を持つことを検証してください。
行動分析の導入
シグネチャベース検知はビジネスロジック攻撃に対し失敗します。異常パターンを識別する行動分析を実装します:通常と異なるアクセスシーケンス、異常な量、地理的不可能性、自動化された挙動など。
レート制限とリソース制御
ユーザー、エンドポイント、アクションごとのきめ細かいレート制限を実装します。リソース枯渇攻撃を防ぎ、資格情報詰込みキャンペーンの影響範囲を制限します。
ボット管理の統合
高度なボットトラフィックの44%がAPIを標的とするため、専用のボット管理が不可欠です。ユーザー体験を損なうことなく、洗練された自動化と正当なトラフィックを区別できるソリューションを導入してください。
継続的なセキュリティテスト
オーストラリアの6%というAPIテスト実施率は、その95%のインシデント率と相関しています。CI/CDパイプラインで自動APIセキュリティテストを実装し、API固有の脆弱性に焦点を当てた定期的なペネトレーションテストを実施します。
WAAP統合APIゲートウェイ
Webアプリケーションファイアウォール機能を統合したゲートウェイを通じてAPIトラフィックを集中管理します。これにより単一の強制ポイントで可視性、制御、保護が提供されます。
TR7がAPIをどのように保護するか
API対応WAAP
TR7のWebアプリケーションファイアウォールには、BOLA、インジェクション、認証攻撃を含むOWASP API Top 10脆弱性から守るAPI固有の保護ルールが含まれます。
インテリジェントなボット管理
高度な行動分析が洗練されたボットと正当なAPI利用者を区別します。有効なトラフィックを遮断せずに資格情報詰込み、スクレイピング、自動化された悪用を緩和します。
レート制限とアクセス制御
エンドポイント、ユーザー、アクションごとのきめ細かいレート制限。リソース枯渇を防ぎ、APIインフラへの自動攻撃の影響を制限します。
リアルタイム分析
APIトラフィックパターン、攻撃動向、セキュリティイベントへの包括的な可視性。事業運営に影響する前に異常を検知し、脅威に対応します。
アプリケーションゲートウェイ
セキュリティ制御を統合した集中的なAPIトラフィック管理。認証、認可、脅威保護のための単一の強制ポイント。
DDoS保護
APIワークロード向けに設計されたLayer 7 DDoS保護。正当な利用者向けにAPI可用性を維持しつつ、アプリケーション層攻撃を吸収します。
参考文献と情報源
[Akamai 2025レポート](https://www.akamai.com/resources/state-of-the-internet) - 1,500億件のAPI攻撃統計、33%のWeb攻撃増加、地域別所見の主要情報源。
[Salt Securityレポート](https://content.salt.security/state-api-report.html) - 99%の組織インシデント率と機密データ露出統計の情報源。
[Traceableレポート](https://www.traceable.ai/2025-state-of-api-security) - 検知能力統計(21%検知、13%防止)と生成AIリスク所見。
[OWASP API Security](https://owasp.org/API-Security/editions/2023/en/0x11-t10/) - API脆弱性カテゴリと説明の決定的なリファレンス。
[Kasadaレポート](https://www.kasada.io/4-takeaways-2025-account-takeover-trends/) - ATO統計、資格情報詰込みインシデント、業界攻撃動向。
[F5 Labsレポート](https://www.f5.com/labs/articles/threat-intelligence/2025-advanced-persistent-bots-report) - ボット高度化動向と資格情報詰込み統計。
[APAC調査](https://www.akamai.com/newsroom/press-release/2025-api-security-impact-study) - 地域別所見、インシデントコスト、組織能力格差。
APIインフラを守る
1,500億件のAPI攻撃が記録され、組織の99%がインシデントを経験している現状、APIセキュリティは選択肢ではなく必須です。TR7の統合セキュリティプラットフォームがいかに進化する脅威からAPIを守るかを学んでください。
ボット管理を見る