タレスは11月14日、「2025年上半期 API脅威レポート」を発表した。レポートでは、アプリ、決済、ログインなどを支えるコネクターであるAPIが、サイバー攻撃の主要な標的となっていることを警告している。その概要は以下のとおり。
世界で4000超の監視された環境において、タレスは2025年上半期だけで4万件以上のAPIインシデントを確認した。APIは全攻撃対象面のわずか14%でありながら、高度なボットトラフィックの44%がAPIに集中しており、重要な事業を支えるワークフローに最も洗練された自動化攻撃が行われていた。
調査結果で特に注目すべき点の一つは、毎秒1500万リクエストにものぼる金融サービスのAPIを狙った過去最大規模のアプリケーション層DDoS攻撃。ネットワーク帯域を飽和させる従来のボリューメトリック型のDDoS攻撃とは異なり、この攻撃はアプリケーション層を狙い、APIを悪用することでリソースを枯渇させ、業務を妨害する。
2025年上半期に発生したAPIを標的とするDDoSトラフィックの27%が、金融サービスを攻撃しており、残高照会、送金、支払承認などのリアルタイム取引においてAPIが多用されていることがうかがえる。
またこれらは、攻撃者が近年、多大な規模と低い観測性を両立させていることを示している。攻撃者は巨大なボットネットやヘッドレスブラウザーを駆使し、正規のAPIリクエストを装うことで、悪意あるトラフィックと本物の利用者の区別を困難にする。
■レポートによる主な発見
◎2025年上半期に4万件超(1日平均220件以上)のAPIインシデントを記録しており、この傾向が続けば年末には8万件を超える見込み。
◎エンドポイント別の攻撃分布:データアクセス(37%)、チェックアウト・決済(32%)、認証(16%)、ギフトカード/プロモ認証(5%)、シャドウ・誤設定エンドポイント(3%)。
◎適応型の多要素認証(MFA)を持たないAPIで、クレデンシャルスタッフィング攻撃とアカウント乗っ取りが40%増加。
◎データスクレイピングはAPIボット活動の31%を占め、多くの場合はメールアドレスや支払情報など高価値な情報を狙う、
◎クーポンおよび決済詐欺は攻撃の26%を占め、プロモーションの抜け穴や不十分なチェックアウト認証を悪用。
◎リモートコード実行(RCE)プローブは攻撃の13%を占め、特にLog4j、Oracle WebLogic、Joomlaが標的に。
◎業種別では金融サービス(26%)が最も標的とされており、次いで、旅行(14%)、エンタメ・アート(13%)、通信・ISP(10%)。
◎シャドウAPIは依然として深刻な盲点であり、組織が把握しているよりも、実際には10〜20%多くのAPIが稼働。
関連リンク