セキュリティ企業「タレス」社が、2025年上半期におけるAPI攻撃の実態をまとめた「API脅威レポート」を公表した。
APIは「Application Programming Interface(アプリケーション・プログラミング・インターフェース)」の略で、アプリやサービス同士が機能やデータをやり取りするための仕組みを指す。
現代のオンラインサービスを支える根幹技術だが、その重要性の高まりとともに攻撃対象としてのリスクも急速に拡大している。
レポートでは、2025年1月から7月までに確認されたAPI関連インシデントは4万件を超えている。
APIが全体の攻撃対象面の約14%にとどまる一方で、ボットと呼ばれる自動化された不正プログラムによる活動の44%がAPIに集中しており、攻撃者が効率良く侵入できる経路としてAPIを重視していることが報告されている。
標的とされている業界には、金融、通信、旅行、電子商取引、医療など、個人情報や決済情報を扱う分野が中心となっているとのこと。
特に金融業界において、毎秒およそ1,500万件の大量アクセスを浴びせるDDoS攻撃(分散型サービス妨害攻撃)が観測されたており、一般的なアクセス量をはるかに超える異常な負荷がAPIに向けられる事例が挙げられている。
DDoS攻撃は大量のアクセスを送りつけてサービスを停止させる手法であり、オンラインバンキングや決済システムなど市民生活に直結するサービスへの影響が懸念される。
また、攻撃の多くは正規ユーザーになりすます手法が用いられ、データ閲覧や決済、認証といった重要エンドポイント(セキュリティの出入り口)が狙われる傾向が確認された。
企業側にとっては、APIの存在が表に見えにくい「裏側の仕組み」であることが対策の遅れにつながり、攻撃者にとっては弱点を突きやすい環境が生まれているとの指摘もある。
レポートを受けて専門家は、多要素認証の強化、異常なアクセスを検知する仕組みの整備、ボット対策ツールの導入、APIそのものの棚卸しと設定見直しなど、基本的な防御策の徹底を呼びかけている。
また一般ユーザーに対しても、不審なアクセス通知やログイン異常への注意、金融・通販サービスのアカウント保護の強化といった日常的な対策が重要だとしている。
