漏洩したAPIは企業の評判を海に流してしまう恐れがある

2021年6月24日発行
ピーテル・ダンヒョウ著
ケーススタディ

漏洩したAPIは企業の評判を海に流してしまう恐れがある

2021年6月24日発行
ピーテル・ダンヒョウ著
リソースを見る
リソースを見る

人生において、コミュニケーションは素晴らしいものです。理解を深めたり、新しいことを学んだり、人間関係を築いたりするのに、これほど手っ取り早い方法はありません。ソフトウェアの世界でも、APIはアプリケーション同士のコミュニケーションを可能にし、機能や使い勝手を向上させる役割を果たします。このような接続性は、エンドユーザーが好むような豊かな体験を生み出すことが多く、日々の生活の中でソフトウェアに期待するようになってきています。 

しかし、現実の世界と同じように、彼らが喋りすぎると大きな問題になります。エクスペリアン社は最近、このことを痛感しました。同社のAPIの1つがサードパーティのパートナーによって使用されたことで、アメリカ国民全員のクレジットスコアが流出したのです。

この問題はすぐに修正されましたが、この脆弱性が本当に阻止されたかどうかについては疑問が残ります。あるベンダーが影響を受けたということは、他のベンダーも影響を受けている可能性が高く、安全ではないAPIを使用しているすべての人に影響を与えるシステム的なバグである可能性があります。

APIセキュリティは、ほとんどのセキュリティ専門家にとって遠い存在ではなく、戦うための知識を身につけなければならない問題です。 

どんな剣豪でも、貧弱なAPI認証を迂回することができます。

多くのデータ漏えい、侵入、セキュリティ事件の特徴は、黒幕がいなくても成功することが少ないことです。今回のSolarWinds社のように、複雑で陰湿な被害をもたらす攻撃を行うには、天才的なサイバー犯罪者のチームが必要であり、それは例外的なことなのです。 

APIが弱い認証で作られていると、むしろ簡単に悪用されてしまいます。Experian社のAPIのバグを発見したセキュリティ研究者のBill Demirkapi氏は、認証なしでアクセスできると判断しました。生年月日欄に00/00/0000を入力すると、名前や関連する住所などの公開されている情報だけで、その人のクレジットスコアにアクセスすることができたのです。これは報告されていませんが、これらの記録がスクレイピングされ、クレジット関連のデータダンプとして文脈化される可能性があることは確かです。

クリーンで機能的な認証プロセスは、どんなに小さなユースケースであっても実施されるべきです。適切に保護されていないチャッターボックスAPIは、複数のシステムへのアクセスを開放する可能性があり、責任があります。

Broken Authenticationは、OWASPのAPI脆弱性トップ10リストの第2位です。このバグを回避する方法についてはこちらをお読みください。そして、頭の中を整理した後は、私たちのプラットフォームで自分のスキルを試してみてください。

貧弱なAPIセキュリティ管理は、文化的な変化を必要とする広範な問題です。

Experian社のような企業だけに責任を問うのは公平ではありませんが、今回のAPIの流出で見られたニュアンスやセキュリティ管理の精緻さの欠如は、ITシステムやエンドポイントの一部としてAPIを利用している多くの企業にとって良い兆候ではありません。 

一般的には、APIの脆弱性を発見して修正するだけでなく、保護すべき攻撃対象の一部としてAPIを理解するためには、まだまだやるべきことがあります。APIとその構築方法を可視化することは大きな関心事であり、セキュリティのベストプラクティスの一部として要求されるべきことです。どんなに厳しいセキュリティ対策を施した組織でも、公開されたAPIが会社のセキュリティ管理外で動作してしまうと、元の木阿弥になってしまいます。APIがどこから来たのか、最終的に誰が管理しているのか(サードパーティ・ベンダーなのか、セキュリティはどの程度厳しいのか)、そしてどのような情報にアクセスしているのかを確認することは、これまで以上に重要である。 

インジェクションの脆弱性は、すべてのCISOにとっての悩みの種です。



Accellion社に対する最近の攻撃では、SQLインジェクションとOSコマンド実行を組み合わせた攻撃により、APIを操作し、社会保障番号を含む大量の機密データを取得していたことが明らかになりました。また、この攻撃を実行するためには、AccellionのFTAソフトウェアに関する広範な知識が必要であり、リバースエンジニアリングによって可能になったと考えられます。

侵入は2020年12月から2021年1月にかけて行われたため、窃盗犯が被害を及ぼすには十分な時間がありました。フォレンジック分析によると、たった1つのAPIエンドポイントで不適切にサニタイズされたユーザー入力があり、admin.plスクリプトを呼び出す際に引数を注入することが可能だったことが判明しました。

多くの有名教育機関を含む3000社以上の顧客を抱えているため、この侵害は広範囲に及ぶ可能性があります。残念なことに、これらの不正アクセスは、一般的な脆弱性を利用して可能になったものであり、その多くは、セキュリティ意識の高い開発者が本番前にコードレベルで対処することができたはずです。幾度となく繰り返されているように、大きな問題を引き起こすには、ほんの小さな窓を開けておくだけでいいのです。そして、人間主導のサイバーディフェンスの文化は、非常に人間的な問題を解決するための戦略の一部である必要があります。


あなたのAPIセキュリティのスキルを今すぐ試してみませんか? Java Spring API, コトリンのスプリングAPI, C# (.NET) Web APIなどがあります。Learning Platform のAPIチャレンジに挑戦してみませんか?(ドロップダウンですべての言語:フレームワークをチェックできます):

APIセキュリティのスキルを実際のコードで試すことができるバナーです。
ぜひ、試してみてください。


リソースを見る
リソースを見る

著者

ピーテル・ダンヒユー

Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

漏洩したAPIは企業の評判を海に流してしまう恐れがある

2024年1月22日発行
Pieter Danhieux著

人生において、コミュニケーションは素晴らしいものです。理解を深めたり、新しいことを学んだり、人間関係を築いたりするのに、これほど手っ取り早い方法はありません。ソフトウェアの世界でも、APIはアプリケーション同士のコミュニケーションを可能にし、機能や使い勝手を向上させる役割を果たします。このような接続性は、エンドユーザーが好むような豊かな体験を生み出すことが多く、日々の生活の中でソフトウェアに期待するようになってきています。 

しかし、現実の世界と同じように、彼らが喋りすぎると大きな問題になります。エクスペリアン社は最近、このことを痛感しました。同社のAPIの1つがサードパーティのパートナーによって使用されたことで、アメリカ国民全員のクレジットスコアが流出したのです。

この問題はすぐに修正されましたが、この脆弱性が本当に阻止されたかどうかについては疑問が残ります。あるベンダーが影響を受けたということは、他のベンダーも影響を受けている可能性が高く、安全ではないAPIを使用しているすべての人に影響を与えるシステム的なバグである可能性があります。

APIセキュリティは、ほとんどのセキュリティ専門家にとって遠い存在ではなく、戦うための知識を身につけなければならない問題です。 

どんな剣豪でも、貧弱なAPI認証を迂回することができます。

多くのデータ漏えい、侵入、セキュリティ事件の特徴は、黒幕がいなくても成功することが少ないことです。今回のSolarWinds社のように、複雑で陰湿な被害をもたらす攻撃を行うには、天才的なサイバー犯罪者のチームが必要であり、それは例外的なことなのです。 

APIが弱い認証で作られていると、むしろ簡単に悪用されてしまいます。Experian社のAPIのバグを発見したセキュリティ研究者のBill Demirkapi氏は、認証なしでアクセスできると判断しました。生年月日欄に00/00/0000を入力すると、名前や関連する住所などの公開されている情報だけで、その人のクレジットスコアにアクセスすることができたのです。これは報告されていませんが、これらの記録がスクレイピングされ、クレジット関連のデータダンプとして文脈化される可能性があることは確かです。

クリーンで機能的な認証プロセスは、どんなに小さなユースケースであっても実施されるべきです。適切に保護されていないチャッターボックスAPIは、複数のシステムへのアクセスを開放する可能性があり、責任があります。

Broken Authenticationは、OWASPのAPI脆弱性トップ10リストの第2位です。このバグを回避する方法についてはこちらをお読みください。そして、頭の中を整理した後は、私たちのプラットフォームで自分のスキルを試してみてください。

貧弱なAPIセキュリティ管理は、文化的な変化を必要とする広範な問題です。

Experian社のような企業だけに責任を問うのは公平ではありませんが、今回のAPIの流出で見られたニュアンスやセキュリティ管理の精緻さの欠如は、ITシステムやエンドポイントの一部としてAPIを利用している多くの企業にとって良い兆候ではありません。 

一般的には、APIの脆弱性を発見して修正するだけでなく、保護すべき攻撃対象の一部としてAPIを理解するためには、まだまだやるべきことがあります。APIとその構築方法を可視化することは大きな関心事であり、セキュリティのベストプラクティスの一部として要求されるべきことです。どんなに厳しいセキュリティ対策を施した組織でも、公開されたAPIが会社のセキュリティ管理外で動作してしまうと、元の木阿弥になってしまいます。APIがどこから来たのか、最終的に誰が管理しているのか(サードパーティ・ベンダーなのか、セキュリティはどの程度厳しいのか)、そしてどのような情報にアクセスしているのかを確認することは、これまで以上に重要である。 

インジェクションの脆弱性は、すべてのCISOにとっての悩みの種です。



Accellion社に対する最近の攻撃では、SQLインジェクションとOSコマンド実行を組み合わせた攻撃により、APIを操作し、社会保障番号を含む大量の機密データを取得していたことが明らかになりました。また、この攻撃を実行するためには、AccellionのFTAソフトウェアに関する広範な知識が必要であり、リバースエンジニアリングによって可能になったと考えられます。

侵入は2020年12月から2021年1月にかけて行われたため、窃盗犯が被害を及ぼすには十分な時間がありました。フォレンジック分析によると、たった1つのAPIエンドポイントで不適切にサニタイズされたユーザー入力があり、admin.plスクリプトを呼び出す際に引数を注入することが可能だったことが判明しました。

多くの有名教育機関を含む3000社以上の顧客を抱えているため、この侵害は広範囲に及ぶ可能性があります。残念なことに、これらの不正アクセスは、一般的な脆弱性を利用して可能になったものであり、その多くは、セキュリティ意識の高い開発者が本番前にコードレベルで対処することができたはずです。幾度となく繰り返されているように、大きな問題を引き起こすには、ほんの小さな窓を開けておくだけでいいのです。そして、人間主導のサイバーディフェンスの文化は、非常に人間的な問題を解決するための戦略の一部である必要があります。


あなたのAPIセキュリティのスキルを今すぐ試してみませんか? Java Spring API, コトリンのスプリングAPI, C# (.NET) Web APIなどがあります。Learning Platform のAPIチャレンジに挑戦してみませんか?(ドロップダウンですべての言語:フレームワークをチェックできます):

APIセキュリティのスキルを実際のコードで試すことができるバナーです。
ぜひ、試してみてください。


弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。