OWASP API セキュリティ トップ10：警戒すべきセキュリティリスク

OWASP API セキュリティ トップ10

2019年にOWASPが発表したAPI固有の脆弱性トップ10のリストは、けして新しいものではありませんが、振り返る必要があるでしょう。OWASP Top 10 が Web アプリケーションのセキュリティに関する開発者向けの脆弱性情報を標準化しているのと同様に、この特別なリストは、Web アプリケーションに対する最も重要な API セキュリティリスクに関する幅広いコンセンサスを表しています。それぞれについて、なぜそれが問題を引き起こすのかを見てみましょう。

API1:2019 Broken Object-Level Authorization（オブジェクトレベルの認可の不備）

オブジェクトレベルの認可は、ユーザーがアクセスすべきオブジェクトのみにアクセスできることを検証するために、通常はコードレベルで実装されるアクセス制御メカニズムです。 すべての API エンドポイントは、ログインユーザーが要求されたオブジェクトに対して要求されたアクションを実行する権限を持っているかどうかを検証するために、オブジェクトレベルの認可チェックを実装する必要があります。

API2:2019 Broken User Authentication（認証の不備）

認証メカニズムが正しく実装されていない場合、攻撃者が他のユーザーの ID を詐称できる可能性があります。 認証エンドポイントとフローは、パスワードを忘れた場合やパスワードをリセットするシステムなど、保護する必要がある資産です。 パスワード・リセット・プロトコルが後付けの場合、ユーザー認証攻撃に対する豊富な攻撃対象領域が形成されます。

API3:2019 Excessive Data Exposure（データの過剰な公開）

開発者はデフォルトですべてのオブジェクトプロパティを公開し、ユーザーに表示する前にデータフィルタリングを実行するようクライアントに依存する傾向があります。悪意のある攻撃者は、トラフィックを盗聴して APIレスポンスを分析することでこの弱点を利用し、ユーザーに返すべきではない機密データの曝露を探し出します。

API4:2019 Lack of Resources and Rate Limiting（リソース不足と帯域制限）

APIでは、クライアントまたはユーザーが要求できるリソースのサイズや数に制限を設けていないことがよくあります。APIリクエストは、ネットワーク、CPU、メモリ、ストレージなどのリソースを消費してAPIサーバーのパフォーマンスに影響を及ぼし、サービス拒否 (DoS) につながる可能性があるだけでなく、ブルートフォース（総当たり）などの認証攻撃に対するドアも開いたままにします。

API5:2019 Broken Function-Level Authorization（機能レベルの認可の不備）

認可の不備は、異なる階層、グループ、およびロールを持つ過度に複雑なアクセス制御ポリシーや、管理機能と通常の機能の分離が不明瞭であることが原因である可能性があります。悪意のあるアクターは、不正な機能にアクセスするために、アクセスできないはずのAPIエンドポイントに正当なAPI呼び出しを送信することで、この欠陥を悪用します。管理機能は、この種の攻撃の主要な標的です。

API6:2019 Mass Assignment（一括割り当て）

モダンなフレームワークでは、開発者は、クライアントからの入力をコードの変数と内部オブジェクトに自動的にバインドする関数を使用することを奨励しています。APIは、アプリケーションの基になる実装をプロパティ名と共に公開するため、攻撃者はこの手法を使用して、開発者が公開することを意図していなかった機密性の高いオブジェクトプロパティを更新または上書きできます。悪用されると、権限昇格、データの改ざん、セキュリティメカニズムのバイパスなどにつながる可能性があります。

API7:2019 Security Misconfiguration（セキュリティ設定ミス）

セキュリティの設定ミスは、ネットワークレベルからアプリケーションレベルまで、APIスタックのあらゆるレベルで発生する可能性があります。攻撃者は、多くの場合、パッチが適用されていない欠陥、一般的なエンドポイント、または保護されていないファイルやディレクトリを見つけて、システムへの不正アクセスや知識を取得しようとします。セキュリティの設定ミスにより、機密性の高いユーザーデータやシステムの詳細が漏洩し、サーバー全体の侵害につながる可能性があります。

API8:2019 Injection（インジェクション）

インジェクションの欠陥は、信頼できないデータがコマンドまたはクエリの一部としてインタープリタに送信された場合に発生します。攻撃者の悪意のあるデータは、インタプリタを騙して意図しないコマンドを実行したり、適切な許可なしにデータにアクセスしたりする可能性があります。インジェクションは、情報漏えいやデータ損失につながる可能性があります。また、DoS や完全なホスト乗っ取りにつながる可能性もあります。これが、インジェクションが一般的なOWASP Top 10で3番目に重大なセキュリティ問題として挙げられている理由です。

API9:2019 Improper Assets Management（不適切な資産管理）

通常、古いバージョンのAPIにはパッチが適用されていません。これにより、最新バージョンのAPIを保護するために導入されている可能性のある最先端のセキュリティメカニズムと戦うことなく、システムを容易に侵害できます。攻撃者は、機密データにアクセスし、同じデータベースに接続されたパッチが適用されていない古いバージョンのAPIを介してサーバーを乗っ取ることもできます。

API10:2019 Insufficient Logging and Monitoring（不十分なロギングとモニタリング）

ログ記録と監視が不十分な為、インシデント対応との統合が欠落していたり、効果がなかったりすると、攻撃者はシステムをさらに攻撃し、継続性を維持し、改ざんするシステムを増やし、データを抽出または破壊することができます。ほとんどの侵害の調査では、侵害を検出するまでに200 日以上かかっていることが示されており、往々にして、内部プロセスや監視ではなく、外部関係者によって発見されます。進行中の悪意のあるアクティビティを可視化できないため、攻撃者はシステムを完全に侵害するのに十分な時間を得ることができます。詳細については、「ロギングと監視のための、７つのベストプラクティス」をご覧ください。