Imperva調査：脆弱なAPIとボット攻撃によるビジネスの損失が年間1,860億米ドルに

●   全世界のサイバーイベントと損失の最大11.8%が、APIセキュリティの不備とボットによる自動化された不正利用に起因

●   ボット関連のセキュリティ・インシデント数は2022年に88％、2023年に28％増加

●   安全でないAPIによる損失が、2021年に比べて最大120億米ドル増加

タレスグループのImpervaは、「APIとボット攻撃による経済影響レポート」を発表しました。161,000件以上のサイバーセキュリティ・インシデントを分析した結果、脆弱な、または安全でないAPIや、ボットによる自動化された不正利用に起因する世界的な損失が増加していることが明らかになりました。 これらの2つのセキュリティ脅威は、ますます相互に関連し合い、拡大しています。本レポートは、世界中のビジネスにおけるAPIセキュリティの不備とボット攻撃による損失が、1,860億米ドル[1]にも上ることを推定しています。

Marsh McLennan Cyber Risk Intelligence Centerの調査に基づく本レポートでは、安全でないAPIとボット攻撃によるセキュリティ・インシデントの統計的な割合が、大企業の間で特に高いことが判明しています。また、売上高が10億米ドルを超える企業は、中小企業に比べ2～3倍の確率で、ボットによる自動化されたAPIの不正利用を受けています。大企業の複雑で広範なAPIエコシステムは、無防備なAPIや安全でないAPIを含むことが多くあります。これにより、大企業はボットによる自動化されたAPIの不正利用に関連したセキュリティリスクに対し、特に脆弱であることが本調査では示されています。

企業は、多様なアプリケーションやサービス間のシームレスな通信を可能にするAPIに大きく依存しています。Imperva Threat Researchのデータによると、昨年、企業は平均613のAPIエンドポイントを本番環境で管理していました。この数は、より俊敏かつ効率的にデジタルサービスを提供する必要性が高まるにつれ、急速に増加しています。

このようなAPI利用の増加や機密データへの直接アクセスにより、APIはボット操作者にとって格好な標的となっています。Imperva Threat Researchチームのデータでは、2023年に発生した全API攻撃のうち30％がボットによって生成された、自動化された脅威によるものであることが判明しています。ボットによる自動化されたAPIの不正利用は、年間最大179億米ドルもの損失を組織に与えます。運用されるAPIの数が増加するにつれて、サイバー犯罪者はますます多くの自動化されたボットを使用し、APIにおけるビジネスロジックを発見・悪用し、セキュリティ対策を回避し、機密データを流出させるものとみられます。

タレスのImperva アプリケーションセキュリティ担当ジェネラル・マネージャーであるNanhi Singhは、次のように述べています。「多大な経済損失を回避するためには、安全でないAPIとボット攻撃によるセキュリティリスクに世界中の企業が対処することが不可欠です。これらの脅威は相互に関連しているため、企業はボット攻撃とAPI攻撃の双方に対応する包括的なセキュリティ戦略を統合し、総合的なアプローチを取る必要があります」

本レポートで明らかになった主な動向の例：

●   API の採用・利用が増加し、攻撃対象が拡大： APIの急速な普及、API開発者の経験不足、セキュリティチームと開発チームの連携不足などにより、安全でないAPIによる損失は、2021年から120億米ドル増加し、現在では年間870億米ドルにも上ります。また、日本国内でのAPIに関連した損失は、約2.8億米ドルでした。

●   ボットによる収益への影響： 攻撃ツールや生成AIモデルの普及により、ボットのセキュリティ回避技術が進化し、スキルを持たない攻撃者でも高度なボット攻撃を仕掛けることが可能になりました。ボットによる自動化された攻撃に起因する損失は、年間最大1,160億米ドル、日本国内では9.7億米ドルにも上ります。

●   APIやボット関連のセキュリティ・インシデントが頻発： 2022年、API関連のセキュリティ・インシデントは40％増加し、ボット関連のセキュリティ・インシデントは88％増加しました。デジタル取引の増加、APIの利用拡大、ロシア・ウクライナ紛争による地政学的な緊張などが、これらの増加を加速しました。2023年、デジタル・トラフィックが安定し始め、新型コロナウイルス感染症拡大により急増したインターネット活動も落ち着き、インシデント発生頻度の増加速度は緩やかになりました。同年、API関連のセキュリセキュリティ・インシデントは9%増加し、ボット関連のセキュリティ・インシデントは28％増加しています。継続的な攻撃の増加傾向は、これらの脅威の持続性と頻度が高まっていることを示しています。

●   安全でないAPIとボット攻撃が大企業にもたらす大きな脅威： 売上高が1,000億米ドル以上の企業は、安全でないAPIやボット攻撃に関連するセキュリティ・インシデントを経験する可能性が最も高いことが明らかになっています。これらの脅威は、売上高1,000億米ドル超の企業が経験するセキュリティ・インシデントの26％を占めています。

●   世界中の国々がAPIやボット攻撃に対して脆弱：安全でないAPIやボット攻撃に関連するイベントの割合が最も高い国はブラジルであり、観測された全セキュリティ・インシデントの最大32％を占めています。また、僅差でフランス（28%）、日本（28%）、インド（26%）が続いています。米国では、API・ボッ関連のセキュリティ・インシデントによるイベントの割合は低いものの、脆弱なAPIやボットによる自動化された不正利用に関連したイベント全体の66％が米国内で発生しています。

Nanhi Singhは、次のように述べています。「生成AIアプリケーションや大規模言語モデルへの接続を促進するAPIへの依存は今後も急速に増加し続けるでしょう。同時に、生成AIは、サイバー犯罪者が洗練されたボットを加速的かつ危険な速度で作成することを可能にします。APIエコシステムが拡大し、ボットがより高度化するにつれ、事前対策なしでは、ボットによる自動化されたAPIの不正利用が経済に与える影響が大きく増加することを、組織は想定するべきです」

詳細情報：

●   API・ボット関連のセキュリティ・インシデントがビジネスに与える影響については、「APIとボット攻撃による経済影響レポート」をご覧ください。

●   タレスグループ Impervaの「Advanced Bot Protection」と「API Security」は、ビジネスクリティカルなトラフィックの流れに影響を与えることなく、自動化された攻撃からWebサイト、アプリケーション、APIを保護します。

●   タレスグループ Impervaの製品やソリューションに関する最新情報、およびImperva Threat Researchによる脅威インテリジェンスなどについては、Imperva Blogをご覧ください。

（以上）

タレスグループについて

タレス（本社：フランス・パリ、Euronext Paris: HO）は、防衛・セキュリティ、航空・宇宙、デジタルアイデンティティ・セキュリティの3つの領域における先端技術で世界をリードしているグローバル企業です。世界をより安全で、より環境に優しく、より包括的にすることに役立つ製品およびソリューションを開発しています。

タレスグループは、研究開発に関して、特にAI、サイバーセキュリティ、量子技術、クラウド技術、6Gなどの主要分野に、年間40億ユーロ近くを投資しています。

68カ国に8万1,000人1の従業員を擁するタレスの2023年度売上高は、184億ユーロを記録しています。

[1] APIとボットの双方に関連するイベントの損失は、二重に加算されていません。