本記事はサイバー・セキュリティに関するニュースを集めた情報サイト
「IoT OT Security News」に掲載されている情報から
セキュリティニュースを一部抜粋してご紹介するものです。
記事詳細は下部に記載のURLよりご覧ください。
2023/05/09 HelpNetSecurity — かつてないスピードで、API が開発/導入される現代の企業において、API スプロール (氾濫) の問題が広まり始めている。Postman の 2022 State of the API Report では、「回答者の 89%が、組織の API への時間とリソースの投資は、今後 12ヶ月間で増加するか、変わらないだろうと答えている」と指摘されている。つまり、API の開発/展開が進むだろうと、それぞれの組織は自信を持っているのだ。
このような急速な発展により、それぞれの組織において、API の存在が把握できなくなるという危険性が生じる。それにより、攻撃者が悪用する Shadow API の作成にもつながり、高額のメンテナンス費用が発生させる一因となっている。放置された API スプロールがもたらす、インシデントの可能性を説明するために、未知または古い API エンドポイントに起因する侵害の実例を3つ紹介する:
Uber (2016)
2016年に、Uber で 5,700万人の顧客とドライバーに影響を与える大規模なデータ侵害が発生した。Uber の開発者が用いる GitHub の非公開リポジトリを悪用することで、AWS の認証情報を発見した攻撃者が、機密情報を取り込んだ S3 バケットにアクセスしたと見られている。このインシデントで、Uber は $148M の和解金を支払い、同社の評価に深刻な悪影響が生じた。
Facebook (2018)
2018年に、Facebook は約 5,000万人のユーザーの個人情報が流出するという、情報漏えいインシデントに見舞われた。攻撃者は “View As” 機能の脆弱性を悪用してアクセス・トークンを取得し、他のユーザーになりすましていた。この情報漏えいは、API エンドポイントの保護が不適切であったことに起因している。Facebook は、この問題を解決するために、アクセス・トークンをリセットすることになり、約 9,000万人のユーザーの反発にさらされ、規制当局に監視されることになった。
・・・
|
|
IoT OT Security Newsとは
欧米やアジアのサイバー・セキュリティに関するニュースを集めた情報サイト
日々世界中のセキュリティ系サイトで発信される情報を和訳し記事化しています。
https://www.grcs.co.jp/products/z-today