タレスの「2025年上半期 API脅威レポート」は、上半期だけで4万件超のAPIインシデントを報告しました。金融を中心にAPIが直接狙われる現実を踏まえ、DX基盤を守るために押さえるべきポイントを分かりやすく整理します。
API攻撃の実態とDXへの影響
タレスの調査は、世界で4,000を超える監視環境から収集したテレメトリに基づき、2025年上半期に4万件超(1日平均220件以上)のAPIインシデントを確認したと報告しています。全攻撃対象面のうちAPIは14%に過ぎないものの、高度なボットトラフィックの44%がAPIに集中しており、単なる試行ではなくビジネスロジックを狙う自動化攻撃が活発化している点が特徴です。DXでAPIを活用する組織にとって、APIは利便性と同時に大きなリスク要因になっていることが数字からも読み取れます。
攻撃の内訳を見ると、エンドポイント別ではデータアクセスが37%、チェックアウト・決済が32%、認証が16%、ギフトカード・プロモ認証が5%、シャドウや誤設定のエンドポイントが3%と報告されています。データスクレイピングはボット活動の31%を占め、クーポンや決済の不正は26%、リモートコード実行(RCE)プローブは13%に達し、Log4jやOracle WebLogic、Joomlaといった既知の脆弱性が引き続き狙われていることが確認されました。これらは、サービスの収ポイントや顧客情報を直撃する攻撃であり、DXの価値を毀損しかねません。
特に金融サービスは業種別で26%と最も標的になっており、タレスはある金融APIに対するアプリケーション層DDoSで毎秒1,500万リクエストに達する前例のない規模を観測したと報告しています。アプリケーション層を狙う攻撃は、単純な帯域飽和ではなく残高照会や送金などリアルタイム取引のリソースを枯渇させ、利用者の信頼と業務継続性に直接的な影響を与えます。旅行(14%)、エンタメ・アート(13%)、通信・ISP(10)などもリスク業種に含まます。
またタレスはくの組で把握ているより〜20%くのシャウAPIが働している性を指しています。開やテスト境の放、マイクロサービスの増加外部パナーの未APIなどがで、管理のエンドが攻撃にとって侵入口となやすい況です。、適応の多要素認証(MFA)を持たないAPIでは、クレデンシャルスタッフィングやアカウント乗っ取りが40%増加しているという観測も示されており、認証周りの強化が急務であることを示唆しています。
データは2025年1月から7月にかけてImpervaの顧客環境から収集され、タレスは行動分析、機械学習、フォレンジックを用いて攻撃を分類・解析しています。この規模の観測結果は、APIがもはや周辺的な要素ではなく、DXの中核として守るべき主要資産であることを明確に示しています。組織は可視化、層別化、既知脆弱性対策、認証強化といった観点で優先順位を付け、段階的に対策を進めることが必要です。
APIはDXの価値を生む一方で、攻撃者にとって最も効率的な標的になっています。早期の可視化と層別化された防御で、DXの信頼性を確保することが重要だと考えます。
詳しくはタレスDISジャパン株式会社の公式ページをご覧ください。
レポート/DXマガジン編集部
