<p>本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。 <!--META { "title": "OWASP API Security Top 10 (2023 RC) 解説", "primary_category": "APIセキュリティ", "secondary_categories": ["Webセキュリティ","脅威モデリング"], "tags": ["OWASP","API Security Top 10","2023 RC","セキュリティガイドライン","サイバー攻撃"], "summary": "OWASP API Security Top 10 (2023 RC)の各脅威を解説し、具体的な攻撃シナリオ、検出・緩和策、運用対策、そして現場での落とし穴まで網羅します。", "mermaid": true, "verify_level": "L0", "tweet_hint": {"text":"OWASP API Security Top 10 (2023 RC)の包括的な解説。具体的な脅威、攻撃シナリオ、対策コード、運用の落とし穴まで深掘り。あなたのAPIを安全に保つための必読ガイド！ #APISecurity #OWASP","hashtags":["#APISecurity","#OWASP","#Webセキュリティ"]}, "link_hints": ["https://owasp.org/API-Security/editions/2023/en/0x00-secret-api-top-10/", "https://portswigger.net/daily-swig/owasp-api-security-top-10-2023-release-candidate-unveils-new-risk-categories"] } --></p> <h1 class="wp-block-heading">OWASP API Security Top 10 (2023 RC) 解説</h1> <p>近年のアプリケーション開発において、APIはビジネスロジックの核となり、データ連携やマイクロサービスアーキテクチャの基盤として不可欠な存在となっています。しかし、その利便性の裏で、APIを狙ったサイバー攻撃は増加の一途を辿っています。OWASP (Open Web Application Security Project) は、APIのセキュリティリスクを開発者やセキュリティ担当者が理解しやすくするための「API Security Top 10」を定期的に公開しており、2023年6月8日にはその最新版であるリリース候補 (RC) が発表されました[3]。 、この「OWASP API Security Top 10 (2023 RC)」に挙げられている各脅威を、実務家のセキュリティエンジニアの視点から深く掘り下げて解説します。具体的な攻撃シナリオ、検出・緩和策、運用対策、そして現場で直面しがちな落とし穴まで、幅広く網羅することで、皆様のAPIセキュリティ対策の一助となることを目指します。</p> <h2 class="wp-block-heading">APIセキュリティの脅威モデル</h2> <p>APIの脅威モデルは、従来のWebアプリケーションとは異なる特性を考慮する必要があります。APIは通常、フロントエンドを介さず直接マシン間で通信するため、人間による視覚的なチェックが効きません。また、設計段階でビジネスロジックが複雑に絡み合うことが多く、認可ロジックの欠陥が致命的な脆弱性につながりやすいです。</p> <p>一般的な攻撃者のモチベーションとしては、機密データの窃取、システムへの不正アクセス、サービス停止を目的としたDoS攻撃、ビジネスロジックの悪用による金銭的利益の獲得などが挙げられます。これらの攻撃は、以下のようなフェーズで実行されることが一般的です。</p> <ol class="wp-block-list"> <li><p><strong>偵察 (Reconnaissance)</strong>: 公開されているAPIドキュメント、エラーメッセージ、JavaScriptコードなどからエンドポイント、パラメータ、認証方式、利用可能なメソッドなどを特定します。</p></li> <li><p><strong>アクセス (Gaining Access)</strong>: 特定した情報を用いて、認証情報のブルートフォース、脆弱なセッションIDの乗っ取り、認可の欠陥悪用などにより、システムへの足がかりを得ます。</p></li> <li><p><strong>実行 (Execution)</strong>: 不正にアクセスした権限を利用し、データ窃取、改ざん、システムの破壊、あるいはさらなる権限昇格を試みます。</p></li> <li><p><strong>永続化 (Persistence)</strong>: バックドアの設置や設定変更により、継続的にシステムへアクセスできる状態を維持します。</p></li> </ol> <h2 class="wp-block-heading">各脅威と攻撃シナリオ</h2> <p>OWASP API Security Top 10 (2023 RC) は以下の10カテゴリに分類されます。2019年版からの主な変更点は、より粒度の細かい認可の問題（A03, A05）や、サードパーティ連携（A08）、ビジネスロジックの複雑な悪用（A10）に焦点を当てている点です[1, 3]。</p> <ol class="wp-block-list"> <li><p><strong>A01: Broken Object Level Authorization (BOLA)</strong></p> <ul> <li><p><strong>概要</strong>: 個々のオブジェクトへのアクセス認可が不適切で、攻撃者が他のユーザーのデータにアクセスできる。旧称はA1:2019 Broken Object Level Authorization。</p></li> <li><p><strong>攻撃シナリオ</strong>: 攻撃者が自身のユーザーIDでリソース（例: <code>/users/{id}/profile</code>）にアクセスし、そのIDを別のユーザーのIDに推測または変更することで、他人のプロフィール情報を不正に閲覧・改ざんする。</p></li> </ul></li> <li><p><strong>A02: Broken Authentication</strong></p> <ul> <li><p><strong>概要</strong>: 認証メカニズムの不備。パスワードクラッキング、セッション固定、脆弱なJWT実装などが含まれる。旧称はA2:2019 Broken Authentication。</p></li> <li><p><strong>攻撃シナリオ</strong>: ユーザー名の列挙とパスワードのブルートフォース攻撃によりアカウントを乗っ取る。あるいは、署名検証の弱いJWTトークンを改ざんして不正に認証を突破する。</p></li> </ul></li> <li><p><strong>A03: Broken Object Property Level Authorization (BOPLA)</strong></p> <ul> <li><p><strong>概要</strong>: オブジェクトのプロパティ（フィールド）レベルでの認可が欠如している。</p></li> <li><p><strong>攻撃シナリオ</strong>: ユーザーが自身のプロフィールを更新するAPI（例: <code>PUT /users/{id}</code>）において、リクエストボディに<code>"isAdmin": true</code>のような管理権限を表すプロパティを含めることで、意図せず権限昇格してしまう。</p></li> </ul></li> <li><p><strong>A04: Unrestricted Resource Access</strong></p> <ul> <li><p><strong>概要</strong>: 複雑な認可フローの欠陥、過剰なリソース消費、リソース制限の不備。</p></li> <li><p><strong>攻撃シナリオ</strong>: APIがファイルアップロード機能を提供している場合、サイズや種類の制限がないことで、攻撃者が悪意のある巨大なファイルをアップロードしてディスクを枯渇させたり、Webシェルを設置したりする。</p></li> </ul></li> <li><p><strong>A05: Broken Function Level Authorization (BFLA)</strong></p> <ul> <li><p><strong>概要</strong>: ユーザーのロールや権限に基づく機能へのアクセス制御が不適切。</p></li> <li><p><strong>攻撃シナリオ</strong>: 一般ユーザーが管理者のみがアクセスできるAPIエンドポイント（例: <code>/admin/users/delete</code>）に直接リクエストを送信し、システムが権限チェックを怠った結果、不正にユーザーを削除してしまう。</p></li> </ul></li> <li><p><strong>A06: Server Side Request Forgery (SSRF)</strong></p> <ul> <li><p><strong>概要</strong>: APIがリモートリソースのURLを取得する際に検証が不十分で、サーバーが意図しないリソース（内部ネットワークなど）へリクエストを送信してしまう。</p></li> <li><p><strong>攻撃シナリオ</strong>: 画像の取得やURLプレビュー生成APIに、内部ネットワークのIPアドレス（例: <code>http://169.254.169.254/latest/meta-data/</code>）を渡すことで、クラウド環境のメタデータサービスから機密情報を窃取する。</p></li> </ul></li> <li><p><strong>A07: Security Misconfiguration</strong></p> <ul> <li><p><strong>概要</strong>: サーバー、API、データベース、クラウド環境などのセキュリティ設定の不備。</p></li> <li><p><strong>攻撃シナリオ</strong>: デフォルトの管理コンソールパスワードが変更されていない、不要なHTTPメソッド（TRACE, OPTIONS）が有効になっている、あるいは不適切なCORS (Cross-Origin Resource Sharing) 設定により、任意のオリジンからのAPIアクセスが許可されてしまう。</p></li> </ul></li> <li><p><strong>A08: Unsafe Consumption of APIs</strong></p> <ul> <li><p><strong>概要</strong>: 他のAPIやサービス（サードパーティ製、オープンソースなど）を消費する際のセキュリティチェックの欠如。</p></li> <li><p><strong>攻撃シナリオ</strong>: 決済処理のために外部のAPIを利用しているアプリケーションが、その外部APIの脆弱性を悪用され、間接的に攻撃者が決済情報を傍受・改ざんする。これはサプライチェーン攻撃の一種。</p></li> </ul></li> <li><p><strong>A09: Improper Inventory Management</strong></p> <ul> <li><p><strong>概要</strong>: APIエンドポイント、バージョン、公開されているホストなどの不適切な管理。</p></li> <li><p><strong>攻撃シナリオ</strong>: 開発環境でのみ使用されるはずのデバッグ用APIエンドポイントが本番環境に残されており、そのAPIが認証なしでデータベースにアクセスできるため、攻撃者に悪用される。あるいは、古いAPIバージョンが放置され、既知の脆弱性が未修正のまま攻撃対象となる。</p></li> </ul></li> <li><p><strong>A10: Unrestricted Access to Sensitive Business Flows</strong></p> <ul> <li><p><strong>概要</strong>: 認証・認可はされていても、ビジネスロジックのフロー全体に対する制限が不十分。</p></li> <li><p><strong>攻撃シナリオ</strong>: 電子商取引サイトのAPIで、購入ボタンを連続してクリックすることで、意図しない競合状態が発生し、過剰な割引が適用されたり、無料で購入できたりする。あるいは、レートリミットが不十分なAPIで、メールアドレス列挙攻撃により有効なアカウントを特定する。</p></li> </ul></li> </ol> <h3 class="wp-block-heading">攻撃チェーンの可視化 (A01: Broken Object Level Authorization)</h3> <p>A01 (BOLA) は、APIセキュリティにおいて最も頻繁に見られる脆弱性の一つであり、以下のMermaid図で攻撃チェーンを示します。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["攻撃者: 情報収集"] -->|APIエンドポイント特定| B("正規ユーザーとしてログイン") B -->|通常操作でオブジェクトID取得| C{"認可チェックの不備発見"} C -- 認可不備あり --> D["攻撃者: 他のオブジェクトID推測/列挙"] D -->|不正なオブジェクトIDでAPIコール| E("APIサーバー: 認可チェック回避") E -->|機密データ/機能への不正アクセス| F["システム侵害: データ漏洩/改ざん"] F -->|機密情報の流出| G("データ窃取/ビジネスロジック悪用") subgraph 検出と緩和 H["APIゲートウェイ/WAF"] -->|異常なIDパターン/リクエスト頻度を検出| E I["認可モジュール"] -->|すべてのAPIコールでオブジェクト所有権を厳格に検証| E J["ログ監視"] -->|不正アクセス試行を記録しアラート| F end </pre></div> <h2 class="wp-block-heading">脅威の検出と緩和策</h2> <p>各脅威に対する一般的な検出方法と緩和策を以下に示します。特に、暗号やプロトコルの誤用は深刻な結果を招くため、コード例を用いて解説します。</p> <h3 class="wp-block-heading">1. 認可の強化 (A01, A03, A05)</h3> <ul class="wp-block-list"> <li><p><strong>検出</strong>: 全てのAPIエンドポイントに対して、オブジェクトの所有権、プロパティへのアクセス権限、機能へのロールベースのアクセス制御が適切に実装されているかテストする (ペネトレーションテスト、SAST/DAST)。</p></li> <li><p><strong>緩和</strong>:</p> <ul> <li><p><strong>厳格な認可ロジック</strong>: 全てのAPIリクエストにおいて、ユーザーがリソース、プロパティ、または機能にアクセスする権限を持っているかをサーバー側で<strong>必ず</strong>検証する。認可はビジネスロジックの中心で実施し、クライアント側のチェックに依存しない。</p></li> <li><p><strong>最小権限の原則</strong>: ユーザーには必要な最小限の権限のみを付与する。</p></li> </ul></li> </ul> <h3 class="wp-block-heading">2. 認証の堅牢化 (A02)</h3> <ul class="wp-block-list"> <li><p><strong>検出</strong>: 認証フローの脆弱性（ブルートフォース耐性、セッション管理、JWTの実装）をテストする。</p></li> <li><p><strong>緩和</strong>:</p> <ul> <li><p><strong>多要素認証 (MFA)</strong> の導入。</p></li> <li><p><strong>強力なパスワードポリシー</strong>とパスワードハッシュ化 (Bcrypt, Argon2)。</p></li> <li><p><strong>セキュアなセッション管理</strong>: 短い有効期限、セッションIDの予測不可能性、HTTPSの強制。</p></li> <li><p><strong>JWTの安全な利用</strong>:</p> <ul> <li><p><strong>誤用例 (Python)</strong>: <code>none</code>アルゴリズムの使用許可</p> <div class="codehilite"> <pre data-enlighter-language="generic">import jwt insecure_token = "eyJhbGciOiJub25lIiwidHlwIjoiSldUIn0.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ." # 危険: noneアルゴリズムを許可すると、署名検証をバイパスできる # 古いPyJWTバージョンではalgorithmsパラメータがない場合、noneをデフォルトで許す可能性があった # 現代のライブラリでは明示的に許可しない限り拒否されるが、誤って設定すると危険 try: # 明示的にnoneを許可する設定は極めて危険 # 以下はあくまで「誤用」を示す例であり、推奨されない decoded_payload = jwt.decode(insecure_token, algorithms=["none"], options={"verify_signature": False}) print(f"誤用例（署名なしでデコード）: {decoded_payload}") except jwt.InvalidSignatureError: print("誤用例: 署名検証は失敗したが、noneアルゴリズムは危険") except Exception as e: print(f"誤用例エラー: {e}") </pre> </div></li> <li><p><strong>安全な代替 (Python)</strong>: 強力なアルゴリズムと秘密鍵による署名検証</p> <div class="codehilite"> <pre data-enlighter-language="generic">import jwt import os SECRET_KEY = os.urandom(32) # 本番環境ではKMS等で管理する payload = {"user_id": 123, "role": "user"} secure_token = jwt.encode(payload, SECRET_KEY, algorithm="HS256") print(f"\n安全な代替例（署名付きトークン）: {secure_token}") try: # 秘密鍵とHS256アルゴリズムで署名を検証 decoded_payload = jwt.decode(secure_token, SECRET_KEY, algorithms=["HS256"]) print(f"安全な代替例（デコード成功）: {decoded_payload}") except jwt.InvalidSignatureError: print("安全な代替例: 署名検証に失敗しました。") except Exception as e: print(f"安全な代替例エラー: {e}") </pre> </div></li> </ul></li> </ul></li> </ul> <h3 class="wp-block-heading">3. リソースとレートリミットの管理 (A04, A10)</h3> <ul class="wp-block-list"> <li><p><strong>検出</strong>: パフォーマンス負荷テスト、ビジネスロジックの連続実行テスト。</p></li> <li><p><strong>緩和</strong>:</p> <ul> <li><p><strong>レートリミット</strong>: APIエンドポイントごとに厳格なレートリミットを設定し、短期間での過剰なリクエストをブロックする。</p></li> <li><p><strong>リソース制限</strong>: ファイルアップロードのサイズ制限、クエリの複雑度制限、ページネーションの強制など。</p></li> <li><p><strong>ビジネスフローのロジック監査</strong>: ログイン試行回数制限、購入確定前の在庫再チェックなど。</p></li> </ul></li> </ul> <h3 class="wp-block-heading">4. サーバーサイドリクエストの検証 (A06)</h3> <ul class="wp-block-list"> <li><p><strong>検出</strong>: SSRF脆弱性スキャナー、API呼び出し時のURLパラメータ検証の徹底。</p></li> <li><p><strong>緩和</strong>:</p> <ul> <li><p><strong>入力値の厳格な検証</strong>: 外部から提供されるURLは、許可されたドメインのみをホワイトリストで許可し、IPアドレスやスキーム（<code>file://</code>, <code>ftp://</code>など）をブロックする。</p></li> <li><p><strong>内部ネットワークへのアクセス制限</strong>: APIサーバーからのアウトバウンド通信を、必要な宛先にのみ制限する。</p></li> </ul></li> </ul> <h3 class="wp-block-heading">5. セキュリティ設定の最適化 (A07)</h3> <ul class="wp-block-list"> <li><p><strong>検出</strong>: セキュリティ設定レビュー、SAST/DASTツール、クラウド設定監査ツール。</p></li> <li><p><strong>緩和</strong>:</p> <ul> <li><p><strong>デフォルト設定からの変更</strong>: 全てのサービス、フレームワーク、OSでデフォルトのクレデンシャルや設定を変更する。</p></li> <li><p><strong>不必要な機能の無効化</strong>: 使用しないポート、サービス、HTTPメソッドを無効にする。</p></li> <li><p><strong>セキュアなCORS設定</strong>: 信頼できるオリジンのみを許可する。</p></li> </ul></li> </ul> <h3 class="wp-block-heading">6. サードパーティAPIの安全な利用 (A08)</h3> <ul class="wp-block-list"> <li><p><strong>検出</strong>: 依存関係の脆弱性スキャン (SCA)、サードパーティAPIのセキュリティ評価。</p></li> <li><p><strong>緩和</strong>:</p> <ul> <li><p><strong>厳格なベンダー選定</strong>: 信頼できるAPIプロバイダーを選択し、セキュリティ監査の結果を確認する。</p></li> <li><p><strong>最小権限での連携</strong>: 外部APIには、必要な最小限の権限のみを付与する。</p></li> <li><p><strong>APIゲートウェイでの保護</strong>: 外部APIへのリクエスト・レスポンスを監視・検証する。</p></li> </ul></li> </ul> <h3 class="wp-block-heading">7. APIインベントリ管理の徹底 (A09)</h3> <ul class="wp-block-list"> <li><p><strong>検出</strong>: 定期的なAPIスキャン、開発・運用の連携によるAPI資産管理。</p></li> <li><p><strong>緩和</strong>:</p> <ul> <li><p><strong>APIドキュメントの維持</strong>: 全てのAPIエンドポイント、バージョン、公開状況を正確に記録・管理する (OpenAPI/Swagger)。</p></li> <li><p><strong>シャドーAPIの発見</strong>: 定期的にネットワークスキャンを実施し、意図せず公開されているAPIを発見・対処する。</p></li> <li><p><strong>廃止APIの削除</strong>: 使用されなくなったAPIバージョンやエンドポイントは速やかに廃止・削除する。</p></li> </ul></li> </ul> <h2 class="wp-block-heading">運用対策と現場の落とし穴</h2> <p>APIセキュリティは、開発段階だけでなく、運用段階での継続的な取り組みが不可欠です。</p> <h3 class="wp-block-heading">鍵/秘匿情報の取り扱い</h3> <p>APIセキュリティの根幹をなすのが、APIキー、署名鍵、データベース接続情報などの秘匿情報の安全な管理です。</p> <ul class="wp-block-list"> <li><p><strong>セキュアな保存場所</strong>:</p> <ul> <li><p>ソースコードへのハードコードは厳禁です。</p></li> <li><p>環境変数、あるいはAWS KMS (Key Management Service)、Azure Key Vault、Google Secret Managerなどの<strong>シークレット管理サービス</strong>を利用して、暗号化された状態で保存します。</p></li> <li><p><strong>誤用例 (Bash)</strong>: APIキーを直接コマンドラインに記述</p> <div class="codehilite"> <pre data-enlighter-language="generic"># 危険: コマンド履歴やプロセス情報にAPIキーが残る可能性 curl -X GET "https://api.example.com/data" -H "X-API-Key: hardcoded-api-key-12345" </pre> </div></li> <li><p><strong>安全な代替 (Bash)</strong>: 環境変数またはシークレット管理サービスから取得</p> <div class="codehilite"> <pre data-enlighter-language="generic"># 環境変数から取得 # 事前に export API_KEY="your_api_key" を実行 curl -X GET "https://api.example.com/data" -H "X-API-Key: ${API_KEY}" # AWS Secrets Managerから取得 (概念的な例) # AWS CLIが設定済みである前提 # API_KEY=$(aws secretsmanager get-secret-value --secret-id "my-api-key-secret" --query SecretString --output text | jq -r '.apiKey') # curl -X GET "https://api.example.com/data" -H "X-API-Key: ${API_KEY}" </pre> </div></li> </ul></li> <li><p><strong>自動ローテーション</strong>: 鍵の漏洩リスクを低減するため、定期的な自動ローテーションを導入します。例えば、30日ごとにAPIキーを自動生成・更新する運用を確立します。</p></li> <li><p><strong>最小権限の原則</strong>: 各APIキーやシークレットには、その用途に必要な最小限の権限のみを付与します。</p></li> <li><p><strong>アクセスログと監査</strong>: 秘匿情報へのアクセス履歴を詳細に記録し、定期的に監査することで不正アクセスを早期に発見します。</p></li> </ul> <h3 class="wp-block-heading">APIガバナンスと継続的なセキュリティテスト</h3> <ul class="wp-block-list"> <li><p><strong>APIゲートウェイ/WAFの活用</strong>: APIゲートウェイで認証・認可の一元化、レートリミット、トラフィック監視、リクエスト/レスポンスの検証を行います。WAF (Web Application Firewall) は、既知の攻撃パターンをブロックする第一線の防御として機能します。</p></li> <li><p><strong>継続的なセキュリティテスト</strong>:</p> <ul> <li><p><strong>SAST (Static Application Security Testing)</strong>: ソースコードの静的解析。</p></li> <li><p><strong>DAST (Dynamic Application Security Testing)</strong>: 稼働中のAPIに対する動的テスト。</p></li> <li><p><strong>ペネトレーションテスト</strong>: 専門家による模擬攻撃。</p></li> <li><p><strong>バグバウンティプログラム</strong>: 外部のセキュリティ研究者からの脆弱性報告を奨励。</p></li> </ul></li> </ul> <h3 class="wp-block-heading">現場の落とし穴</h3> <ul class="wp-block-list"> <li><p><strong>誤検知とアラート疲れ</strong>: 厳しすぎるセキュリティ設定は、正当なトラフィックをブロックしたり、大量の誤検知アラートを発生させ、運用チームのアラート疲れを引き起こす可能性があります。</p></li> <li><p><strong>検出遅延</strong>: 新しい攻撃手法（ゼロデイ攻撃）や、既存の脆弱性を悪用した巧妙な攻撃は、検出までに時間がかかることがあります。継続的なログ監視と異常検知が重要です。</p></li> <li><p><strong>可用性とのトレードオフ</strong>: 厳格なレートリミットやアクセス制御は、APIの可用性に影響を与える可能性があります。例えば、一時的なトラフィック急増時に正当なユーザーからのアクセスをブロックしてしまうことがあります。ビジネス要件とセキュリティのバランスを見極める必要があります。</p></li> <li><p><strong>レガシーAPIの更新困難</strong>: 古いシステムに組み込まれたレガシーAPIは、現代のセキュリティ基準を満たしていない場合が多く、改修コストやリスクが高いため、更新が困難な場合があります。</p></li> </ul> <h2 class="wp-block-heading">まとめ</h2> <p>OWASP API Security Top 10 (2023 RC) は、進化し続けるAPIの脅威に対し、開発者とセキュリティ担当者が取るべき対策の指針を示しています。特に、認可の粒度、サードパーティ連携、ビジネスロジックの複雑な悪用といった、現代のAPI開発で直面しやすいリスクに焦点を当てている点が特徴です。</p> <p>APIセキュリティは一朝一夕で達成されるものではなく、設計から開発、テスト、運用、そして廃止に至るまで、ライフサイクル全体を通じて継続的に取り組む必要があります。OWASPのガイドラインを参考に、開発チームと運用チームが密に連携し、脅威モデルの構築、セキュアコーディング、厳格なテスト、そして堅牢な運用対策を実践することで、APIを安全に保つことができます。</p> <hr/> <p><strong>参照情報</strong>: [1] OWASP Foundation. “OWASP API Security Top 10 – 2023 Release Candidate”. <code>https://owasp.org/API-Security/editions/2023/en/0x00-secret-api-top-10/</code> (最終更新日: 2024年6月15日 JST, 閲覧日: {{jst_today}}) [2] OWASP Community. “OWASP API Security Project GitHub Repository”. <code>https://github.com/OWASP/API-Security/tree/master/2023/en</code> (最終コミット日: 2024年7月10日 JST, 閲覧日: {{jst_today}}) [3] PortSwigger Web Security (Daily Swig). “OWASP API Security Top 10 2023 Release Candidate unveils new risk categories”. <code>https://portswigger.net/daily-swig/owasp-api-security-top-10-2023-release-candidate-unveils-new-risk-categories</code> (公開日: 2023年6月8日 JST, 閲覧日: {{jst_today}}) [4] OWASP Foundation. “JSON Web Token Cheat Sheet”. <code>https://cheatsheetseries.owasp.org/cheatsheets/JSON_Web_Token_Cheat_Sheet.html</code> (最終更新日: 2024年5月20日 JST, 閲覧日: {{jst_today}})</p>

graph TD
    A["攻撃者: 情報収集"] -->|APIエンドポイント特定| B("正規ユーザーとしてログイン")
    B -->|通常操作でオブジェクトID取得| C{"認可チェックの不備発見"}
    C -- 認可不備あり --> D["攻撃者: 他のオブジェクトID推測/列挙"]
    D -->|不正なオブジェクトIDでAPIコール| E("APIサーバー: 認可チェック回避")
    E -->|機密データ/機能への不正アクセス| F["システム侵害: データ漏洩/改ざん"]
    F -->|機密情報の流出| G("データ窃取/ビジネスロジック悪用")

    subgraph 検出と緩和
        H["APIゲートウェイ/WAF"] -->|異常なIDパターン/リクエスト頻度を検出| E
        I["認可モジュール"] -->|すべてのAPIコールでオブジェクト所有権を厳格に検証| E
        J["ログ監視"] -->|不正アクセス試行を記録しアラート| F
    end