現在公開されているほとんどのWebサービスでWeb APIとCDNは利用されているでしょう。広く使われるため、攻撃の標的となっています。
まずは、APIとCDNについて軽くみておきます。
Web API
さまざまなサービスを、Web上で公開して提供する仕組みです。
一般的なものとして、認証APIや決済API、生成AIもAPIを経由してアクセスできます。またAPIは利用するだけではなく提供する側にも回ります。APIとして提供しなくても、フロントとバックエンドが別々のアプリケーションになっていて、APIを介してやり取りをすることも多いでしょう。
CDN(Content Delivery Network: コンテンツ配信ネットワーク)
ウェブサイトの動画や画像などのデータを、キャッシュとしてサーバーに分散配置することで、ウェブサイトの表示速度を高速化・安定化させる仕組みです。
bootstrapなどのデザインフレームワークはCDNで公開されていることが多いです。
公開API, CDNを狙った攻撃
公開API,CDNを狙う動機としては、以下が考えられます。
- 公開API,CDN自体を標的とする
- 公開API,CDNを利用するサービスを標的とする
公開APIについてはHTTPフロード攻撃、アプリケーション層DDoS攻撃と同様に大量のリクエスト、重い処理を実行させるリクエストを投げることで行われます。
CDNについてはキャッシュにヒットしないリクエストを行い、毎回キャッシュを作らせることにより回線などリソースの枯渇を狙います。
その他の狙い
サービスの妨害の他、認証や権限管理の不備など脆弱性を狙った情報窃取を狙う攻撃も行われます。