「APIエコノミー」に迫る“検知できない脆弱性攻撃”の脅威
コンテンツデリバリーネットワーク(CDN)サービスを基盤に、各種のクラウド型セキュリティサービスを手掛けるアカマイ・テクノロジーズでWebセキュリティの動向を追う中西一博氏が、非常に発見が難しくなっているWeb攻撃の実態と手口を暴き、その対策について解説する。 以前の連載:迷惑bot事件簿 アプリのマイクロサービス化とAPIの関係 世界中のWeb通信を中継しているAkamai Technologies (以下 Akamai)が取り扱う通信の8割以上は、すでにAPIの通信が占めている。 APIを利用するスマートフォンやブラウザアプリが普及の後押しをしているのは間違いないが、近年ではサーバ側のマイクロサービス化(あるシステムを小規模なシステムを組み合わせて開発する手法)の影響も大きい。 日本も同様だ。商用のWebアプリケーション開発者に話を聞くと「いま開発中のWebアプリやスマホアプリのサーバ
【徹底解説】FastAPIの特徴と課題点
はじめに 今回の記事では、PythonのWebフレームワーク「FastAPI」の特徴・課題点を簡潔に解説する。本記事の読者は主に以下のようなものを対象とする。 FastAPIを知らない人 FastAPIを実務で活用したい人 技術選定でFastAPIを選ぶ理由を検討している人 PythonでWebアプリケーションを開発したい人 すでにDjangoやLaravelなどの他のフレームワークに着手していて、別のフレームワークに関する情報を収集している人 FastAPIとは FastAPIとは、Djangoと同様にPythonのWebフレームワークである。主にWeb APIを開発するために利用される。 FastAPIの特徴 FastAPIの特徴は以下の通り。 Node.jsやGo言語に匹敵する高速なアプリケーションを開発できる。Pythonフレームワークの中では最も高速。 少ないコード量で実装できる
フェラーリやトヨタ、主要な自動車メーカーのAPIに多数の重大な脆弱性
サイバーセキュリティ研究者のSam Curry氏は1月3日、同氏のブログ「Web Hackers vs. The Auto Industry: Critical Vulnerabilities in Ferrari, BMW, Rolls Royce, Porsche, and More」において、主要な自動車メーカーが車両の制御や監視などの目的で使用しているWeb APIの脆弱性について調査した結果を公表した。 これによると、多くの自動車メーカーが脆弱なAPIを使用しており、悪用するとリモートからエンジンの始動や停止、ロックおよびロック解除、ライトの点滅、クラッションを鳴らすなどといった行為を行えることが判明したという。 Web Hackers vs. The Auto Industry: Critical Vulnerabilities in Ferrari, BMW, Rolls R
Exposure Notifications API service update | Google Play services | Google for Developers
Exposure Notifications API service update Stay organized with collections Save and categorize content based on your preferences. The Exposure Notifications API was a joint effort between Apple and Google to provide the core functionality for building Android apps to notify users of possible exposure to confirmed COVID-19 cases. For an overview of the goals of the system, see the COVID-19 informati
ローカルマシンで主要なAWSサービスやLambdaを基本無料で実行できる「LocalStack」公開
LocalStackチームは2022年7月13日(米国時間)、「Amazon Web Services」(AWS)向けアプリケーションをローカルで迅速で便利に開発、テストできるオープンソースプラットフォームの正式版「LocalStack 1.0」の一般提供を開始した。 LocalStackはPCやCI(継続的インテグレーション)環境上で1つのコンテナとして動作するクラウドサービスエミュレーターであり、コアエミュレーションプラットフォームが、エミュレートされたAWSのAPIを提供する。これにより、リモートにあるAWSに接続することなく、ローカルマシンで「Amazon S3」(Amazon Simple Storage Service)などのAWSサービスや「AWS Lambda」を完全に実行できる。 LocalStackの主なメリットは、CI/CD(継続的デリバリー)パイプラインを通じて開発
Stolen OAuth tokens used to download data from dozens of orgs, GitHub warns
FIN7 targeted a large U.S. carmaker with phishing attacks | Law enforcement operation dismantled phishing-as-a-service platform LabHost | Previously unknown Kapeka backdoor linked to Russian Sandworm APT | Cisco warns of a command injection escalation flaw in its IMC. PoC publicly available | Linux variant of Cerber ransomware targets Atlassian servers | Ivanti fixed two critical flaws in its Aval
“危ないAPI”のセキュリティ確保には「コミュニケーション」力が不可欠な理由
関連キーワード API | アプリケーション | セキュリティ | 脆弱性 | 脆弱性対策 | アプリケーション開発 API(アプリケーションプログラミングインタフェース)が標的となる攻撃に備えるためのセキュリティ対策は、どうすれば実現できるのか。専門家によると、APIのセキュリティを確保するには、さらなる努力と対策の優先順位付けが必要だ。 コミュニケーションは、API開発の全段階で重要になる。スムーズなコミュニケーションには、ある程度の成熟が欠かせない。「コミュニケーションが欠如している企業は多い」と、Akamai Technologiesでセキュリティ戦略部門の最高技術責任者(CTO)を務めるパトリック・サリバン氏は述べる。同社のレポート「The State of the Internet」は、「API開発にはさまざまな部門や人が関与する必要がある」と指摘する。具体的には開発部門、ネッ
FacebookやTwitterも被害に 「API攻撃」の危険性と注意点は?
関連キーワード API | アプリケーション | セキュリティ | 脆弱性 | 脆弱性対策 | アプリケーション開発 Akamai Technologiesでセキュリティ戦略部門の最高技術責任者(CTO)を務めるパトリック・サリバン氏は、API(アプリケーションプログラミングインタフェース)セキュリティの最大の課題は「認証プロセスの構成要素」にあるという。重要なデータへのAPIを使ったアクセスが増加するにつれ、その重要性は高まる。 最近ではAPIが重要なデータにアクセスすることが珍しくなくなった。企業はアジャイル型(小規模な変更を短期間で繰り返す手法)開発を実施する上で、頻繁にAPIを変更するようになった。こうした変化により、APIは攻撃者にとって魅力的な攻撃対象になってきた。「攻撃対象に関する知識を身に付けることがAPIセキュリティの第一歩だ」と、APIセキュリティベンダーSalt Se
「危ない『API』」はこうして生まれる
関連キーワード API | アプリケーション | セキュリティ | 脆弱性 | 脆弱性対策 | アプリケーション開発 アプリケーションやモノのインターネット(IoT)デバイスの裏側で、API(アプリケーションプログラミングインタフェース)がクラウドサービスとデータをやりとりすることは一般的になった。それに伴って、企業がAPI起因の攻撃を受けるリスクも高まっている。 APIセキュリティベンダーNoname Gate(Noname Securityの名称で事業展開)の最高情報セキュリティ責任者(CISO)カール・マトソン氏は、「クラウドサービスが使うAPIが多様化し、APIの利用機会が急増している」ことがセキュリティ面での最重要課題だと言う。「IT部門にとっても、セキュリティ部門にとっても、こうしたAPIの多様化や増加に付いていくのは極めて難しい」(マトソン氏) マトソン氏は「複雑に絡み合うA
大人気の「API」が抱える“危険”なセキュリティ問題とは?
関連キーワード API | アプリケーション | セキュリティ | 脆弱性 | 脆弱性対策 | アプリケーション開発 API(アプリケーションプログラミングインタフェース)の活用が急速に広がる中、企業にとってAPIのセキュリティ確保が課題となっている。GoogleはAPIに関するレポート「State of the API Economy 2021」で、同社のAPI管理ツール「Apigee」ユーザーによるAPI呼び出し回数の変化を紹介。新型コロナウイルス感染症(COVID-19)のパンデミック(世界的大流行)が深刻化する中、2020年のAPI呼び出し回数は、2019年から49%増加して2兆2100億回になった。 企業は今回のパンデミックに対処するため、テレワークを導入するとともにデジタルトランスフォーメーション(DX)に向けた取り組みを加速させた。同レポートが調査対象としたIT担当幹部およそ
【実録】攻撃者のお気に入り API 10選 | DevelopersIO
AWSアクセスキーセキュリティ意識向上委員会って何? 昨今、AWSのアクセスキーを漏洩させてしまうことが原因でアカウントへの侵入を受け、 多額の利用費発生・情報漏洩疑いなど重大なセキュリティ事案が発生するケースが実際に多々起きています。 そこで、アクセスキー運用に関する安全向上の取組みをブログでご紹介する企画をはじめました。 アクセスキーを利用する場合は利用する上でのリスクを正しく理解し、 セキュリティ対策を事前に適用した上で適切にご利用ください。 はじめに 弊社オペレーションチームでは、AWS よりお客様アカウントの侵害疑いの連絡を受けた際に、状況確認のため CloudTrail を調査しています。本記事では調査で気づいたことをいくつかお伝えできればと思います。 仮想通貨のマイニングを例とすると、攻撃者は自分たちの IAM ユーザーを作り、とにかく「ハイスペックなインスタンス」をとにかく
スマホアプリの“目立たぬ弱点” 分かっていても対策が難しいワケ
コンテンツデリバリーネットワーク(CDN)サービスを基盤に、各種のクラウド型セキュリティサービスを手掛けるアカマイ・テクノロジーズでWebセキュリティの動向を追う中西一博氏が、非常に発見が難しくなっているWeb攻撃の実態と手口を暴き、その対策について解説する。 以前の連載:迷惑bot事件簿 攻撃の約20%がAPIを標的に 普段利用するスマホアプリでも、購買や決済、パーソナライズなどの目的で、ID、パスワード認証を行うものは多い。そのログインを司るAPI認証・認可サーバには日々大量の不正なログイン試行がbot(自動実行プログラム)により行われている。世界中の主要なWebベースのコンテンツを配信している米Akamai Technologies(アカマイ)では、観測データからWebベースのサービスに対する不正なログイン試行総数の約20%が、APIサーバに対するものだと分析している。 SNSなどか
【セキュリティ ニュース】Kaspersky、一部脅威インテリジェンスをオープンに(1ページ目 / 全1ページ):Security NEXT
Kasperskyは、同社が収集、分析した脅威情報をもとに、ファイルやIPアドレス、URLなどを分析できるポータルサイトを公開した。同社と契約がない場合も利用できるという。 ファイル、ファイルのハッシュ値、IPアドレス、URLについて、脅威であるか確認し、登録状況や拡散状況などを同社データベースと照らし合わして調査できるポータルサイト「Kaspersky Threat Intelligence Portal」をオープンしたもの。 従来契約者向けに提供していた一部機能を公開。企業やマネージドサービスプロバイダのインシデント担当者、SOCアナリストなどが調査に活用できる。 同社が2019年に実施した調査では、脅威インテリジェンスを利用している回答者は36%にとどまっており、金額の高さが導入障壁となっていたことから、一部機能をオープンにしたという。 URLやハッシュ、IPアドレスについては、1日
家計簿アプリやモバイル決済が使えなくなる恐れ 5月までに銀行とIT企業のシステム接続が必要 - ITmedia NEWS
家計簿アプリやモバイル決済サービスを提供するフィンテック企業は、2020年5月までに銀行からAPIの提供を受けられるよう契約を結ぶ必要がある。9月末時点での契約率は4割にとどまっており、6月以降、一部のサービスが提供できなくなる恐れがある。 ITと金融が融合した「フィンテック」企業が提供する自動家計簿作成アプリや企業の会計支援といったサービスが2020年6月以降、一部使えなくなる恐れが出てきた。法律により、フィンテック企業は銀行のシステムに接続を認める「オープンAPI」の契約を2020年5月までに結べなければ、これまでのサービスが継続できなくなる。この契約の可否がフィンテック企業の死活問題に直結するが、現状で契約を結んだ銀行はわずか4割にとどまっている。 自動家計簿アプリを展開するマネーフォワードやスマートフォン決済を手掛けるペイペイなどに代表されるフィンテック企業は、顧客から銀行のパスワ
Microsoft Graph を使ってみよう : 目次 - Qiita
先日 de:code 2018 で Microsoft Graph について話してきました。 折角なのでブログでもしばらく Microsoft Graph について書いていきます。 はじめに Microsoft Graph : 概要 Graph エクスプローラー 認証について Azure AD における認証概要 Azure AD v1 エンドポイント Azure AD v1 エンドポイントのユーザー委任を ADAL で行う Azure AD v1 エンドポイントでデバイスのプロファイル認証を ADAL で行う Azure AD v1 エンドポイントのアプリケーション認証を ADAL で行う Azure AD v1 エンドポイントでの認証を Web アプリケーション (MVC) と ADAL で行う Azure AD v1 エンドポイントでの認証を Web API と ADAL で行う Az
およそ8000種のAPIをブラウザ上でテスト実行可能な「Rakuten RapidAPI」を使ってみた! - paiza times
どうも、まさとらん(@0310lan)です! 今回は、膨大な量のAPIを横断検索できてそのままブラウザ上でテスト実行も可能なWebサービスのご紹介です。 元々はRapidAPIが提供していたサービスを楽天がパートナー契約を結んだことで、日本語でも利用できるようになりました。2018年末にはバージョン2.0となり改良も進んでいます。 APIの開発者やWeb開発に興味のある方は、ぜひ参考にしてみてください! 【 Rakuten RapidAPI 】 ■「Rakuten RapdAPI」の使い方 それでは、実際に使いながらどのようなサービスなのかを見ていきましょう! 最初に、トップ画面から【新規登録】ボタンをクリックしてユーザー登録を済ませておきます。 メールアドレス・パスワードなどを設定すればすぐに登録できます。 (※GitHubやGoogleアカウントでも登録可能です) 登録が完了したら、す
AWS、言語やプロトコルに依存しないインターフェイス定義言語(IDL)「Smithy」をオープンソースで公開
AWS、言語やプロトコルに依存しないインターフェイス定義言語(IDL)「Smithy」をオープンソースで公開 クラウド時代のアプリケーションは、複数のソフトウェアがAPIを通じて連携するアーキテクチャが主流になると考えられています。そのため、さまざまなソフトウェアにおいて正確かつ確実にAPIを実装することの重要性が高まっています。 AWSは、このAPIを定義する言語、およびその定義からAPIを実装するコードを生成するツールからなる「Smithy」ベータ版をオープンソースとして公開しました。 SmithyのWebサイトから、その説明を引用しましょう。 Smithy is a protocol-agnostic interface definition language and set of tools for building clients, servers, and documentat
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
REST API設計のパターンと原則|Sachiko Kijima
URL and website scanner - urlscan.io
TechCrunch | Startup and Technology News