タレスDISジャパンは、「2025年上半期 API脅威レポート」を発表し、アプリや決済などを支えるAPI(Application Programming Interface)がサイバー攻撃の主要な標的になっていると警鐘を鳴らしました。世界で監視された4,000超の環境において、2025年上半期だけで4万件以上のAPIインシデントが確認されています。APIは全攻撃対象面の14%に過ぎませんが、高度なボットトラフィックの44%がAPIに集中しており、最も洗練された自動化攻撃を受けていることが明らかになっています。
特に注目すべきは、毎秒1,500万リクエストという記録的な規模で金融サービスのAPIを狙ったアプリケーション層DDoS攻撃の発生です。この種の攻撃は、ネットワーク帯域を飽和させるのではなく、APIのビジネスロジックを悪用してリソースを枯渇させ、業務を妨害します。APIを標的とするDDoSトラフィックの27%が金融サービスを攻撃しており、金融、旅行、エンタメ・アート、通信・ISPなどの業界が高いリスクに晒されています。
攻撃者は、巨大なボットネットやヘッドレスブラウザを駆使し、正規のAPIリクエストを装うことで、悪意あるトラフィックと本物の利用者の区別を困難にしています。レポートは、この傾向が続けば年間で8万件を超えるAPIインシデントが発生すると予測しており、企業に対し、すべての稼働中エンドポイントを特定し、適応型防御で保護する必要があると強く訴えています。
・2025年上半期だけで4万件超のAPIインシデントが記録され、APIがサイバー攻撃の主要な標的となっています。
・高度なボットトラフィックの44%がAPIに集中しています。
・金融サービスAPIを狙った過去最大規模のアプリケーション層DDoS攻撃が観測されました。
・業種別では、金融サービス(26%)、旅行(14%)、エンタメ・アート(13%)が高リスクです。
・シャドウAPI(組織が把握していないAPI)が依然として深刻な盲点となっています