【ITニュース解説】Troubleshooting Broken Function Level Authorization

APIのセキュリティにおける脆弱性の一つ、機能レベル認可の不備（BFLA）は、APIが適切なアクセス許可のチェックを怠ることで発生する。これにより、本来アクセス権限のないユーザーが制限された機能を実行できてしまう。OWASP API Security Top 10の2023年版では、BFLAは5番目にランク付けされており、Uber、Instagram、GitHubなどの企業で実際に情報漏洩を引き起こしている。

BFLAは、APIの個々のオブジェクトではなく、API機能全体を対象とする。例えば、訪問者用のIDカードを持つ人が、CEOのオフィスに侵入して機密ファイルにアクセスできるような状態を想像すると分かりやすい。

BFLAを特定するには、APIの異常な動作に注意する必要がある。例えば、ユーザーが自分に割り当てられた役割や権限レベルを超えて、管理者のエンドポイントや機能にアクセスできる場合などが該当する。攻撃者は、クライアント側のコードをリバースエンジニアリングしたり、アプリケーションのトラフィックを傍受したりして、これらの脆弱性を発見することが多い。

実際の攻撃例として、招待ハイジャック攻撃がある。この攻撃では、攻撃者が招待の詳細を取得するためのAPIコールを悪用し、管理者のみが使用できるエンドポイントに変更して、自分自身に管理者権限を付与する招待状を送信する。

BFLAが発生する原因は、主に役割権限の設定ミス、クライアント側のコントロールへの過信、APIゲートウェイの設定ミスなどがある。役割ベースのアクセス制御（RBAC）の設定ミスは、ユーザーが必要以上のアクセス権を持つ状態を生み出す。また、クライアント側のコントロールは簡単にバイパスできるため、アクセス制御の決定は常にサーバー側で行う必要がある。APIゲートウェイの設定ミスも、認証の欠如や過剰なアクセス許可などにより、攻撃者が不正なアクセスを試みる隙を与える。

BFLAの脆弱性を修正するには、PostmanやOWASP ZAPなどのツールを使用してAPIをテストし、サーバー側の認可を強制し、最小特権アクセスを適用する必要がある。Postmanは手動テストに役立ち、OWASP ZAPは自動テストを支援する。JWT（JSON Web Token）の分析も重要であり、トークンに含まれるクレームがユーザーの役割と権限を正確に反映しているかを確認する必要がある。サーバーログを監視して、異常なアクティビティを検出することも有効だ。

OpenAPI仕様は、関数レベルで認可ルールを定義および適用するための強力な方法を提供する。APIドキュメントにセキュリティを直接組み込むことで、開発者とセキュリティツールが信頼できる唯一の情報源を作成できる。

アクセス制御モデルを選択する際には、RBACと属性ベースのアクセス制御（ABAC）のどちらかを選択する必要がある。RBACは設定が簡単で、明確な階層を持つ中小規模の組織に適している。ABACは、より細かい制御を提供し、大規模な組織に適している。

認可テストをCI/CDパイプラインに統合することで、本番環境に到達する前に脆弱性を検出できる。NewmanやOWASP ZAPなどのツールを使用して、さまざまなユーザー役割とシナリオで認可ルールが意図したとおりに機能することを確認する。

長期的なAPIセキュリティを構築するには、最小特権アクセスの原則を適用し、GitOpsを使用してポリシーを管理し、定期的なアクセス許可レビューを実施する必要がある。これらの対策を組み合わせることで、BFLAなどの脅威に対する防御を強化できる。

BFLAは検出が難しく、悪用が容易であるため、特に危険な脆弱性だ。APIアーキテクチャのすべてのレイヤーに堅牢な認可チェックを組み込み、サーバー側の認可コントロールを維持し、APIアクセスに対するゼロトラストアプローチを採用することで、現在および将来の脅威に対応できるシステムを構築できる。