Cloudflare社は、WebおよびAPI Vulnerability Scannerのオープンベータ版を発表した。 このDynamic Application Security Testing(DAST)ツールは、API Shieldプラットフォームの一部である。 最初のリリースは、OWASP API Top 10で第1位に位置付けられているBroken Object Level Authorization(BOLA)のみに焦点を当てている。今後のアップデートでは、SQL injectionやcross-site scriptingを含む、より広範なOWASP Web Top 10を対象に拡大する予定である。
今日におけるもっとも危険なAPIの脆弱性は、WAFが容易に検知できる基本的なinjection攻撃や不正に形成されたリクエストだけではない。 それらは論理的欠陥である。すなわち、プロトコルおよびアプリケーションの仕様を満たしている完全に有効なHTTPリクエストでありながら、ビジネスロジックに反するものである。 どれほど適切に設定されたWAFであっても、認証されたユーザーがパスパラメータ内の別のユーザーのリソースIDを単に変更した場合、そのリクエストを検知できない。 そのリクエストは、構造および意味の両面で正しい。問題は専らサーバー側の認可ロジックにある。
昨年、Cloudflare社はAPI Shield向けにBOLA脆弱性検知機能を開始した。 このツールは、顧客トラフィックを受動的にスキャンし、異常なパターンを検出することにより、脆弱性を自動的に特定するものである。 受動的検知は、トラフィック量が十分であり、かつ攻撃パターンが可視化されている場合には有効に機能する。 しかし、開発環境はテストを必要とする一方でユーザートラフィックが不足している場合があり、本番環境は攻撃トラフィックが不足しているものの、分析を必要とする場合がある。これらのケースは、プレプロダクションにおけるセキュリティワークフローの大半を占めるものであり、チームは独自の合成テストトラフィックを作成する必要がある。 それがDASTツールの目的である。
従来型のDASTツールの問題は、導入の障壁が高い点にある。 それらは設定が困難である場合が多く、SwaggerやOpenAPIファイルの手動アップロードを必要とすることが多い。 また、最新のログインフローへの対応に苦慮し、APIに特化したセキュリティテストが不足していることが多い。
Cloudflare社は、認可上の脆弱性を発見するには、APIを単純なエンドポイントの一覧としてではなく、コールグラフとして捉える方法がもっとも有効と考えている。 BOLA脆弱性を発見するためには、まずサーバー側にリソースが存在していなければならない。 所有者は最初に、genesis POSTと呼ばれる作成リクエストを行う必要がある。 その後で初めて、攻撃者は自らの有効な認証情報を用いて当該リソースにアクセスする、または変更を試みることが可能となる。 多くの従来型スキャナーは各リクエストを個別に処理する。 このため、この種の依存関係の連鎖を再現することは困難である。
/filters:no_upscale()/news/2026/03/cloudflare-api-vulnerability/en/resources/1BLOG-3161_3-1774879179238.jpg)
スキャナーは、このあいまいな問題領域に対処するために、Cloudflare社独自のWorkers AIプラットフォームを使用。 OpenAIのオープンウェイトモデルgpt-oss-120bのようなモデルは、データの依存関係を信頼性高く照合できる。また、必要に応じて現実的な疑似データを生成でき、OpenAPI仕様の不足部分を効果的に補完。モデルからの構造化出力は、自然言語による推論と機械実行可能なスキャン命令を結び付ける。
スキャナーのコントロールプレーンは、スキャンのオーケストレーションのためにTemporalを使用。 Cloudflare社の他の内部サービスも、すでにこれに依存していて、バックエンド全体はRustで構築している。Cloudflare社は、認証情報の処理にHashiCorpのVault Transit Secret Engineを使用。このサービスはencryption-as-a-serviceを提供するのであり、認可のテストにおいて重要だ。認証情報は提出直後に暗号化されるが公開APIレイヤーはそれらを復号できない。 復号は、テスト計画が顧客のインフラストラクチャへのアクセスを要求する最終段階でのみ行われる。
スキャナーは現在、Cloudflare社のAPI Shield顧客向けにオープンベータとして利用可能である。結果は、既存のポスチャーの検出結果と並んで、Cloudflare社のSecurity Insightsダッシュボードに表示される。チームは、Cloudflare社のAPIを使用してスキャンをトリガーし、設定を管理し、結果を取得できる。これにより、CI/CDパイプラインまたはセキュリティダッシュボードへの直接的な統合が可能となる。Cloudflare社は、新しいウェブアプリケーション脆弱性スキャン層に関するウェイトリストを公開した。これは、SQLiやXSSのような一般的な脅威に対応するものである。
Cloudflare社は、競争が激しく断片化しているAPI DAST分野に参入した。比較は示唆的である。APIセキュリティにおける主要なプレーヤーであるSalt Security社は、主にパッシブな手法を使用している。同社は、トラフィック分析を通じてBOLA攻撃を検出する。Salt Security社によると、BOLA攻撃を捕捉するには、数日または数週間にわたるAPIの挙動の監視が必要である。これは、数兆件のAPIコールにわたる長時間の分析ウィンドウを伴う。この手法は安定した環境では有効に機能するが、開発パイプラインを盲目的な状態に置くものである。