API成為網路犯罪首要攻擊目標：2025年上半年發生超過40,000起API事件

Thales 最新《2025 上半年 API 威脅報告》揭示，API 已成為網路犯罪的首要攻擊面，上半年超過 40,000 起事件，金融業更遭遇史上最大規模應用層 DDoS，每秒高達 1,500 萬次請求，凸顯 API 安全風險急遽升高。

Thales 公布 2025 年上半年最新 API 威脅報告，警告 API (這些支撐應用程式、支付與登入的幕後連接器) ，已成為網路犯罪分子的首要攻擊目標。

在超過 4,000 個受監測的環境中，Thales 僅在 2025 年上半年已監控記錄超過 40,000 起 API 事件。儘管 API 只佔整體攻擊面 14%，卻吸引 44% 的進階機器人流量，顯示攻擊者正將最複雜的自動化攻擊重點，集中於支撐關鍵業務營運的工作流程上。

本文目錄

報告中最引人注目的發現之一，是針對某金融服務的 API ，發動史上最大規模應用層 DDoS 攻擊，高達每秒 1,500 萬次請求（RPS）。

不同於傳統攻擊目標是癱瘓網路頻寬的流量型 DDoS 攻擊，這次攻擊專門鎖定應用層，直接利用 API 消耗資源並中斷營運。 2025 年上半年，所有以 API 為目標的 DDoS 攻擊流量中，有 27% 針對金融服務業，這反映出該產業嚴重依賴 API 進行即時交易，例如餘額查詢、轉帳和支付授權。

這起事件顯示攻擊者已開始將大規模與隱蔽性相結合：利用龐大的殭屍網路與無標頭瀏覽器，模擬合法 API 請求，使防禦者更難區分惡意流量與真實用戶。

2025 年上半年 API 安全事件超過 40,000 起，平均每日超過 220 起；若此趨勢持續，全年數量將突破 80,000 起。
以目標端點劃分的攻擊分佈：37% 為資料存取 API，32% 為結帳/支付，16% 為身分驗證，5% 為禮品卡/促銷驗證，以及 3% 為影子端點或設定錯誤的端點。
未部署自適應 MFA 的 API，帳號填充（credential stuffing）與帳號接管攻擊嘗試次數上升 40% 。
資料擷取（data scraping）佔 API 機器人活動的 31%，經常鎖定高價值資訊，如電子郵件地址與支付細節。
優惠券和支付詐欺佔攻擊的 26%，利用促銷循環和薄弱的結帳驗證機制做攻擊。
遠端程式碼執行（RCE）探測佔 13%，主要針對 Log4j 、 Oracle WebLogic 與 Joomla 等高風險 CVE 。
以產業別來看，金融服務業（27%）居冠，其次是電信和網路服務供應商（10%）、旅遊（14%）以及娛樂和藝術（13%）。
影子 PI（Shadow APIs）依然是重大盲點：企業通常實際使用的 API 比預期多出 10–20% 。

Thales 應用安全產品副總裁 Tim Chang 表示:「API 是數位經濟的連結樞紐，但同時也成為最具吸引力的攻擊面，我們所看到的，不僅是攻擊規模的擴大，更是網路犯罪手法的根本轉變：他們不需要植入惡意程式碼，只要竄改你的業務邏輯即可。這些請求表面上看似合法，但影響可能極具破壞性。」

Tim 接著指出，未來六個月，API 攻擊的數量與複雜度只會持續升高。採取行動刻不容緩，錯過了昨天，行動的最佳時機就是現在。企業必須全面掌握所有正在運行的端點，理解其業務價值，並以具備情境感知與自適應能力的防禦措施加以保護，才能真正保障營收、信任與合規。」

Thales 2025 年上半年 API 威脅報告是基於 Imperva 全球 4,000 多個客戶環境中的真實攻擊遙測資料。資料收集於 2025 年 1 月至 7 月期間，內容包括：

Thales 威脅研究團隊採用行為分析、機器學習與鑑識分析，對攻擊進行分類、映射至目標端點，並辨識跨產業的攻擊趨勢。雖然資料集主要反映 Imperva 的客戶基礎，但仍提供了一個強而有力且具代表性的觀察發現，顯示 API 如何在全球範圍內被武器化。

API 成為網路犯罪首要攻擊目標：2025 年上半年發生超過 40,000 起 API 事件