悪性なBotはECサイト全体に被害をもたらす
セッションの冒頭、浅見氏はBotの概要と悪性なBotにはどのようなものがあるのか紹介した。
Botとは、さまざまな作業を自動化するプログラムの総称を指し、良性・悪性のものが存在する。たとえば、検索エンジンのためにWebサイトをインデックス化して、最新の情報が最上位に来るようにするプログラムなど、利便性向上に不可欠なものは「良性Bot」と呼ばれる。
一方、「悪性Bot」はビジネスやセキュリティに脅威をもたらす。クレジットカードの不正利用、Webサイトの定期巡回、買い占め行為、不正ログインなどに使われる。ECサイトの脅威となるのが、この悪性Botだ。
ECサイトでは、カスタマージャーニーのさまざまな段階でBotの攻撃・被害が見られる。たとえば、偽アカウントの大量作成。大量の偽アカウントが、初回ログイン特典の悪用などに使われる。不正に入手したIDとパスワードでログインされる、アカウント乗っ取り被害も多い。
また、Webサイトから情報を抽出する「スクレイピング」を使った攻撃では、価格情報や個人情報が抜き取られる。人気商品などの買い占め被害や、クレジットカードの不正利用などもある。
浅見氏は「このように、ECサイト全体を通して悪性Botの被害が発生する可能性があるのです」と話す。
「ロボットではありません」も通用しなくなる時代に?
また、Botの技術レベルは3段階存在する。最も技術レベルが低いものはブラウザ機能を持たないBotで、JavaScriptやCookieをチェックすることで検出できる。中程度になると、描画以外はブラウザとほぼ同等の機能を持つが、Device Fingerprint(端末における固有の情報)の確認によって検出できる。
それらをかいくぐる、ブラウザとほぼ同等の機能を持つ高度なBotは、人間かどうかを判断するCAPTCHA認証を課すことで検出が可能になる。
しかし、最近はBotがさらに高度化しており、それらの検出技術を突破してしまうケースもある。生成AI技術を利用してCAPTCHA認証を突破するBotは、「Botではありません」というチェックマークを自動で押したり、画像を自動で認識してクリックしたりするという。
2024年は、インターネットトラフィック全体において、過去10年で初めてBotアクセスが人間によるアクセスを上回った。その中でも、悪性Botの通信は全体の37%を占め、過去最高を更新している。
その背景には、やはり生成AI技術の拡大がある。
「生成AIで作成できるシンプルなBotが増加しており、誰でもBotを作成できる状態になっているといえます。さらに、高度なBotは、生成AI技術を駆使してより高度化しているのです」(浅見氏)
.jpg)
