損しないために知っておくべき、AI時代のBotの標的とは
その結果、これまでWebページが中心だった攻撃の対象は、API(Application Programming Interface)へと変化している。
APIは、データやサービスを提供する側と、それを利用する側の間でやりとりするためのインターフェースを指す。ECサイトであれば、決済関連のAPI、配送処理を行うAPI、在庫管理を行うAPIなど、さまざまな機能を組み合わせてアプリケーションが作られている。
そのAPIがなぜ狙われているのか。まず、APIが高収益なターゲットになり得るからだ。Webサーバやスマホアプリなどのプログラムによるアクセスが想定されているため、重要なリソースや売り上げにつながる機能のバックエンドに直接アクセスが可能な場合がある。
また、APIはビジネスロジックを考慮せずに汎用的なルールセットを使用して開発されるため、APIに脆弱性が生まれ、それが悪用されることがある。実際に、APIに対する攻撃はビジネスロジックを標的としたものが約3割を占める。さらに、APIは大量のアクセスを処理することが前提であるため、悪意のあるBotを判別してブロックすることが難しいという。
2024年は、高度なBotアクセスのうち、Webページを標的としたものが10%だったのに対し、APIを標的としたものは41%に上った。1組織で利用されているAPIの数も非常に多くなっており、その中には、管理や把握がされていない「シャドウAPI」もある。APIは開発スピードが速く、頻繁に更新、変更されるため、シャドウAPIが発生するリスクは大きい。
個人情報漏洩、アカウント乗っ取りなど様々なトラブルが発生
2017年に発生した、ある企業の個人情報漏洩事件では、APIが標的になった。その企業のAPIは、任意の電話番号を入力すると、それにひもづく顧客情報を取得できてしまう仕様があり、それを悪用されたのだ。ユーザーが取得できる情報の認可に不備があった。
「攻撃通信によるものではなく、APIの仕様を悪用されました。そのため、従来のWAF(Web Application Firewall)では対応が難しい事例です」(浅見氏)
実際のBotによる攻撃はどのようなものなのか。浅見氏は、アカウント乗っ取り攻撃を例に解説した。
アカウント乗っ取り攻撃は急増している攻撃手法で、2024年は前年比で約40%増加。特に、ブラックフライデーやサイバーマンデーなど、主要なショッピングイベントのタイミングで攻撃が急増するという。なぜなら、ECサイトなどのトラフィックの増加が見込まれ、アクセス制限が緩和されることから、正常なアクセスに紛れ込ませて攻撃しやすいからだ。
また、攻撃の巧妙化も進んでいる。セキュリティルールを回避するためにログイン回数を分散させ、生成AIを利用した高度なBotでCAPTCHA認証を突破し、アカウントを乗っ取るケースもあった。
さらに、ECサイトだけが攻撃の対象になっているわけではない。製品のサプライヤーや金融サービス事業者、物流事業者など、サプライチェーン全体がBot攻撃の標的になっている。
.jpg)
