悪性なBotはECサイト全体に被害をもたらす
セッションの冒頭、浅見氏はBotの概要と悪性なBotにはどのようなものがあるのか紹介した。
Botとは、さまざまな作業を自動化するプログラムの総称を指し、良性・悪性のものが存在する。たとえば、検索エンジンのためにWebサイトをインデックス化して、最新の情報が最上位に来るようにするプログラムなど、利便性向上に不可欠なものは「良性Bot」と呼ばれる。
一方、「悪性Bot」はビジネスやセキュリティに脅威をもたらす。クレジットカードの不正利用、Webサイトの定期巡回、買い占め行為、不正ログインなどに使われる。ECサイトの脅威となるのが、この悪性Botだ。
ECサイトでは、カスタマージャーニーのさまざまな段階でBotの攻撃・被害が見られる。たとえば、偽アカウントの大量作成。大量の偽アカウントが、初回ログイン特典の悪用などに使われる。不正に入手したIDとパスワードでログインされる、アカウント乗っ取り被害も多い。
また、Webサイトから情報を抽出する「スクレイピング」を使った攻撃では、価格情報や個人情報が抜き取られる。人気商品などの買い占め被害や、クレジットカードの不正利用などもある。
浅見氏は「このように、ECサイト全体を通して悪性Botの被害が発生する可能性があるのです」と話す。
「ロボットではありません」も通用しなくなる時代に?
また、Botの技術レベルは3段階存在する。最も技術レベルが低いものはブラウザ機能を持たないBotで、JavaScriptやCookieをチェックすることで検出できる。中程度になると、描画以外はブラウザとほぼ同等の機能を持つが、Device Fingerprint(端末における固有の情報)の確認によって検出できる。
それらをかいくぐる、ブラウザとほぼ同等の機能を持つ高度なBotは、人間かどうかを判断するCAPTCHA認証を課すことで検出が可能になる。
しかし、最近はBotがさらに高度化しており、それらの検出技術を突破してしまうケースもある。生成AI技術を利用してCAPTCHA認証を突破するBotは、「Botではありません」というチェックマークを自動で押したり、画像を自動で認識してクリックしたりするという。
2024年は、インターネットトラフィック全体において、過去10年で初めてBotアクセスが人間によるアクセスを上回った。その中でも、悪性Botの通信は全体の37%を占め、過去最高を更新している。
その背景には、やはり生成AI技術の拡大がある。
「生成AIで作成できるシンプルなBotが増加しており、誰でもBotを作成できる状態になっているといえます。さらに、高度なBotは、生成AI技術を駆使してより高度化しているのです」(浅見氏)
損しないために知っておくべき、AI時代のBotの標的とは
その結果、これまでWebページが中心だった攻撃の対象は、API(Application Programming Interface)へと変化している。
APIは、データやサービスを提供する側と、それを利用する側の間でやりとりするためのインターフェースを指す。ECサイトであれば、決済関連のAPI、配送処理を行うAPI、在庫管理を行うAPIなど、さまざまな機能を組み合わせてアプリケーションが作られている。
そのAPIがなぜ狙われているのか。まず、APIが高収益なターゲットになり得るからだ。Webサーバやスマホアプリなどのプログラムによるアクセスが想定されているため、重要なリソースや売り上げにつながる機能のバックエンドに直接アクセスが可能な場合がある。
また、APIはビジネスロジックを考慮せずに汎用的なルールセットを使用して開発されるため、APIに脆弱性が生まれ、それが悪用されることがある。実際に、APIに対する攻撃はビジネスロジックを標的としたものが約3割を占める。さらに、APIは大量のアクセスを処理することが前提であるため、悪意のあるBotを判別してブロックすることが難しいという。
2024年は、高度なBotアクセスのうち、Webページを標的としたものが10%だったのに対し、APIを標的としたものは41%に上った。1組織で利用されているAPIの数も非常に多くなっており、その中には、管理や把握がされていない「シャドウAPI」もある。APIは開発スピードが速く、頻繁に更新、変更されるため、シャドウAPIが発生するリスクは大きい。
個人情報漏洩、アカウント乗っ取りなど様々なトラブルが発生
2017年に発生した、ある企業の個人情報漏洩事件では、APIが標的になった。その企業のAPIは、任意の電話番号を入力すると、それにひもづく顧客情報を取得できてしまう仕様があり、それを悪用されたのだ。ユーザーが取得できる情報の認可に不備があった。
「攻撃通信によるものではなく、APIの仕様を悪用されました。そのため、従来のWAF(Web Application Firewall)では対応が難しい事例です」(浅見氏)
実際のBotによる攻撃はどのようなものなのか。浅見氏は、アカウント乗っ取り攻撃を例に解説した。
アカウント乗っ取り攻撃は急増している攻撃手法で、2024年は前年比で約40%増加。特に、ブラックフライデーやサイバーマンデーなど、主要なショッピングイベントのタイミングで攻撃が急増するという。なぜなら、ECサイトなどのトラフィックの増加が見込まれ、アクセス制限が緩和されることから、正常なアクセスに紛れ込ませて攻撃しやすいからだ。
また、攻撃の巧妙化も進んでいる。セキュリティルールを回避するためにログイン回数を分散させ、生成AIを利用した高度なBotでCAPTCHA認証を突破し、アカウントを乗っ取るケースもあった。
さらに、ECサイトだけが攻撃の対象になっているわけではない。製品のサプライヤーや金融サービス事業者、物流事業者など、サプライチェーン全体がBot攻撃の標的になっている。
セブン&アイグループも導入!Bot被害からブランドと売り上げを守る対策とは
被害を防ぐために、どのように対策すればいいのか。マクニカでは、米Thales-Imperva社のソリューションをクライアントに提供している。同社の製品は、EC事業者や大手銀行、生命保険会社などへの導入実績がある。たとえば、セブン&アイグループのシステム会社、セブン&アイ・ネットメディアでは、人気商品の買い占め対策などに活用しているという。
Bot対策のベースとなるのが「Imperva CloudWAF」というソリューションだ。トラフィックをImperva CloudWAF経由にすることで、不正なBotによるアクセスをブロックし、正規のアクセスのみを保護対象サーバへ届ける。
「専門チームが監視することで、最新の脆弱性にも対応し、高い精度で防御できます。また、運用負荷が低いことも特長です。過去3年間の実績では、誤検知率が低く、チューニング作業なども発生していません」(浅見氏)
代表的な攻撃手法をカバーしているほか、あらゆるプラットフォームに対応。浅見氏は「ボタン一つで制御できるため、非常に手離れがいいです。セキュリティの知見がなくても、安心して利用できます」と話す。
加えて、CAPTCHA認証を突破するような高度なBotに対処する機能「Advanced Bot Protection」も備わっている。IPアドレスやCookieなどの情報を組み合わせて、独自のデータベースと照合することで、高度化するBotを正確に識別するという。
この機能を利用することで、Botアクセスの可視化が可能になる。どのWebページに対してBotアクセスが集中しているのか、またカスタマージャーニーのどの段階でBotに狙われていたのかを把握できる。その情報に合わせてポリシーを設定することで、悪性Botからの保護が可能になる。
アカウント乗っ取り攻撃に特化したソリューション「Account Takeover Protection」もある。ダークウェブなどで取引されたIDやパスワードによるログイン試行を検知してブロックする。ログイン試行回数を制限するルールをかいくぐるスローレート攻撃や、アクセスのたびにIPアドレスの組み合わせを変えるIP分散型攻撃への対応が可能になる。
APIへのBot対策にも対応
浅見氏は、APIに特化した対策についても紹介した。API対策のソリューション「API Security + CloudWAF」では、APIのエンドポイントを自動的に学習して、データを分類し、その結果からエンドポイントのリストを作成。どのAPIに脆弱性があるのか、どういった情報を扱っているのかを一元的に把握し、その情報をもとにリスク評価をしたり、不正なAPIリクエストを遮断したりできる。
まとめとして浅見氏は、ECサイトのブランドと売り上げを守るためのポイントを2つ挙げた。「Bot対策」と「API対策」だ。
「Botアクセスは増加、高度化しているため、その対策に特化したソリューションが求められています。また、Botの標的としてAPIが狙われる傾向が強くなっており、APIのビジネスロジックを狙った攻撃が大きな脅威です。したがって、標的となるAPIを可視化し、適切なBot対策を実行することが不可欠です。このような対策によって、EC利用者が安心して買い物をできるようにすることが重要です」(浅見氏)
