ブログ

グローバル プライバシー アセンブリがスクレイピングのプライバシー リスクについて警告

ジム・ダウニー サムネイル
ジム・ダウニー
2023年9月13日公開

昨年、130を超えるデータ保護およびプライバシー規制当局と執行機関の団体であるグローバルプライバシーアセンブリ(GPA)は、ボットによるクレデンシャルスタッフィングがデータプライバシーに対する世界的なリスクをもたらし、組織はそれを防ぐために合理的な対策を講じる義務があると警告しました。 現在、GPAの国際執行協力作業部会(IEWG)は共同声明を発表し、ソーシャルメディア企業やその他のウェブサイトは違法なデータスクレイピングから個人の個人情報を保護する責任があると警告している。

データスクレイピングとは何ですか?

データ スクレイピングは、 Web およびモバイル アプリケーションからデータを自動的に抽出することです。 スクレーパーは、競争上の優位性を獲得することから価格比較のためのデータの集約まで、さまざまな理由でデータを抽出します。 組織は、競合他社が価格や在庫データにアクセスできないようにするため、またはスクレイピング トラフィックの量がアプリのパフォーマンスに影響を与えるため、スクレイピングを防止しようとすることがよくあります。 多くの場合、スクレイピング トラフィックは全体のトラフィックの 95% 以上を占め、アプリケーションの速度が低下したり、クラッシュしたりする可能性があります。

データスクレイピングはどのようにしてデータのプライバシーを危険にさらすのでしょうか?

プライバシー規制は、個人のデータプライバシー権を保護し、誰がどのような目的でどのくらいの期間自分のデータを使用できるかを個人が決定できるようにすることを目的としています。 ユーザーがソーシャル メディアでデータを共有する場合、アプリのプライバシー設定とポリシーに定められた特定のグループの人々にそのデータが表示されることを意図しています。 このデータが本人の知らないうちにスクレイピングされると、スクレイパーが本来の目的とは異なる方法で使用する可能性があるため、個人は個人情報を制御できなくなります。

データスクレイピングは、個人が個人データの削除または修正を要求する権利も侵害します。 データがスクレイピングされると、作成者がソーシャルメディアサイトからデータを削除したとしても、スクレイパーはそのデータを引き続き使用し、共有します。

GPA の共同声明によると、個人データに対する制御の喪失により、個人はさまざまな形で危険にさらされることになります。 犯罪者はこのデータをソーシャルエンジニアリング、標的型フィッシング、個人情報詐欺に使用する可能性があります。 このデータにより、犯罪者は認証システムを回避する目的で個人のプロファイリングを行えるようになる可能性がある。 また、良心のないマーケティング担当者が、そのデータをダイレクトマーケティングやスパムに使用する可能性もあります。

これは組織にとってコンプライアンス上のリスクとなるでしょうか?

GPA の共同声明によると、個人情報は、インターネット上で公開されている場合でも、データ保護法の対象となります。 これは、個人情報の大量データスクレイピングが、多くの管轄区域で報告義務のあるデータ侵害に該当する可能性があることを意味します。

共同声明では、多くの法域で法的要件として義務付けられており、「裁判所やデータ保護当局によってそのように解釈される可能性がある」データスクレイピングを防止するための措置を推奨している。

GPA は何を推奨しますか?

データスクレイピングのプライバシーリスクを軽減するために、GPA では、制御を実施し、その有効性を監視するための指定チームの作成から始まる、多層的な技術的および手続き的制御を推奨しています。 その他の制御には、ユーザーのレート制限、ソーシャル ネットワーク内での急速なリンクの監視、データ スクレイパーに対する法的措置によるデータの削除の確保、データ侵害を構成するスクレイピング活動に関する個人および規制当局への通知などが含まれます。

GPA は、多層制御の構成要素として、データをスクレイピングするボットを軽減することも推奨しています。 共同声明では、CAPTCHA と IP レート制限について具体的に言及されています。 効果的な多層保護を求める組織は、シグナル収集と AI を使用して CAPTCHA と IP レート制限を回避する高度なボットを軽減するボット管理ソリューションを検討する必要があります。

この脅威がさらに懸念されるようになったのは、何が変わったからでしょうか?

フィッシングの最近の動向を踏まえてデータスクレイピングを考慮すると、個人のプライバシーに対する脅威はさらに憂慮すべきものになります。 PhaaS (Phishing-as-a-Service) ベンダーは、電子メール テンプレート、本物のように見えるように設計された偽の Web サイト、潜在的なターゲットの連絡先の詳細、詳細な操作手順、カスタマー サポートなど、フィッシング攻撃を開始するための完全なツールセットを提供します。これにより、スキルの低い攻撃者でもフィッシングをより効果的に行うことができます。 さらに、フィッシングは、ユーザーを騙して攻撃者が管理するアプリにワンタイム パスワードを送信させるリアルタイム フィッシング プロキシを通じてMFA を回避する主な手段となっています。 (フィッシングが MFA を無効にしている仕組みについては、F5 Labs のレポートをご覧ください。)

大規模な言語モデルの適用により、フィッシングがさらに効果的になることが予想されます。 WormGPT や FraudGPTなど、ダークウェブで販売されている新しい攻撃ツールに関する報告は、犯罪者がフィッシングなどの悪質な目的で生成 AI を採用し始めていることを示しています。 これらのツールは、複数のアプリから収集した個人データを取り込んで効果的でパーソナライズされたフィッシング メッセージを作成することで、ほぼ確実にメリットを得るでしょう。これは、スピア フィッシングの自動化につながる可能性があります。

なぜ気にする必要があるのか?

データスクレイピングや、クレデンシャルスタッフィングなどの悪意のある自動化の使用により、データが犯罪者に公開される恐れがあります。 これらの犯罪者はそのデータを集約し、ソーシャル エンジニアリング スキームやフィッシング攻撃で私たちに対して使用する可能性があり、その攻撃は金融詐欺やその他の損害につながります。 GPA は、これらの警告を発し、ボットによる個人データの収集を許可することによる有害な結果を組織に認識させることで、重要な公共サービスを行っています。 F5 がデータ スクレイピングとデータ プライバシーの解決にどのように役立つかについては、 www.f5.com/ go/solution/scraping をご覧ください。