NFTの入札者を本当に把握できていますか?
Web3企業が悪質なボットから顧客を守る理由
非代替性トークン(NFT)は、ブランドにとって大きな収益の可能性を秘めていますが、セキュリティを最初から考慮していないと、サイバー犯罪者に悪用される恐れがあります。Adidasは、最初のNFTドロップで2,000万ドル以上を獲得し、現在、多くの主要スポーツ リーグがこの最新の収集品を採り入れています。良い例がNBA Top Shotです。NFTという形でバスケットボールのデジタル グッズを提供するオンライン マーケットプレイスとして、NBAのプレーオフや元ロサンゼルス レイカーズのスター選手であるマジック・ジョーダンの最初のNFTドロップをきっかけに人気を博しています。
NBAファイナルがあり、父の日を間近に控え、卒業式シーズンでもあるこの時期は、NFTマーケットプレイスにとって、父親や卒業生への最高の贈り物として限定発売のNFTを販売促進する絶好の機会です。しかし攻撃者も、最近のNFTの高値に注目しています。ボットはサイバー犯罪者の秘密兵器であり、彼らはボットを使って大混乱を引き起こし、価格を操作し、顧客を欺き、NFTのエコシステムを弱体化させます。市場がボットで汚染されていたら、コレクターや投資家はどうやってNFTの本当の価値を知ることができるでしょうか。
NFTマーケットプレイスと、その他のWeb3ビジネス モデルを検討している組織は、メタバースにおけるビジネスの急速に変化するセキュリティ要件を理解し、これに対処する必要があります。これらの新しいデジタル取引所が成功するためには、ボットやその他のサイバー攻撃に対する動的なセキュリティ対策を提供し、NFTへの投資、マーケットプレイスの評判、顧客の活動やエクスペリエンスを保護する必要があります。
なぜハッカーはNFTの売り場にボットを集中させるのでしょうか。簡単に言えば、そこにお金があるからです。Chainalysisによると、NFTの市場は2021年末までに410億ドルに拡大しました。NFTマーケットプレイスのエコシステムは比較的新しく、そのテクノロジやプロセスを理解している人が多くないため、完璧な標的となります。サイバー犯罪組織はボットを使って混乱を引き起こし、攻撃の長年の経験を活かして手法を確立しています。
銀行、証券会社、保険会社などの従来型の金融サービスは、数年前からますます巧妙化するボット攻撃と戦ってきました。eコマース業界もボットの被害を大きく受けており、特にスニーカーのような限定商品の発売は、在庫を買い占めるボットの標的になっています。ブロックチェーン、暗号通貨、分散型金融システムは最近の技術革新ですが、これらが既に成熟した歴戦のサイバー犯罪環境に投入されています。
警戒すべきボット
NFTマーケットプレイスでボットを避けて通ることはできません。NFTドロップは悪質なボットに非常に悪用されやすく、価格や商品の在庫を操作されたり、偽の商品を販売されたりする恐れがあります。また、ボットは、Webサイト全体をダウンさせたり、IDを盗んだり、その他の個人の金融情報を取得したりする、より大規模で悪質な手法の一部である可能性もあります。ここでは、対策が必要ないくつかの種類のボットについて説明します。
- 購入ボット。自動購入ボットは、オンラインの商品やサービスが販売された瞬間に一括で購入するように設計されています。このボットは、チェックアウト プロセスを瞬時に完了します。その目的は、貴重な在庫を大量に管理することであり、多くの場合、在庫は二次市場でかなりの高値で転売されます。こうしたボットによって人間の買い物客は購入することができず、NFTのような仮想商品が手に入らなくなり、消費者の不満や在庫拒否につながります。
- 入札ボット。これらのボットは、偽の入札を採用してNFTの価格を操作し、根本的な転売戦略に従って価格を上下させます。値下げボットは希望価格を大幅に下回る価格でNFTに大量に入札することで、実際に購入することなく、NFTの価値を下げます。値上げボットは、低価格のNFTを購入し、人為的に希少性を高めて人気を集め、買い手が在庫品により高額を支払うように仕向けるため、その多くは二次市場で転売されます。最悪の場合、入札ボットが自動化された入札競争によってNFTの価格を人為的に吊り上げることもあります。
- 偽造NFTボット。街角で売られているRolexの偽物の時計と同様に、ポリシーIDに一致しない非認証のNFTプロジェクトを販売するためにボットが使用されることがあります。消費者が誤って攻撃者から偽物のNFTを購入した場合、返金の可能性はほぼなく、適切な認証がなければ合法的な再販の可能性もありません。
- 偽の宣伝ボット。ボットはフィッシング詐欺の方法でなりすまし、偽のYouTube Genesis Mint Passなど、非常に限定的なサービスを利用するためにリンクをクリックするようユーザーを誘導することもできます。
NFTマーケットプレイスでボット活動が広がると、疑心暗鬼を生み、潜在的な購入者だけでなく、オンライン マーケットプレイスで製品を販売している正当な販売者やアーティスト、アスリート、クリエーターにも影響が及びます。悪質なボットはブロックチェーンを利用した市場の成長を阻む可能性があり、NFT取引所がボットの温床だという悪評が立てば、ボットは新しいデジタル経済の最もダイナミックな表現の1つを脅かすことになりかねません。
ボットからマーケットプレイスを守る
あなたがNFTマーケットプレイスやその他のWeb3事業を運営しているのであれば、顧客は安全、迅速、かつシームレスなエクスペリエンスを期待しており、これを確実に実現するためにできることがあるというのが結論です。
F5は、多くのトップクラスのNFTマーケットプレイスや取引所と緊密に連携して、高度なセキュリティと保護対策を最初から導入できるよう支援することで、ログインを狙うボット攻撃から守り、偽のアカウントの作成を防ぎ、在庫を買い占めてNFTの価格を吊り上げる在庫買い占めボットを阻止しています。
父の日や卒業祝いにNFTの販売促進を検討している方は、以下の点に注意してください。
- 不正な新規アカウントの開設のパターンを理解し、新規アカウント登録の妥当性を確認する
- 現在のボット対策を評価し、人間を模倣した高度な自動化と攻撃手段の改良に対抗する
- すべての取引を監視して不正の兆候や疑わしい行動を把握してアカウントの乗っ取りを防ぎ、クレデンシャル スタッフィング対策としてログイン システムを強化する
- 認証インテリジェンスを活用してユーザーの煩雑さを減らし、カスタマ エクスペリエンスを向上させる
- プラットフォーム上のユーザーを管理し、ユーザーが顧客かボットかを識別する。ボット攻撃を上流でブロックすることで、下流での不正行為を減らすことができます
- セキュリティおよび不正対策チームを新しいツールと外部インテリジェンス サポートで補強し、不正行為の先手を打つ方法を模索する
- 攻撃者はおそらく攻撃方法を改良し続けるため、対策も迅速に改良できる必要がある
サイバー犯罪から顧客を守るために
顧客を守り、その信頼を獲得することが重要であり、これは教育から始まります。ここでは、皆さんが顧客と共有できるいくつかのヒントをご紹介します。
- ハードウェア ウォレットを検討する。暗号通貨を使用してNFTを購入する場合、ソフトウェア ウォレットではなくハードウェア ウォレットを使用してNFTの購入と保管を行うことを検討してください。ハードウェア ウォレットは、秘密鍵へのアクセスを防ぐために特殊なファームウェアを搭載した外部物理デバイスであり、ボットやその他のサイバー攻撃から暗号通貨とNFTの購入を保護し、両方のセキュリティを大幅に向上させることができます。
- 契約書を必ず確認する。NFTの購入には、ほとんどの場合、販売者との「スマート コントラクト」の締結が必要です。ブロックチェーン上で発行されるこれらの契約は、所有権や取引の詳細など、NFTに関連する固有の情報を詳述しているため、承認する前に慎重に確認してください。スマート コントラクトには、NFTの取引やその他の所有権に関するルールが規定されているため、自分が何に同意しているかを把握する必要があります。
- 偽のマーケットプレイスに注意する。NFTは、セキュリティに真摯に取り組み、ボットを使用しない取引を行う信頼できる組織からのみ購入することを検討してください。
- NFTマーケットプレイスからの連絡方法と、NFTが盗まれた場合の選択肢を把握する。マーケットプレイスからの連絡方法と、NFTが盗まれた場合の手段を事前に把握しておくことで、フィッシング攻撃、スプーフィング、その他の不正行為を回避することができます。
他の組織がどのようにしてボットから顧客や会社を守ることに成功したかを知りたい方は、ForresterによるF5 Bot DefenseのTotal Economic Impactレポートをお読みください。
F5 Distributed Cloud Bot Defenseの動作をご覧になりたい方は、F5のDevCentralにアクセスしてデモをご覧ください。
また、ボット対策ソリューションに何を求めるべきかについては、ボット対策ベンダーに聞く10の質問をご覧ください。