不正による大量の会員登録
すでに流出している個人情報・クレジットカード情報を悪用し、不正な会員登録が行われています。セキュリティ部門で気付けなかった場合、正規アカウントとして注文を受け付けてしまいます。お客様からのクレームで初めて気付く事も多く、ログを解析する時間、外部の専門家への依頼、カスタマーサポート部門との煩雑な調整、ビジネス担当者からの信頼を失うなどの問題が起こります。
買い占め、転売の防止
「人気のゲーム機器や数量限定の商品が発売と同時に売切れて、転売サイトに高額出品されてしまった。どうにかしてくれ!」と、セキュリティ担当者の責任を問われることが多くなってきました。行き過ぎた転売行為は社会的な問題にもなっており、カスタマーから怒りのクレームがくることも珍しくないのでサポート部門の問題としても切実です。
こうした買い占めbotはかなり一般的、スクリプト言語を使って、GUIでログインや購入、支払いなどができるなど高度化されており、セキュリティ部門とビジネス部門が連携した対応が急がれています。
スクレイピングによるコンテンツの流出
データを他の場所で再利用するために、Botを使用してターゲットとなるサイトから大量のデータを収集する事が一般的です。スクレイピングは、リクエストのソース、目的、頻度に応じて、正当なものから悪質なものまでさまざまです。例えば、競合他社からの日々の価格スクレイピングはビジネス上不要なアクセスです。ビジネス部門からの要望により、主要なEコマースサイト、オンラインチケットサイト、SNS、金融情報の提供サイトなどは、スクレイピング対策をするのが一般的になってきました。
ポイントの不正利用
ECサイトのアカウントにひも付く「ポイント」、航空会社の「マイレージポイント」なども不正の標的になっています。クレジットカードの入出金の明細には気を付けていても、ポイント残高にまで気を配っている人はそう多くない。そこが不正アクセスする側の狙い目。ポイントを使って直接、商品を不正購入されることもあるが、乗っ取られた航空会社のアカウントの貯まったマイルに値段を付けて販売されていることもある。 “ポイントロンダリング”と呼ばれる手法。ポイントを別の共通ポイントに移行し、追跡を難しくした上で現金化するケースも多い。
不要なアクセスによるインフラコストの増大
オンラインサイトにとって、重要な課題となるのがシステムのレスポンススピード。遅くなればなるほどユーザが離れてしまい、サイトからの収益化を妨げます。インフラ管理者は常にシステム負荷を監視する必要があります。不正アクセスの増大により負荷が上がり、「ページ表示が遅い、システムダウン」を防ぐためには、サーバや回線などのインフラ増強に投資を強いられてしまいます。大量で不要な不正アクセスを処理するために投資するのは避けなければいけませんが、そもそもどのトラフィックが不正かを判断できないケースが多く、知らないうちに無駄なコストを強いられているケースも多くあります。
不正な口座開設、カード申し込み
金融機関、クレジットカード会社等においては、不正なアカウントの開設、流出したクレジットカード情報を使っての申込みなど、さまざまな不正が起きています。
社内で蓄積されている審査ノウハウをつかう、アクセス元の端末を識別する、アクセスするロケーションを分析するなどの対応を迫られています。また、近年ではログインするときに二要素認証、画像を使ったCAPTCHA認証などの対策を実施していますが、簡単に突破されたり、過度の認証強化が使い勝手を下げてしまっており、効果的な対策が難しいのが実情です。