もう、ウンザリ？　〜 転売ヤー、不正な会員登録・ポイント利用、口座開設、コンテンツ泥棒〜

知ってましたか？ログインアクセスの90％以上はボットからの”いらない”アクセスです...

私たちがアクセスを分析したほんの一例を紹介します。

各業界（米国）の有名サイトをじっさいに分析したところ...  "いらない"アクセスの率は

✅ 小売企業 上位３社の場合....  99% !

✅ アメリカ 上位５バンキングの場合.... 99.8% !

✅ ラグジュアリーブランドの場合....  99.7% !

でした。

【事実】ESGグループのレポートによると、90%以上の攻撃は、自動ボットにより発生

現在、詐欺が最も行われているのは、小売業で使われるWebチャンネルです。攻撃者は、これまでよりもインターネット上のアプリケーションを悪用しています。

エンタープライズの管理者は、詐欺を企てる攻撃からアプリケーションを守る事が急激に難しくなっていることを認識しています。

全ての攻撃の90%以上は、高度に洗練された自動ボットにより発生しています。

しかもそのボットは、シリコンバレー風なスタイルの仕組みの上で、違法なボット工場で設計・開発されているのです。しかも、それらのボットは広く素早く広範囲に配布されるように設計されています。ほとんどのサイバーセキュリティ専門家を凌ぐペースで広がってしまいます。”

Source :
2021 BOT Management Trends – ESG April 2021

【事実】F5による小売、航空、銀行のアクセス分析結果

F５が、実際に分析したデータをご紹介します。※全て実在するサイトのアクセスデータです。

流通業は91%のアクセスがビジネスには関係のないアクセス、航空会社のオンライチケットサイトでは79%が関係のないアクセスでした。アメリカの大手銀行のモバイルアプリのアクセスからは、64%が不要でした。（モバイルアプリからのアクセスでも不正アクセスが多いことが伺えました。）

想像しているよりも、多くの不正アクセスがあるなと感じたのではないでしょうか？そもそも、セキュリティ担当者であっても、担当しているWebサイトにどれぐらいの不正アクセスがきているのか把握するのは非常に難しいのです。

ボットが引き起こす問題とは...

不正による大量の会員登録

すでに流出している個人情報・クレジットカード情報を悪用し、不正な会員登録が行われています。セキュリティ部門で気付けなかった場合、正規アカウントとして注文を受け付けてしまいます。お客様からのクレームで初めて気付く事も多く、ログを解析する時間、外部の専門家への依頼、カスタマーサポート部門との煩雑な調整、ビジネス担当者からの信頼を失うなどの問題が起こります。

買い占め、転売の防止

「人気のゲーム機器や数量限定の商品が発売と同時に売切れて、転売サイトに高額出品されてしまった。どうにかしてくれ！」と、セキュリティ担当者の責任を問われることが多くなってきました。行き過ぎた転売行為は社会的な問題にもなっており、カスタマーから怒りのクレームがくることも珍しくないのでサポート部門の問題としても切実です。
こうした買い占めbotはかなり一般的、スクリプト言語を使って、GUIでログインや購入、支払いなどができるなど高度化されており、セキュリティ部門とビジネス部門が連携した対応が急がれています。

スクレイピングによるコンテンツの流出

データを他の場所で再利用するために、Botを使用してターゲットとなるサイトから大量のデータを収集する事が一般的です。スクレイピングは、リクエストのソース、目的、頻度に応じて、正当なものから悪質なものまでさまざまです。例えば、競合他社からの日々の価格スクレイピングはビジネス上不要なアクセスです。ビジネス部門からの要望により、主要なEコマースサイト、オンラインチケットサイト、SNS、金融情報の提供サイトなどは、スクレイピング対策をするのが一般的になってきました。

ポイントの不正利用

ECサイトのアカウントにひも付く「ポイント」、航空会社の「マイレージポイント」なども不正の標的になっています。クレジットカードの入出金の明細には気を付けていても、ポイント残高にまで気を配っている人はそう多くない。そこが不正アクセスする側の狙い目。ポイントを使って直接、商品を不正購入されることもあるが、乗っ取られた航空会社のアカウントの貯まったマイルに値段を付けて販売されていることもある。 “ポイントロンダリング”と呼ばれる手法。ポイントを別の共通ポイントに移行し、追跡を難しくした上で現金化するケースも多い。

不要なアクセスによるインフラコストの増大

オンラインサイトにとって、重要な課題となるのがシステムのレスポンススピード。遅くなればなるほどユーザが離れてしまい、サイトからの収益化を妨げます。インフラ管理者は常にシステム負荷を監視する必要があります。不正アクセスの増大により負荷が上がり、「ページ表示が遅い、システムダウン」を防ぐためには、サーバや回線などのインフラ増強に投資を強いられてしまいます。大量で不要な不正アクセスを処理するために投資するのは避けなければいけませんが、そもそもどのトラフィックが不正かを判断できないケースが多く、知らないうちに無駄なコストを強いられているケースも多くあります。

不正な口座開設、カード申し込み

金融機関、クレジットカード会社等においては、不正なアカウントの開設、流出したクレジットカード情報を使っての申込みなど、さまざまな不正が起きています。
社内で蓄積されている審査ノウハウをつかう、アクセス元の端末を識別する、アクセスするロケーションを分析するなどの対応を迫られています。また、近年ではログインするときに二要素認証、画像を使ったCAPTCHA認証などの対策を実施していますが、簡単に突破されたり、過度の認証強化が使い勝手を下げてしまっており、効果的な対策が難しいのが実情です。

では、どうすればいいのか

ボットの自動化ツールが進化しており、高度に“人”が操作したものに近い形で送信されています。
識別するには、リクエストデータそのものから得られる情報ではなく、クライアントデバイスが生成するシグナル情報(マウスの動き、タイピングスピード、
ログインしてから購入するまでの時間、ユーザのロケーションなど）を多角的な視点から収集し、AIや機械学習を使って振る舞いを分析する技術を使う必要があります。

また、攻撃者は、一度 検知されるとしつこくそれを回避しようとするツールを開発するため、
新しいシグナル取得の開発やシグナル情報を利用した検知ルールを継続的に調整する必要があります。
ボット通信を止めるには、粘り強く、そのルールのメンテナンスが行える仕組みや運用を考える必要がありますので、自社内ではなくアウトソースするのが現実的なのです。

図1. 人間か、ボットか？ML/AIによる推論

ボットを識別するにはクライアントの「ふるまい」をデータ化・収集し、分析する仕組みが必要です。
具体的には、クライアントのネットワーク環境、ロケーション・タイムゾーン、ログイン・購入・サインアウトまでの一連の流れ（固有のテレメトリー情報。上記の図参照）を収集し、AI/MLの技術が用いて分析します。
例えば、人がキーボードで文字を入力するとき、キーを打つタイミング、間隔は不規則になりますが、自動化されたボットプログラムの場合は規則性があります。マウスの挙動も、ボットの場合は人間と比べて軌跡が直線的だったりと違いが出ます(参考:図1)
そうした動きの特徴から、ボットなのか、正規のユーザなのかを判別します。

F5は、99%の攻撃をブロックします。

高度なeコマース詐欺と不正使用を阻止する

eコマースやオンラインショップで多発しているクレデンシャルスタッフィング攻撃。F5 Distributed Cloud Bot Defenseは、なぜ「なりすまし」を検出し、お客様のアプリケーションを保護することができるのか。解説動画を是非ご覧ください。

Cloudflareとの連携

Salesforceとの連携

顧客事例

F5 Distributed Cloud Bot Defense

業種：小売業 (スーパーマーケット 家庭用品 家具 アパレル ベビー用品 プライベートブランド)
売上規模：5兆円
従業員数：20万人
オンライン売上：2,500億円
採用サービス： Bot Defense (Enterprise版)、Account Protection

＜ポイント＞

・2018年末クリスマスシーズンに発生したCredential Stuffing攻撃対策のためにF5 Bot Defenseを採用
・リツールを繰り返す自動攻撃の制御に加え、人による手動攻撃制御のためAccount Protectionを追加
・新しい攻撃を常時監視、ルールのカスタマイズ、誤検知調整を迅速に行うF5の運用体制に大満足
・「SPM(ダッシュボード)を特に気に入っている。可視性があり、対策効果がわかりやすい。」

- 年間数千万件発生する巧妙な攻撃から顧客の個人情報を保護 -

関連コンテンツ

無料ダウンロード

サービス詳細はこちら

お問い合わせはこちら