ホリデーシーズンに深刻化 ECサイトを狙う「bot」の脅威ECを襲うサイバー攻撃【前編】

サイバー攻撃者は、EC業者にとって重要なホリデーショッピングシーズンを狙い、攻撃を仕掛けている。特に深刻化する問題が「自動化されたサイバー攻撃」だ。

2023年01月06日 05時00分 公開
[Alex ScroxtonTechTarget]

 10月頭から年末にかけてのホリデーショッピングシーズンにおいて、Eコマース(EC:電子商取引)サイトを狙った、自動化されたサイバー攻撃の脅威が強まっている。これは、多忙な時期を迎えるEC業者にとって深刻な問題だ。

ECサイトを狙うbotとは?

 セキュリティベンダーImpervaは、ECセキュリティに関するレポート「The state of security within e-commerce 2022」を公開した。レポートの内容は同社の脅威リサーチチームが2021年7月〜2022年6月に収集したデータに基づく。レポートは、EC業者をはじめとするオンライン事業運営者にとって、自動化されたサイバー攻撃の脅威が根強く続いていることを指摘する。攻撃はホリデーショッピングシーズン中にピークに達する傾向にあり、2022年もこの傾向は変わらないという。

 Impervaでシニアプロダクトマネジャーを務めるリン・マークス氏は次のように述べる。「ホリデーショッピングシーズンはEC業界にとって収益の増加が見込める重要な時期だが、サイバー攻撃により収益を損なう恐れもある」

 EC業界はさまざまなセキュリティリスクに直面している。マークス氏は「EC業者は執拗(しつよう)な攻撃を食い止めるための手段を必要としている」と話す。データ保護に重点を置き、ショッピング客を混乱させることなく、迅速に攻撃を緩和することが重要だ。

 Impervaの報告によると、ECサイトにアクセスしたトラフィック(ネットワークを流れるデータ量)の約40%が人間によるものではなく、タスクを自動的に実行する悪意のあるbotが生成したものだった。トラフィックの約24%は、人間の行動を模倣して検出を回避する先進的な技術を使用するbotによるものだった。

 2021年、bot関連の攻撃は10月と11月にピークに達した。これは、botの背後に潜む攻撃者が、EC業者にとってホリデーショッピングシーズンに価値があることを認識していることを明確に示すものだ。botの形態の一つが「グリンチbot」だ。これは主に転売者が使用するbotで、需要のある商品を買い占め、正規のショッピング客による商品のオンライン購入を妨害する。

 アカウント乗っ取り(ATO)詐欺に関連するbotもある。botの背後に潜む攻撃者は、ショッピング客の漏えいした個人情報をクレデンシャルスタッフィング攻撃(流出したログイン情報を使い、他のWebサイトへの自動ログインを試みる攻撃)に使用する。攻撃者の活動量を示す情報として、Webサイトの全ログイン試行のうち、約23%が悪意のあるものだったことをImpervaは確認した。

 API(アプリケーションプログラミングインタフェース)の悪用も目立っている。Impervaの調査によれば、EC業者のWebサイトやモバイルアプリケーションの全トラフィックのうち、APIからのトラフィックが約42%を占める。このうち12%のトラフィックは個人データを含むデータベースなどのエンドポイントに送られ、3〜5%はセキュリティチームが存在を認識していないAPIに送られていた。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news176.jpg

「伊右衛門」「日清麺職人」「鍋キューブ」に見る2024年上半期食品・飲料トレンドは「うま濃い余韻」
食品メーカーの商品開発やマーケティング支援などを行う味香り戦略研究所は、2024年の食...

news076.jpg

オラクルが広告事業から撤退へ ポストCookie時代の業界地図は変わるか?
Oracleは「Responsys」「Moat」「BlueKai」などの買収を重ねて広告部門を構築してきた。...

news068.jpg

琉球泡盛「残波」「海乃邦」の海外展開を例に考える日本のブランドが持つべき視点
日本のブランドが海外展開で持つべき視点とはどのようなものか。2024年4月にI&CO APAC代...