ECサイトを狙う“自動化”された「API悪用」「DDoS攻撃」の脅威とは？：ECを襲うサイバー攻撃【後編】

ホリデーショッピングシーズンにECサイトを狙うサイバー攻撃者。EC業者を脅かす、「API悪用」「DDoS攻撃」といった脅威とは。

[Alex Scroxton，TechTarget]

　年末にかけてホリデーショッピングシーズンで多忙な時期を迎えるEコマース（EC：電子商取引）業者は、サイバー攻撃者にとって格好の標的だ。攻撃者の用いる手法の中でも目立つのが、自動化されたサイバー攻撃だ。

　本稿は、セキュリティベンダーImpervaが公表したECセキュリティに関する調査を基に、API（アプリケーションプログラムインタフェース）の悪用や分散型サービス拒否（DDoS）攻撃といった、自動化が進むサイバー攻撃について解説する。

自動化された「API悪用」「DDoS攻撃」の脅威

併せて読みたいお薦め記事

連載：ECを襲うサイバー攻撃

• 前編：ホリデーシーズンに深刻化　ECサイトを狙う「bot」の脅威

eコマースのセキュリティに関する注目記事

• クレカ情報漏えいを招く脆弱性が潜んでいた“あのECサイト構築ツール”とは？
• 小売業者が社外サイトのデータを加工せずに使う“深刻な理由”とは？

　ImpervaはECセキュリティに関するレポート「The state of security within e-commerce 2022」を公表。レポートの内容は同社の脅威リサーチチームが2021年7月〜2022年6月に収集したデータに基づく。

　APIを悪用する攻撃分野では自動化が進んでいる。例えば、アプリケーションの脆弱（ぜいじゃく）性やセキュリティが確保されていないデータを求めて、APIに大量の不要なトラフィックを送り込み負荷をかけるbotネットが存在する。脆弱性を含んだAPIや公開されたAPIは、ショッピング客の個人情報や決済情報を盗み出すために使用される可能性があり、EC業者にとっての脅威となり得る。

　2021年、APIとECサイト間のトラフィック量が増加するホリデーショッピングシーズンに、攻撃者は自身の悪意あるトラフィックを紛れ込ませていた。Impervaは2022年もこの兆候は続くと指摘する。

　DDoS攻撃もEC業者にとって根強い脅威だ。DDoS攻撃の負荷に耐えられず、ECサイトやアプリケーションが機能しなくなると、数時間から数日にわたり業務が停止する可能性がある。DDoS攻撃もAPIの悪用と同様、botネットを使って実行される傾向にある。

　2022年、ロシアに関係する攻撃集団がウクライナを支援する国や企業にDDoS攻撃を仕掛けたことがニュースになった。Impervaによると、100Gbpsを超えるDDoS攻撃数は2022年の第1四半期（1月〜3月）から同年の第2四半期（4月〜6月）にかけて倍増し、500Gbpsを超えるDDoS攻撃数は287％増を記録したという。

　レポートによると、攻撃を受けた標的は再攻撃の対象になりやすい傾向にある。アプリケーション層にDDoS攻撃を受けた標的の55％、ネットワーク層にDDoS攻撃を受けた標的の80％が、およそ24時間以内に複数回の攻撃を受けている。

　攻撃によって引き起こされるダウンタイム（システムの停止時間）は、サイトの中断や評判の失墜、収益の損失につながる恐れがある。「アプリケーションの性能や可用性を頼りに事業を運営しているEC業者にとって、DDoS攻撃は致命的な脅威になる」とImpervaは指摘する。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。