※本ブログは米国時間2024年11月12日に公開されたA10本社ブログの日本語訳です。原文はこちらからご覧ください。

デジタル時代において、ウェブサイトは自動化された様々な脅威に対してますます脆弱になっています。悪意あるボットによるこれらの脅威は、重大な経済的損失、データ侵害、ユーザエクスペリエンス低下につながる可能性があります。これらのリスクに対抗するには、堅牢なボット対策を導入したウェブサイトが不可欠です。本ブログでは、スキャルピング、スクレイピング、カーディング、偽アカウントの作成、ボーナスの不正使用、レイヤ7サービス拒否(DoS)攻撃などの主要な脅威を検証し、ボット対策の必要性を探ります。また、これらの悪用による経済的影響について説明し、効果的な防御策を提案します。

脅威を理解する

スキャルピング(Scalping):自動大量購入

スキャルピングとは、ボットが需要の高い商品を、多くの場合は期間限定セール中に大量に購入し、高値で転売することです。この行為は在庫不足につながり、本来の顧客の不満を招く可能性があります。

例: PlayStation 5 の発売時に、スキャルピングボットが数秒以内に買い占め、品薄状態が広がりました。

スクレイピング(Scraping): 不正なデータ抽出

スクレイピングとは、Webサイトからデータを自動的に抽出することを指し、多くの場合、競合他社の情報収集や不正使用を目的としています。悪意あるスクレイピングは、データの盗難や知的財産権の侵害につながる可能性があります。

例: LinkedIn社は、サードパーティ企業によるユーザプロファイルの不正スクレイピングに関して法的課題に直面しました。

カーディング(Carding):盗まれたクレジットカードの有効性のテスト

カーディングとは、ボットを使用して電子商取引サイトで盗まれたクレジットカード情報をテストし、その有効性を判断することです。カーディングが成功すると、不正な取引につながる可能性があります。

例: Ticketmaster社はカード詐欺の標的となり、不正なチケット購入が発生しました。

偽アカウントの作成: 偽のプロファイルの生成

ボットは、スパム、詐欺、または操作の目的で、Webサイトに偽のアカウントを作成します。これにより、システムが過負荷になり、ユーザエクスペリエンスの低下を招く可能性があります。

例: Facebook社は、誤情報やスパムに対抗するために数十億の偽アカウントを削除したと報告しました。

ボーナスの悪用:プロモーションの悪用

ボーナスの不正使用は、ボットがサインアップボーナスなどのプロモーションオファーを悪用し、報酬を請求するために複数のアカウントを作成することで発生します。これは金銭的損失につながる可能性があります。

例: オンラインゲームのプラットフォームでは、ボットがオファーを悪用して不当な利益を得るボーナスの乱用が報告されています。

レイヤ7 DoS攻撃: アプリケーションリソースの過負荷

レイヤ7 DoS攻撃は、大量のリクエストを送信してアプリケーションレベルのリソースを圧倒し、サービス中断を引き起こすことに重点を置いています。

例: 大手金融機関がレイヤ7 DoS攻撃を受け、大規模障害が発生しました。

ボット攻撃の経済的影響

  1. 収益損失: ボットトラフィックにより、企業は年間オンライン収益の平均4.3%を失っています。これは、一般的な企業の場合、約8,500万ドルに相当します。この損失は、スキャルパー ボット、クレデンシャルスタッフィング、偽アカウントの作成など、さまざまな種類のボット攻撃に起因する可能性があります。
  2. 電子商取引分野の脆弱性: 電子商取引分野では、過去1年間に72%のWebサイトと83% のモバイルアプリがボットによる攻撃を受けたと報告されています。これらの企業の 89%は、特に被害が大きいスキャルパーボットボットの標的になったことに気づくまでに 2~6か月かかっています。スキャルパーボットは、需要の高い製品を正規の顧客よりも先に購入してしまうため、売上損失や在庫問題につながる可能性があります。
  3. プロモーションと在庫管理への影響: 調査対象となった電子商取引企業の半数以上が、ボットによる不正確なデータに基づいてプロモーションを実行したことがあると回答しています。このような管理ミスは在庫過剰または在庫不足につながり、収益にさらに影響を及ぼします。
  4. 運用コスト: ボットによるトラフィックは運用コストを大幅に増加させます。たとえば、企業はボットによって生成される過剰なトラフィックを処理するために追加のインフラ費用が発生する可能性があります。ある小売業者が、自社の製品APIへのトラフィックの84%が悪意あるものだと特定し、不要なリソース割り当てを行っていたことが明らかになったケースがあります。
  5. カスタマサポートのコスト: ボットはカスタマサポートのコストを増加させます。たとえば、ボットがユーザのアカウントをロックアウトしたり、不正なトランザクションを作成したりすると、カスタマサポートへの問い合わせが急増する可能性があります。サポートコールの平均コストは高額になり、リソースを圧迫します。
  6. 顧客離れと満足度: ボットは顧客満足度に悪影響を及ぼしており、企業の88%が、ボットによるユーザエクスペリエンスへの影響があったと報告しています。不満を持った顧客が他の企業を選択する可能性があるため、解約率の上昇につながる可能性があります。顧客の生涯価値を考慮すると顧客を失うことによる経済的影響は深刻です。
  7. 長い検出時間: 企業がボット攻撃を検出するには通常約4か月かかり、その間も損失が発生し続ける可能性があります。被害が継続していることに気付いたときには手遅れになる可能性があり、経済的影響を悪化させます。

ボットネットトラフィックはあらゆる種類の企業にとって重要な問題であり、特に収益への影響が顕著です。

関連情報

A10ネットワークスのアプリケーションセキュリティ