リアルな治安も危ういがバーチャルの治安はもっとヤバいのだ。
『さまざまなタスクを自動化でき、しかも人間より早く処理できるbot。企業にとって良性のbotが活躍する一方、チケットを買い占めるbot、アカウントを不正に乗っ取るbot、アンケートフォームを“荒らす”botなど悪性のbotの被害も相次いでいる。~何らかの手段で入手したIDとパスワードの組み合わせを用いて、標的とするサイトに不正ログインを試行する行為は、日本では「パスワードリスト型攻撃」と呼ばれている。これをbotで大量に試行する行為が、「クレデンシャル・スタッフィング」(Credential Stuffing:認証情報の詰め合わせ攻撃)だ。急増するbotを用いたアカウント乗っ取り攻撃の被害抑止は、世界中で今まさに全力で取り組むべき大きな課題となっている。~ECサイトを含む小売業が狙われる理由は分かりやすい。主に高額転売できる商品の買い占めを狙って、大量のbotが世界中からログインを試みるからだ。観測された100億回のうち、約37億回がアパレル業界に対するものだった。個々のECサイトに特化して大量の購買を試みる専用の「AIO(All-in-One)bot」は、ネットで比較的簡単に購入できる。AIO botはその名の通り、さまざまなbot検知の回避術を備えている。ユーザーにゆがんだ難読文字を入力させてbotを判定する「CAPTCHA」の自動突破などは、セールスポイントとなる機能の一つだ。botとして利用できる複数のプロキシ(中継)サーバのリストや、大量のIDとパスワードのリストを別途入手し、このツールに読み込ませることで、時には高速に、時には検知を避けるため延々と時間をかけて、複数のアクセス元から商品の買い占めを自動で実行する。一方、動画ストリーミングサービスのアカウントが狙われるのは、(正規のユーザーに無断で)“無料視聴”ができるアカウントを見つけ出すためだ。まずは、サブスクリプション制の有料動画配信サービスで有効なIDとパスワードの組み合わせを照合するためにbotが用いられ、適合したIDとパスワードの組み合わせが、アンダーグラウンドで販売される。また、配信サイトのユーザーの個人情報だけでなく、視聴履歴など個人の趣向を示す情報を収集する目的で行われている可能性もある。さらに海外では、特定の動画や楽曲、それらをまとめたプレイリストを複数のアカウントを使ってbotに繰り返し再生させることで、視聴数に応じた報酬を稼ぐ“プレイリスト詐欺”といった不正行為の存在も疑われている。~「名刺管理」「ビジネスチャット用の社内SNS」「採用管理」「販売管理」「会計処理」「BI/データ分析」「オンラインストレージ」など、現在SaaSで提供されている主なサービスの内容を俯瞰すれば、闇市場で取引できる企業の機密データや顧客の個人情報が多く取り扱われていることは想像に難くない。これらのサービスに不正に入手した大量のIDとパスワードで、実際にログインできるか否かを検証する際には、botが使われるだろう。botによって検証されたID、パスワードを悪用した不正なログインを許せば、それらのSaaS型のサービスやアプリケーションが抱えるデータが大量に流出する恐れがある。これらのSaaS型のアプリケーションを利用するユーザー側も、提供者側の「当社のセキュリティポリシー」といった文言だけで判断せず、対象となるサービスで具体的にどのようなセキュリティ対策が取られているか、どのようなリスクが想定されるかを厳しい目で確認した上で、利用するサービスを選択する必要があるだろう。』
これも「万人に便利なモノは悪人にはもっと便利」の典型でbotを使って集めた情報で、買占め→転売、個人の趣向→マーケティング又は恐喝、情報漏洩→企業のイメージダウン等の裏取引での経済活動に役立つのだ。リアルな治安も危ういがバーチャルの治安はもっとヤバいのだ。
1日に1.15億回以上 急増する不正ログインの裏に“botの存在” (1/3)
https://www.itmedia.co.jp/news/articles/1904/19/news008.html
この記事が気に入ったらサポートをしてみませんか?