長年にわたり、eコマースプラットフォームを悪用するボットをプログラムしてきたオーストラリア出身の元「スニーカーボッター(オンラインショップでスニーカーの限定品を素早く購入することに特化したボットのプログラマー)」が、現在はその経験を活かし、米国のセキュリティ企業Arkose Labsのデータサイエンティスト兼サイバー脅威アナリストとして、小売業者のウェブサイトを襲撃するボット攻撃に対抗し、アカウント乗っ取り(ATO)攻撃を防いでいる。
「スニーカーボッター」という言葉は、世界最大のアスレチックシューズとアパレルのサプライヤーである米国のNikeやヨーロッパでは最大のスポーツウェアメーカーであるドイツのAdidasのような大手ブランドの限定在庫をオンラインで素早く購入し、高値で転売するために高度なソフトウェアを使用する行為に由来する。この用語は、コンサートチケットやeコマースプラットフォームで販売されている他の優先度の高い商品を買い占めるまでに拡大したボット攻撃にも使われるようになった。
Mitch Davie氏は現在、ボット管理とアカウントセキュリティの分野で世界的に有名なリーダーである。約8年前、友人に誘われてプログラミングの機会を得た。そのグループは、eコマースサイトにコード自動化技術を採用したオーストラリアで最初のグループのひとつだった。
しかし、彼は盗んだ認証情報を使って不正に買い物をするという一線を越えることはしなかった。基本的に、ボット・ユーザーが不正行為を行わないのであれば、ボットの使用は違法ではない、と彼は主張する。
「盗んだ他人のクレジットカード情報を使ったわけではない。私たちは自分のお金を使って、自分の住所に商品を発送したのだ。私たちは、他の買い物客よりもずっと早く買い物をしただけである」と、Davie氏は語った。
数年前、Davie氏は自分のプログラミング・スキルを、サイバーセキュリティの成果を向上させ、eコマースプラットフォームを保護するために使うことに決めた。それは、家庭を築き、より多くの人々を支援する職業に就くことに重点を移したからである。
「いくつかのWebサイトを攻撃する代わりに、今では50以上のWebサイトを守っている。これはとても気分がよいことだ」と同氏は続けた。
さまざまな業界を襲うボッター
Arkose LabsのCPO(最高製品責任者)/CTO(最高技術責任者)であるAshish Jain氏によると、オンライン購入を自動化するというコンセプトは消えていないという。ボットを使った大量購入の自動化は(特定の法域では)違法ではないが、一部の攻撃者はボットを使って消費者の認証情報を入手し、不正購入を実行している。
ボット攻撃者はまた、eコマースサイトの消費者アカウントを乗っ取り、偽のアカウントを作成して自分のアドレスに購入品を送ることもできる。Jain氏は、米国のグローバルEC企業eBayでユーザーIDの検証や、eBayのコマース・プラットフォームのリスクと信頼性評価を担当していたことから、このような行為に精通している。
「インターネット上のトラフィックを調べてみると、Webサイト上で見られるトラフィックの40%は基本的にボットであるという報告書やサイトが私たちのデータも含めて複数ある」とJain氏は語った。
ボット・トラフィックのこの割合は特定の業種によって異なり、eコマースと銀行とハイテク産業ではユースケースが異なる、と彼は付け加えた。
「この間には微妙な境界線がある。どの時点でシステムを悪用するのか?どの時点で完全に詐欺になるのか?これもまたケースバイケースだと思う」とJain氏は疑問を呈す。
「一線を越えるのは非常に簡単で、サービス契約の条件にユーザー情報のスクレイピング(Web上から必要なデータを取得すること)が禁止されている場合、ボットを使用してスクレイピングすると違法とみなされる」と彼は語る。
合法的ボット行為と違法ボット行為
「ボット自動化を利用してeコマースシステムを悪用する状況は他にも存在する。1 つは利益のために返品することである。商品を買ってそれを手元に置いておくつもりなら、返品は合法だ。しかし、それを繰り返し、習慣化すると、悪用となる。あなたの意図は本質的に、会社を不正に利用することなのだ」とJain氏は説明する。
ボットの不正利用のもう一つの形態は、支払詐欺である。攻撃者はボットを使って、クレジットカードのリストや盗まれた財務情報を入手するかもしれない、と同氏。そして、そのスクレイピングされた情報を使って、その目的で購入された商品を購入し、発送する。これは確かに違法である。悪質な行為者が、ある企業に金銭的な損害を与えることだけを目的としてボットを操作している場合、それは違法の範疇に入る。
ボットの利用を判断する上での重要な違いは、その行為が詐欺行為にあたるのか、それとも合法的な備蓄にあたるのかにあると同氏は説明。ボットが単に作業を自動化しているのか、それとも詐欺行為に使用されているのかを評価することが重要である。さらに、ボットを使用する事業者とデータを収集するWebサイトの所有者との間の合意は、この評価において重要な要素となる。
たとえば、米国の掲示板型ソーシャルニュースサイトRedditとGoogleの間で、Google AIを訓練するための大規模な言語モデル(LLM)を構築するために、Googleが収集したデータを使用することが合意されている。Jain氏によれば、これは良いボットとみなされる。しかし、中国のボット活動は、悪いボットの使用例である。
「私たちは、中国国内で全く同じことをしようとしている複数の団体を発見した。人工知能の開発を行っている米国の企業OpenAIでいえば、システムをスクレイピング(データを汎用的な形式に変更すること)したり、APIを使用して、OpenAIとの契約や支払い条件なしに、より多くのデータを取得したりしようとしているのだ」と彼は明らかにした。
ボットの脅威から身を守る
Davie氏によると、Arkose Labsのようなサイバーセキュリティ企業は、eコマースサイトをボットの活動から守るための高度な防御策を専門としているという。彼らは、常に更新される高度な検知技術を使用している。
「私たちは基本的に、攻撃者の行動をすべて監視している。どのように攻撃するのか、なぜ攻撃するのかを理解することができる。そのおかげで、検知方法を改善し、キャプチャを向上させ、攻撃を常に把握することができるのだ」と彼は言う。
ボット攻撃は、さまざまな業界にまたがって常に発生しているプロセスである。Arkoseがある分野の攻撃シナリオを緩和すると、攻撃者は別の業界やプラットフォームに飛び移る。
「攻撃は、猫とネズミのゲームのように流れていく。現在、攻撃はこれまでで最も多くなっているが、同時に最もよく緩和されている」とDavie氏は明かした。
常に攻撃のシグナルを探す
Jain氏はもちろん、同社の防御の秘策を明かすことはできない。しかし、彼は、eコマース・サーバー上で観測可能なさまざまなシグナルを活用することだと指摘した。これらのシグナルは、能動的なものと受動的なものの2つに分類される。
能動的なシグナルはエンドユーザーに影響を与える。一方、受動的なシグナルは舞台裏で動いている。
「ボットやボリュームのあるアクティビティを検知できる非常に一般的な例は、インターネット・プロトコルやIP、フィンガープリンティング上のデバイスなどの受動的なシグナルやそれらがどこから来たのか、あるいは行動バイオメトリックなどを調べた場合だ」。
たとえば、行動情報を調べるとしよう。あるアプリで誰かがログインしようとしているのを見たが、マウスの動きがないことに気づいたら、ログイン画面の向こう側にいるユーザーはボットかスクリプトの可能性が高いことを示している。
さらに、ITチームは既知の悪質なIPアドレスのリストをチェックする必要がある。あるいは、データセンターに関連するIPアドレスから30分以内に100万件のリクエストがあるなど、大量のリクエストがあることに気づいたら、それはボット活動の強力な指標となる。
「あなたや私のような人間が、自宅のIPアドレスから1時間に2回もログインしようとするのは、普通の行動とは考えにくい」とJain氏は説明。
3つ目の一般的な例は、速度チェックを行うことである。これは、特定のトランザクション・データ・エレメントが一定の間隔で発生する回数を監視するものである。異常値や既知の不正行為との類似点を探すのである。
※当記事は米国メディア「E-Commerce Times」の6/11公開の記事を翻訳・補足したものです。