悪性ボットの主要ターゲットに旅行業界が浮上

世界のインターネットトラフィックの約半分が、人間によるものではなく、タスクを自動的に実行するアプリケーション、すなわちボットによるものになりました。ボットが実行するタスクは、検索エンジンにおけるWebサイトインデックスの作成やWebサイトのパフォーマンス監視など、その多くが正当なものですが、悪質な動きをするボット(悪性ボット)も増加しています。

Impervaが実施した調査によると、2023年に観測したボットによるインターネットトラフィックのうち、32%が悪性ボットによるもので、この割合は過去5年連続で増加しています。

ボットは、正規ユーザーになりすましてアプリケーション間をやりとりするように設計されているため、ネットワーク防御で検知・ブロックすることが困難です。悪性ボットは、技術的な脆弱性ではなく、アプリケーションの機能やプロセスを利用したビジネスロジックを悪用するため、分散型サービス拒否(DDoS)攻撃や取引詐欺、データの盗み出しなど、さまざまな悪質な活動を行うことができます。

また、ユーザーになりすましたボットは、データの盗み出しや商品の購入をしない場合も、帯域幅を消費することでサーバ速度を低下させ、ビジネスモデルに損害を与えることができます。

この悪性ボットによる影響を深刻に受けている業界の一つが旅行業界です。旅行業界における悪性ボットのトラフィックは、業界内の全トラフィックのうち45%を占め、増加傾向にあります。

また、悪性ボットによる攻撃トラフィックリクエストを業界別にみると、旅行業界は全体の21%を占めており、小売業界と並び最も大きな割合となっています。

こうしたことからは、パンデミックによる混乱が収まり、旅行業界の業務が活気を取り戻すにつれ、脅威をもたらすハッカーが攻撃に乗り出そうとしていることが伺えます。巧妙化し、蔓延し続ける悪性ボットに対し、ITチームは、すべてのデジタル接点にわたる多層防御を展開する必要があります。適切な対策が取られない場合、次に挙げるような被害に遭う可能性があります。

旅行業界でみられる悪性ボット攻撃の被害例

旅行業界が被害を受ける悪性ボット攻撃の代表的な例としては、Webスクレイピング、座席のスピニング、アカウント乗っ取りなどが挙げられ、特に航空会社が多くの悪性ボットトラフィックの矢面に立たされています。

「Webスクレイピング」は、航空会社などのWebサイトの中に、旅行代理店、情報収集サイト、あるいは競合他社が運営するボットが許可なくアクセスし、航空会社が独自で保有するデータを収集します。これにより、予約率などビジネスの重要な指標や洞察に悪影響を与えるだけでなく、企業がパートナーに支払う手数料が急増することもあります。中には、検索APIをスクレイピングする悪性ボットのトラフィックが急増したことにより、APIリクエストに対し毎月50万ドルを支払った例もありました。

「座席のスピニング」は、アジア太平洋地域の航空会社で横行しており、悪性ボットが航空会社などの座席を確保し続けます。これにより、認可されていない旅行代理店などのオンライン事業者は、料金を支払うことなく、これらの座席を転売することができるようになります。旅行代理店らがこれらの座席を販売できなかった場合、航空会社は、満席と思われたフライトが定員を大幅に下回る乗客数で出発することになります。

その結果、航空会社は大きな経済的損失や信用の失墜など重大なダメージを被ることになりますが、この被害に気づくことは出発直前まで困難です。

そして、悪性ボット攻撃がより露骨な犯罪行為に関連するケースも見られます。攻撃者たちは、過去に流出したIDやパスワードを悪用して、顧客のアカウントに総当たり攻撃を仕掛けます。よく使われる手口はクレデンシャルスタッフィングですが、パスワードスプレー攻撃やその他の総当たり攻撃にボットを用いることもあります。顧客アカウントへの不正アクセスに成功した場合、アカウントに付帯されているポイントを悪用し、航空券やホテルの部屋を購入し、転売することができます。

「高度化」する悪性ボット攻撃にさらされる旅行業界

悪性ボット攻撃は、大きく2つに分類されるようになってきています。1つは、ボットが単一のISP割り当てIPアドレスから接続し、自動スクリプトを使用してサイトやアプリに接続する低度なものです。これは ブラウザであると自己報告することなく行われます。

もう1つは、ボットがマウスの動きやクリックなどのユーザーの行動を模倣して検知を回避する、高度な脅威の一部となるものです。この高度な悪性ボットは、ブラウザ自動化ツールや、ブラウザにインストールされたマルウェアを用いてサイトに接続します。

単純なWebスクレイピング活動は前者に含まれますが、より高度な詐欺やアカウント乗っ取りの試みには、高度な悪性ボットが使用される可能性が考えられます。旅行業界は、高度な悪性ボット活動による被害が多い業界の一つであり、2023年に検出された旅行業界における悪性ボット攻撃のうち、61%がこの高度な悪性ボットによるものでした。

旅行業界が講じるべき悪性ボット対策

小売業界と並び、悪性ボット攻撃の標的の一つである旅行業界。今後やってくる繁忙期に向け、ITチームではどのような対策を講じることができるでしょうか?

第一に、高度なトラフィック分析とリアルタイムのボット検出によりリスクを特定することです。そして、組織が最も危険にさらされている場所を把握することです。Webサイトやアプリ上のあらゆるログイン機能が、クレデンシャルスタッフィング攻撃や総当たり攻撃にさらされる可能性があります。組織のデジタル接点すべてをカバーするセキュリティ戦略を設計することが重要であり、その接点にはAPIやモバイルアプリも含まれます。

すぐに実践できる対策としては、Webサイトやアプリへのアクセスに使われる古いバージョンのブラウザをブロックすること、大量のIPデータセンターからのアクセスを制限すること、異常な速さのやりとりなど自動化の兆候を検知する仕組みを導入することが挙げられます。

また、トラフィックを継続的に監視し、高い直帰率や低いコンバージョン率、あるいは突発的で説明のできないトラフィックの急増などの異常を調査することも有効です。疑わしいトラフィックのソースを分析することで、単一のIPアドレスやISPなどのパターンが、悪性ボットの兆候であるかどうかを認識することができます。

現在の脅威の状況を常に把握しておくことも重要です。中でも、攻撃者が自動化されたアカウント乗っ取り攻撃に悪用する可能性のあるような新たなデータ侵害に対しては注意が必要です。

ボット技術は、特にAI分野において進化を続けています。そのため、良性ボットと悪性ボット、人間とボットを区別することがますます難しくなっています。旅行業界にとって、ユーザー行動分析、プロファイリング、フィンガープリンティングを含む多層防御は必要不可欠です。早急な対策を講じなければ、悪性ボットの数は増え続けるでしょう。

著者プロフィール


Imperva Japan シニアセールスエンジニア 伊藤 秀弘


ユーザー企業のIT部門で運用管理・開発に携わった後、セキュリティベンダーにおけるセールスエンジニアとして、データセキュリティ、API, WAF, DDoS, ボット管理や IPS, 脆弱性管理、エンドポイントセキュリティなど幅広いセキュリティ製品の導入提案やサポートに20年以上従事。セキュリティトレンドに関するセミナーの講師としても多数登壇。