オンラインショッピングの需要がピークを迎える年末年始。小売やEC事業者にとって絶好の商機だが、ウェブサイトへのアクセスが集中する時期でもあり、事業者はトラフィック急増に対応する準備を怠ってはならない。

Impervaの最新調査「eコマースにおけるセキュリティの現状 2022年」によると、ECサイトへの全トラフィックの約40%は、人間ではなくボットによるアクセスだったことがわかった。※1ユーザーによるアクセス急増は嬉しい悲鳴かもしれないが、意図的に業務妨害を行い、近年ますます大規模かつ強力になるDDoS攻撃には細心の注意が必要である。

さらに、トラフィックのなかには、金銭を目的としたその他のサイバー攻撃もある。オンラインショッピング市場が拡大の一途をたどる中、脆弱なシステムを持つECサイトは絶好の標的となり、被害はあとを絶たない。

サイバー脅威は年々巧妙化しており、セキュリティ対策が徹底されていないと、個人情報漏えいなど、ブランドの毀損リスクをもたらす被害に遭う可能性がある。セキュリティベンダーのImpervaは、近年、企業が扱うデータに対するプライバシー規制の強化もあり、2023年には情報漏えいに関連する罰金額は過去最高額に達すると予測している。

ほかにも、小売やECサイトは、転売目的の買い占めボットなど、利益損失をもたらすさまざまな脅威に直面している。

この記事では、小売業界を標的としている脅威の種類や、その対処法を紹介する。

小売業界は悪質かつ高度なボットに狙われる傾向に

Impervaの調査によると、小売業界への全トラフィックの約4分の1は、ボットの中でも人気商品の買占めや、ユーザーのアカウントへ不正アクセスなどを試みる「悪性ボット」によるものだった。悪性ボットのうち3割以上は、最新の手法を用いて、セキュリティ検知を回避することができる「高度なボット」で、小売業界は、ほかの業界と比較して狙われる割合が高い結果となっている。※2

  • レベル別にみる 「悪性ボット」の割合(左から「高度」「中度」「低度」)

    レベル別にみる 「悪性ボット」の割合(左から「高度」「中度」「低度」)

出典:e コマースにおけるセキュリティの現状 2022 /P15:複雑化するボット攻撃 説明図版より(参考日:2022年12月23日)

DXの必須要素である、APIも標的に

デジタルトランスフォメーション(DX)が潮流となるなか、小売業界でもほかの業界同様、アプリケーション・プログラミング・インタフェース(API)の採用が進んでいる。APIはアプリケーション、コンテナ、マイクロサービスにおいてデータを迅速に交換し、より優れた顧客体験や利便性を享受できる。たとえば、スマートフォン向けアプリに活用されることが多い。

APIにより開発の利便性と俊敏性は高まる一方で、サイバー犯罪者にとっては、攻撃の対象領域が拡大する。小売業者のウェブサイトとアプリケーションへの全トラフィックのうち、APIからのトラフィックは41.6%で、前年同期比30%と急増している。そのうち12%は、ECサイトへのログイン情報や決済情報などの機密データを保存した、データベースなどのエンドポイントに送信されていた。※3

  • 小売業界のウェブサイトにおけるトラフィックの割合 (緑: API、青: ウェブサイト)

    小売業界のウェブサイトにおけるトラフィックの割合(緑: API、青: ウェブサイト)

出典:e コマースにおけるセキュリティの現状 2022 /P13:トラフィックの大部分を占める API 説明図版より(参考日:2022年12月23日)

APIへの攻撃は多くの場合、ボットをネットワーク化した「ボットネット」を用い、公開中のAPIや脆弱なAPIを標的に不要なトラフィックを送信、脆弱なアプリケーションや機密データを探し出す。

API攻撃は2021年9月から10月にかけて35%、11月には22%増加している。ブラックフライデーやサイバーマンデーを始めとし、年末年始のショッピングシーズンに向けて、サイバー犯罪者の行動も活発化している様子が伺える。※4

  • 小売業界のウェブサイトに対するAPI攻撃の推移

    小売業界のウェブサイトに対するAPI攻撃の推移

出典:e コマースにおけるセキュリティの現状 2022 /P12:API 攻撃の傾向 説明図版より(参考日:2022年12月23日)

APIセキュリティに取り組む多くの企業にとって、可視性が大きな課題となっている。原因として、セキュリティ担当者がAPIを把握し、十分な保護を確保する前に、本番環境にリリースされている「シャドーAPI」の存在が挙げられる。これらは安全なAPI同様、機密データにアクセスできるにも関わらず、セキュリティ担当者やAPIゲートウェイがその場所や接続先を把握できない状態になっており、APIに送信されるトラフィックの3%~5%がシャドーAPIだと考えられている。※5さらにサイバー犯罪者は、「ゾンビAPI」と呼ばれる正しく無効化されていないAPIを通じて、開発者やセキュリティ担当者の監視を回避しつつ、高度な攻撃を仕掛けることができる。

Impervaでは、今後1年でAPIを狙ったサイバー攻撃が原因で、大規模な情報漏えい事件が起きると予測している。

年末年始の商機、顧客体験を維持しつつ、セキュリティを確保するには

Impervaは、すべてのデータとそこに至る経路の保護を提供している。特に小売業者やECサービスを運営している企業には、ウェブサイト、モバイルアプリケーション、およびAPIにおいて自動化された攻撃を阻止する、Imperva Advanced Bot Protectionをおすすめする。また、オンラインショッピングの際の決済など、クラウド上の取引を保護し、サービスの停止を防ぐことで顧客体験を維持する、Imperva Cloud Data Securityもご覧いただきたい。

※本記事はImperva Japanから提供を受けております。著作権は同社に帰属します。

■関連リンク

■参考(参考日:2022年12月23日)
※1…e コマースにおけるセキュリティの現状 2022 /P14:小売業者へのトラフィックの 40% 以上を占めるボット
※2…e コマースにおけるセキュリティの現状 2022 /P15:複雑化するボット攻撃
※3、5…e コマースにおけるセキュリティの現状 2022 /P13:トラフィックの大部分を占める API
※4…e コマースにおけるセキュリティの現状 2022 /P12:API 攻撃の傾向

[PR]提供:Imperva Japan