ホーム > mixiニュース > IT・インターネット > IT総合 > 1日に1.15億回以上 急増する不正ログインの裏に“botの存在”

1日に1.15億回以上 急増する不正ログインの裏に“botの存在”

0

2019年04月19日 07:22  ITmedia NEWS

  • チェックする
  • つぶやく
  • 日記を書く

ITmedia NEWS

写真業種別の不正ログイン試行(クレデンシャル・スタッフィング)の数(対象期間: 2018年5月1日〜12月31日)
業種別の不正ログイン試行(クレデンシャル・スタッフィング)の数(対象期間: 2018年5月1日〜12月31日)

●連載:迷惑bot事件簿



【画像】ECサイトを狙う「買い占めbot」



さまざまなタスクを自動化でき、しかも人間より早く処理できるbot。企業にとって良性のbotが活躍する一方、チケットを買い占めるbot、アカウントを不正に乗っ取るbot、アンケートフォームを“荒らす”botなど悪性のbotの被害も相次いでいる。社会や企業、利用者にさまざまな影響を及ぼすbotによる、決して笑い事では済まない迷惑行為の実態を、業界別の事例と対策で解説する。著者は、セキュリティベンダーの“中の人”として、日々、国内外のbotの動向を追っているアカマイ・テクノロジーズの中西一博氏。



 最近のサイバー攻撃のニュースを追っていると、不正ログインに起因する被害を目にする機会が増えてきた。この連載でも何度か取り上げてきた話題ではあるが、新たに発表されたいくつかの分析データを用いて、今回あらためてこの攻撃の動向とbotの関わりについて考察してみたい。



●急増する不正ログインの裏に“botの存在”



 1月31日にIPA(情報処理推進機構)が発表したレポート「情報セキュリティ安心相談窓口の相談状況2018年第4四半期(10月〜12月)」によれば、インターネットサービスへの不正ログインに関する窓口相談件数は、前四半期と比較して66.2%増の113件に達した。この件数は過去最高値という。本連載でも取り上げてきた不正ログインの増加が、日本の統計データにも明確に表れた一例といえるだろう。



 何らかの手段で入手したIDとパスワードの組み合わせを用いて、標的とするサイトに不正ログインを試行する行為は、日本では「パスワードリスト型攻撃」と呼ばれている。これをbotで大量に試行する行為が、「クレデンシャル・スタッフィング」(Credential Stuffing:認証情報の詰め合わせ攻撃)だ。急増するbotを用いたアカウント乗っ取り攻撃の被害抑止は、世界中で今まさに全力で取り組むべき大きな課題となっている。



 一方、3月上旬にアカマイ・テクノロジーズ(アカマイ)が発表したレポート「2019 年インターネットの現状/セキュリティ:小売業界への攻撃と API トラフィック」では、このクレデンシャル・スタッフィングに関する最新の分析データを公開している。その内容を少しのぞいてみよう。



 世界中の企業のWebサイトや、スマホアプリのコンテンツを中継、高速配信しているアカマイのサービスが記録した、顧客企業のWebベースのサービスへのアクセスを8カ月間(2018年5月〜12月)にわたり分析したところ、クレデンシャル・スタッフィングによる不正ログイン試行の総数は、279億8592万324回だった。平均だと1日当たり1.15億回以上の不正ログインが試行されていたことになる。その8カ月間の総件数を、対象となった業界別に分けたのが記事内の図だ。



●小売りを狙う“オールインワン”機能搭載の買い占めbot



 この図からまず分かるのは、大きな割合を小売業と動画(ストリーミング配信)メディアが占めているという点だろう。



 ECサイトを含む小売業が狙われる理由は分かりやすい。主に高額転売できる商品の買い占めを狙って、大量のbotが世界中からログインを試みるからだ。観測された100億回のうち、約37億回がアパレル業界に対するものだった。



 個々のECサイトに特化して大量の購買を試みる専用の「AIO(All-in-One)bot」は、ネットで比較的簡単に購入できる。AIO botはその名の通り、さまざまなbot検知の回避術を備えている。ユーザーにゆがんだ難読文字を入力させてbotを判定する「CAPTCHA」の自動突破などは、セールスポイントとなる機能の一つだ。botとして利用できる複数のプロキシ(中継)サーバのリストや、大量のIDとパスワードのリストを別途入手し、このツールに読み込ませることで、時には高速に、時には検知を避けるため延々と時間をかけて、複数のアクセス元から商品の買い占めを自動で実行する。



●動画ストリーミングサービスが狙われる理由



 一方、動画ストリーミングサービスのアカウントが狙われるのは、(正規のユーザーに無断で)“無料視聴”ができるアカウントを見つけ出すためだ。まずは、サブスクリプション制の有料動画配信サービスで有効なIDとパスワードの組み合わせを照合するためにbotが用いられ、適合したIDとパスワードの組み合わせが、アンダーグラウンドで販売される。また、配信サイトのユーザーの個人情報だけでなく、視聴履歴など個人の趣向を示す情報を収集する目的で行われている可能性もある。



 さらに海外では、特定の動画や楽曲、それらをまとめたプレイリストを複数のアカウントを使ってbotに繰り返し再生させることで、視聴数に応じた報酬を稼ぐ“プレイリスト詐欺”といった不正行為の存在も疑われている。



●幅広い業種に広がる不正ログインbotの被害



 業種別の不正ログイン試行の図を注意深く見ると、製造業など一見bot被害とは無縁と思われる企業に対しても、(製造業では割合こそ約5%と少ないが)不正ログインが試行されていることが分かる。13億回という件数は、決して無視はできない。



 昨今これらの製造業でも、消費者向け自社ブランド製品の直販ECサイトや、年間を通してポイントを獲得するような会員登録制のマーケティングキャンペーンサイトを運用していて、顧客の登録ログインアカウントを大量に保有している。こうしたアカウントが不正ログインの対象として狙われている。



 また、筆者がいま日本の社会で、最も危ないと考えているのは、SaaS(Software as a Service)型で提供されているさまざまな企業や個人向けサービスへの不正ログインだ。



 今年1月、ファイル転送サービス「宅ふぁいる便」が不正アクセスを受け、登録ユーザーの情報が漏えいしたニュースは、社会に大きな衝撃を与えた。この事件は、botによる不正ログインが引き起こしたものではないが、日本で開発・提供されているSaaS型のサービスにも攻撃者が狙うに値する多くの情報が眠っていることを浮き彫りにした。



 「名刺管理」「ビジネスチャット用の社内SNS」「採用管理」「販売管理」「会計処理」「BI/データ分析」「オンラインストレージ」など、現在SaaSで提供されている主なサービスの内容を俯瞰すれば、闇市場で取引できる企業の機密データや顧客の個人情報が多く取り扱われていることは想像に難くない。



 これらのサービスに不正に入手した大量のIDとパスワードで、実際にログインできるか否かを検証する際には、botが使われるだろう。botによって検証されたID、パスワードを悪用した不正なログインを許せば、それらのSaaS型のサービスやアプリケーションが抱えるデータが大量に流出する恐れがある。



 これらのSaaS型のアプリケーションを利用するユーザー側も、提供者側の「当社のセキュリティポリシー」といった文言だけで判断せず、対象となるサービスで具体的にどのようなセキュリティ対策が取られているか、どのようなリスクが想定されるかを厳しい目で確認した上で、利用するサービスを選択する必要があるだろう。



●著者紹介:中西一博



1992年、日立情報ネットワークにシステムエンジニアとして入社。日立グループを統合するネットワークで各種のインターネットセキュリティサービス、モバイルアクセスサービスなどを開発し、当時黎明期にあった企業のサイバーセキュリティ運用のひな型を築いた。その後2000年にシスコシステムズに入社。セキュリティスペシャリストとしてシステムエンジニア、プロダクトマネジャー、マーケティングを担当し、新技術を元IT部門の視点を生かして分かりやすく解説するソリューション提案でネットワークセキュリティの業界を15年間にわたりリードした。2015年1月からはアカマイ・テクノロジーズ合同会社でプロダクト・ マーケティング・マネジャーとして、同社のクラウドセキュリティソリューションを担当。TVニュースや記事、セミナーなどで最新のサイバー攻撃動向を解説している。


    あなたにおすすめ

    ニュース設定