インパーバ、小売業界のセキュリティトレンドを解説–“転売ボット”に注意

今回は「インパーバ、小売業界のセキュリティトレンドを解説–“転売ボット”に注意」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 Imperva Japanは11月18日、小売業界における脅威の潮流について説明会を開催した。同説明会には、米Imperva 最高技術責任者(CTO)のKunal Anand(クナル・アナンド)氏が登壇し、同社の調査レポート「The State of Security Within eCommerce(2022年版)」を基に、ECを展開する小売企業が抱える3つの脅威を解説するとともに、2022年末~2023年に企業が直面する脅威について予測を述べた。

 世界中のECサイトへの全トラフィックのうち、約40%(日本:27.9%)は人間ではなくボットによるアクセスである。サイバー犯罪者が悪用しているケースも多く、過去1年間におけるECサイトへの全トラフィックのうち、約4分の1(全世界:23.7%、日本:19.3%)が悪性ボットによるものだった。悪性ボットは、自動化機能を通してオンライン詐欺に加担する。中でも最新の手法を用いて人間の行動を模倣し、検知をすり抜ける高度なボットは、ボットトラフィックの31.1%を占め、前年の23.4%から増加した。

 分散型サービス拒否(DDoS)攻撃も急激に増えている。DDoS攻撃では、ネットワークやアプリケーションインフラストラクチャーに大量のトラフィックを送り、重要業務の妨害を試みる。こうした攻撃は、ボットをネットワーク化した「ボットネット」を活用して自動化しているケースが多い。DDoS攻撃を受けた小売企業は、アプリケーションにダウンタイムが発生し、ウェブサイトの障害や収益の損失につながる恐れがある。

 小売企業のウェブサイトとアプリケーションへの全トラフィックのうち、APIからのトラフィックは41.6%、うち12%は認証情報やID番号などの個人データを保存したデータベースなどのエンドポイントを送信先としている。APIトラフィックの送信先の3~5%は、セキュリティ担当者が存在を認識していない、もしくはセキュリティ保護の対象外となっている、文書化されていない「シャドーAPI」であると考えられるという。

 攻撃者はボットネットを使い、公開中のAPIや脆弱(ぜいじゃく)なAPIを標的に不要なトラフィックを送り、脆弱なアプリケーション、決済情報や認証情報などのデータを探し出す。APIへの攻撃は2021年9~10月にかけて35%、11月には22%増加している。

 小売企業では近年、SQLデータベースの代わりにデータウェアハウスやデータレイクを利用しており、この動きがセキュリティ上の課題となっている。「企業はデータがどこに保存されているのかを把握しきれていない。データの目録をきちんと取っておらず、データの抜き出しというリスクが高まっている」とAnand氏は指摘した。

 盗み出されているレコード(データベースにおける1行分のデータ)の量は、毎年224%増加している。攻撃者の手口も巧妙化しており、ランサムウェアなどを使って重要なデータを盗んでいる。

 データセキュリティの分野では、多くの法規制やそれに対する順守も注目されている。過去1~2年、日本の小売企業ではデータセキュリティに大きな注目が集まっており、同分野への投資は160%増加している。その背景には、個人情報保護法の改正があるという。同規制により、情報の開示やアクセスの管理が一層求められている。クラウドの普及も、データセキュリティへの投資増加を後押ししている。

 Impervaは、2022年末~2023年に小売企業が直面する脅威について、2つの予測を発表した。1つ目は、ボットによるECサイトへの攻撃。この攻撃は2021年10月に10%、11月には34%増加しており、小売業界の繁忙期であるホリデーシーズンに向けて拡大していると見られる。特に、アカウントの乗っ取りや人気商品を大量に購入して転売する「グリンチボット」が懸念されている。

 2つ目は、APIを介したデータの抜き出し。2023年には数百万ものレコードが盗まれると同社は推察する。APIはEC事業で普及しているため、ハッカーにとって最大の標的となる。APIはデータのすぐ上に存在するため、APIへの攻撃は企業が持っている大量のデータにアクセスすることを意味する。Anand氏は「既に世界各地において、APIを介したレコードの抜き出しが何千万という単位で確認されている。企業にはアプリケーションだけでなく、APIの保護にも注力してもらいたい」と述べた。

元記事: https://japan.zdnet.com/article/35196293/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
マイクロソフト、Eclipse Foundationの「Jakarta EE」および「MicroProfile」ワーキンググループに参加表明。Javaへのコミットメントをさらに強める
Eclipse
2022-07-15 06:34
国連を装いウイグル族にサイバー攻撃–中国のハッカー集団か
IT関連
2021-06-01 20:26
ゼンリンCVC子会社出資第1号の「レイ・フロンティア」とゼンリンが移動最適化や位置情報ビジネスで提携
モビリティ
2021-06-08 22:12
電子契約「NINJA SIGN by freee」、SMSを使った契約締結・文書送信を可能に
IT関連
2022-03-02 18:06
電話やメールでの“コロナワクチン詐欺”に消費者庁が注意喚起 そもそも「接種は無料」
企業・業界動向
2021-02-10 17:11
「あれはいい鋳物だ」 南部鉄器のザク鉄瓶、量産型になって再登場
くらテク
2021-05-13 05:59
キーサイトの寺澤新社長が就任会見、AIや半導体への取り組みを加速
IT関連
2024-08-04 23:17
NECや東大ら、ローカル5G活用の通信ソリューション実証機開発–移動・自律運用可能
IT関連
2023-04-05 04:01
「Chrome」のサードパーティークッキー廃止が2023年に延期
IT関連
2021-06-25 17:15
Amazon S3が不正なリクエストでも利用料が加算される現象、AWSが修正を完了したと報告
AWS
2024-05-20 09:29
伊藤忠商事、クラウド型統合人材管理基盤を導入–CTCとSAPジャパンが構築
IT関連
2024-02-02 05:28
3500社超が導入、属人化し蓄積されていない社内ナレッジを整理・検索できる情報共有クラウド「Qast」が1.5億円調達
ネットサービス
2021-06-25 16:40
トランプ氏支持者によるTwitterクローン「GETTR」誕生(トランプ氏のものらしきアカウントあり)
アプリ・Web
2021-07-03 10:40
米食肉加工大手JBS、サイバー攻撃受け身代金約12億円支払い
IT関連
2021-06-11 12:34