ボットがイスラエル政府のサービスを転売
著者:Gon Avnon
エグゼクティブサマリー
Akamai の研究者は、さまざまな政府機関を通じてイスラエル国民に付け入っているボットの状況を監視しています。
70 万人以上のイスラエル人がパスポート更新の予約を希望しており、内務省では作業が数か月分たまっています。
ある開発者グループが、MyVisit を介して予約するボットを作成しました。MyVisit は、イスラエル政府の一部の政府機関で使用されている予約スケジューリングプラットフォームであり、公共利用のために無料でリリースされていました。
その後すぐに別のグループが独自のボットを作成し、内務省、運輸省、国民保険、イスラエル郵便局、電力会社など、さまざまな政府サービスの MyVisit 予約に価格を上乗せして販売しました。それぞれの予約は 100 ドル以上で販売されています。
MyVisit は CAPTCHA を使用してボットを緩和しようとしましたが、攻撃者のボットはこれをすぐにすり抜けました。
これらのボットを効果的に阻止するためには、より包括的なソリューションが必要です。このためボット管理製品は、デバイスフィンガープリント、ブラウザーの検証、JavaScript チャレンジ、バックエンドでデータを分析し分類する高度な機械学習モデルなど、さまざまな対策を講じています。
概要
スクレイパーボットは、デジタルコマースを利用する世界中の買物客にとって危険なことで悪名をはせています。転売屋は、ゲームコンソール、人気のスニーカー、コレクションの対象となるもの、グラフィックカードなどの限定商品を標的にして、テクノロジーに疎い消費者にそれらを転売して利益を得ています。
しかし、イスラエルでは、政府サービスを転売する新たな市場の発生が脅威となっています。イスラエル人は、額面よりも高い価格のコンサートチケットで搾取されるのではなく、日常生活に関するサービスで詐欺に遭っています。この転売市場は、休暇で旅行に行けないことよりも大きな被害を発生させるおそれがあります。
このブログの投稿では、この脅威がどこから始まったのか、現在どこに存在しているのか、そしてイスラエルとそれ以外の国にも発生する危険性について説明します。
パスポートの需要急増
新型コロナウイルス感染症(COVID-19)が私たちの生活にもたらした最大の影響の 1 つは、旅行がたちまち停止されたことでした。幸いにも、旅行は少し復活しましたが、この物語はここから始まります。過去 2 年以上自宅に閉じこもっていた数百万人のイスラエル人は海外旅行に行きたくてうずうずしていて、長い間忘れていたパスポートを探しました。そして、数十万人もの人々が、パスポートの有効期限が切れていることを発見しました。パンデミック後の内務省は、人手不足で対応できず、休暇を待ち焦がれていたイスラエル人の急増により過負荷になっています。申請が 70 万件以上たまって おり、 労働争議が発生し、外務省がパスポートを処理できず 、イスラエルからの出入国が困難になっています。
では、イスラエル人はどのようにしてパスポートを入手しているのでしょうか。パスポート更新の予約をする場合は、新しい予約枠が午前 7 時に開くオンライン予約 Web サイトの MyVisit を繰り返しチェックし、予約が可能な場所を探します。多くの人が何か月も待たされ、必要な予約を取得するために国内を移動したりしています。
しかし、数人の開発者が、予約スケジューリングボットを使用した便利なソリューションを開発しました。そのボットの名前は GamkenBotです。連絡先情報と希望の場所を指定すると、この予約ボットはスケジュールシステムを迅速に検索し、予約枠が空いたらすぐに検出して確保します。このボットは公共の利益のためにリリースされ、広く受け入れられたため、そのクリエーターたちはすぐに、この官僚主義との戦いにおけるヒーローとなりました。
貪欲なビジネスの発生
残念ながら、ほとんどのものは、良いことに使用することも、悪いことに使用することもできます。間もなく、人々がこの善意のボットを悪用して、貴重な予約枠を転売し、希望を失っていた市民に売りつけ始めました。
5 月 10 日、GamkenBot の発売直後に、ある Telegram チャネルで MyVisit Appointments Group(MyVisit 予約グループ)が立ち上げられました。MyVisit の予約システムを利用している政府機関は内務省だけではないようです。この Telegram グループは、パスポートの更新だけでなく、人口関係の公的機関、イスラエルの電力会社、国民保険、イスラエル郵便局、運輸省などの予約も行っています。管理者は、空いている予約がないかスキャンして直ちに予約するボットを開発している開発者グループであると主張しており、その予約は後で購入できます。2 件以上の予約の購入者には割引も提供されます。
このようにして、重要な政府サービスは取引される商品になったのです。必要不可欠なサービスを求めている市民から搾取することでも十分に悪質と言えますが、これは国家の安全保障に重大な意味を持つ可能性があります。これについては後述します。
ボットの開発者は、顧客のためにサービスを提供していると主張しています。しかし実際には、彼らのビジネスはスニーカーやコンサートチケットの転売と同じです。プロバイダーと消費者の間に割り込み、彼らが割って入らなくても可能だった取引に対して手数料を請求します。
さまざまな公共機関が、利用しやすくするために予約スケジューリングシステムの MyVisit を使用しています。しかし、実装が安全でないため、解決すべき問題を拡大してしまいました。この状況は、人々の生活に不可欠な金融、行政、その他のサービスと引き換えに金銭が要求されていることを意味します。
国家の安全保障のリスク
悲惨なことに、この状況が意味するところは、基本的な政府プログラムを求めている市民を直接だますということだけにはとどまりません。敵意を持った組織や統制の取れていない組織が、内務省のパスポートラインだけでなく、運輸省でのトラックやバスの運転手の登録、国民保険や電気会社に対する閲覧などの利用を停止させるおそれが出てきているのです。その対象が拡大して、医師の予約や病院の手続きが含まれるようになったとしたら、一体どうなるのでしょうか。
脅威の緩和
MyVisit は、 予約ページに CAPTCHA を埋め込むことで、ボットをブロックしようとしましたが、ボットの開発者は ほんの数日でそれをすり抜けました。CAPTCHA は最終的には、アンチボットソリューションにはなりません。CAPTCHA の難易度や攻撃者の動機に基づいて、自動生成されたリゾルバー、手動ファーム、トークン収集など、比較的単純な手法を使用してすり抜けることができます。
初期のボットでは、HTTP ヘッダーの単純な異常によって多くのボットを検知できました。しかし最近では、ボットが進化して人間との対話をオンラインで巧みに模倣するようになっています。今日の最新のボットに打ち勝つために、ボット管理製品はより高度な対策を講じています。デバイスのフィンガープリントとふるまい分析を機械学習モデルと組み合わせ、毎日数十億ものリクエストを利用してトレンドや異常を検知しています。ボット開発者はブラウザーの環境を操作し、人間の行動を模倣することを学習しています。そのため脅威研究者は常に検知機能の向上に取り組んでおり、属性の改ざん、自動化の痕跡、新たな回避方法を探しています。
小規模であっても十分な動機とリソースを持つ攻撃者は、最終的にはどのようなアンチボット機能もすり抜けることができます。ただし、私たちは攻撃者が越えるべき障壁はできるだけ高くするべきであり、また絶えず高くしていく必要があります。少なくともこの点において、一部の政府機関はスニーカー会社よりも遅れているようです。
結論
現代社会のボットには、いくつかの大きな利点があります。たとえば、予約のソートに役立つボットはきわめて有益だったため、市民の間で受け入れられていました。また、私たちの生活を楽にし、ちょっとした不便を減らすことを目的としたチャットボットとヘルパーボットも、しばしば役に立っています。
テクノロジーの進歩に伴い、複雑化したタスクは自動化してボットに委任することができます。これらのボットのおかげで、私たちは面倒な作業を行わずに済み、より大きな課題に対応できますが、ボットは災いをもたらす可能性もあります。公正なオンラインライフを保護し、確保するためには、ボットを識別して分類し、ボットをふさわしくない場所から遠ざけておく必要があるのです。
