X

クラウドコンピューティングが必要ですか? 今すぐ始める

Akamai logo
+1-8774252624
+1-8774252624
ログイン
Control Center
Akamai プラットフォームへのアクセス
Cloud Manager
クラウドリソースを管理する
製品トライアル
サイバー脅威にお困りの方
ログイン
Control Center
Akamai プラットフォームへのアクセス
Cloud Manager
クラウドリソースを管理する

最善を尽くすには:ホリデーショッピングを脅かすスニーカーボットの影響

Akamai Wave Blue

執筆者

Tricia Howard and Joseph Martinez

October 05, 2023

Tricia Howard

執筆者

Tricia Howard

Tricia Howard is an artist gone rogue who ended up in cybersecurity research. With a bachelor’s degree in theater arts and interests ranging from “Star Wars” to opera, she likes to bring a bit of pizzazz into the cyber realm. When she’s not helping researchers get their stories out efficiently and effectively, without denigrating the technical acumen of the piece, you can find her writing and performing security parody songs; dramatically reading cold emails; speed jigsaw puzzling; hanging out with her Pomsky dog, Darth; and begging people to smile. You can also catch Tricia live on her monthly show: Monthly Threat Brief: The SIG Download!

Joseph Martinez

執筆者

Joseph Martinez

Joseph Martinez is a Senior Solutions Engineer at Akamai.

私たちはこれから、ボットや攻撃者とともに、そして、恐怖と喜びが混在し絶え間なく変化する場—インターネットとともに、年末へと向かって行きます。今、あなたがすべきことは、自分自身のためにサイバーセキュリティに関する知識を高めることです

動画:Joseph Martinez

はじめに

ボット は、テクノロジー分野やセキュリティ分野で、良い用途に使われる可能性のあるものの 1 つです。たとえば、チャットボットのようにすばやく応答してシンプルに「基本的な快適さ」を提供するボットもあれば、検索エンジンが正しい結果を示すために役立つボットもあります。その一方、ボットは大きな害をもたらす用途に使われる可能性もあります。

セキュリティの専門家である私たちがボットから思い浮かべるのはたいてい 分散型サービス妨害(DDoS)攻撃 です。DDoS は世界中の組織に大きな混乱をもたらしてきました。そしてその影響を最も受けてきたのはこうした組織の顧客です。

DDoS 攻撃の中でも特に悪名の高い 2016 DynDNS 攻撃は、FAANG(Facebook、Amazon、Apple、Netflix、Google)レベルの企業にまで、サービスの停止をもたらしました。DDoS の勢いはいまだに低下していません。一方、攻撃者は、DDoS 関連の戦略を進化させつつあり、 ランサムウェア被害者への二次的な脅迫手段としても使用しています。

とは言え、一般消費者にとって「ボット」といえば、会話するチャットボット(ChatGPT など)や、問題解決のための適切なチームに導いてくれるカスタマー・サービス・ボットではないでしょうか。確かに、これらはボットの領域のなかで、「無害で有益な」側に近いものと言えます。

消費者は気づいていないかもしれませんが、ボットが価格つり上げの原因となることもあります(実は頻繁に発生しています)。 それも 欲しい商品が入手可能な状況であればですが...。欧米のホリデーシーズンがもうすぐ始まるこの時期、消費者は いつもより一層、用心する必要があります

サイバーセキュリティは全員の責任

通常、Akamai Security Intelligence Group(SIG)は、技術的なセキュリティ調査に関する詳細情報のみを投稿していますが、10 月は「サイバーセキュリティ意識向上月間」です。これは、チケットや限定版の商品が欲しくてもなかなか手に入らない理由をお客様に直接説明するよい機会だと考えました。

ボットにはさまざまなタイプがありますが、このブログでは、悪性の「スニーカーボット」または「スカルパーボット」に焦点を当て、どのようなボットなのか、その使われ方、そしてこれらのボットの存在と利用状況が消費者に与える影響について説明します。

ビデオキャストをブックマーク

スニーカーボットとは?

スニーカーボットは、Web サイトをスクレイプして商品を確保するように設計されている悪性コードです。限定版のスニーカーなどの予約によく使われるため、このような名前が付けられています。このボットは「スカルパーボット」や「スナイパーボット」と呼ばれることもあります。これらのボットは靴だけを目的としているわけではなく、また、デジタルコマース以外の分野でも爆発的に増加しています。たとえば、 イスラエルでは、 2022 年の夏にパスポート更新のバックログが標的となりました。

このタイプのボットは、潜在的な顧客に大きなフラストレーションを与えるだけでなく、転売価格をつりあげる略奪的な業界にも拍車をかけています。喉から手が出るほど欲しいものを購入するために、異常な高値を付けているサードパーティ再販サイトを利用せざるを得なかったという経験はありませんか。 このようなサイトの利益率は、 最大 7000% にも達しています。

スニーカーボットは違法?

弁護士に問えば、答えは「場合によりけり」となります。しかし、いくつかのデジタル・コマース・サイトの利用規約に違反していることは確かです。適切なノウハウさえあれば誰でも始められることから、二次業界も生まれています。それが「サービスとしてのスニーカーボット」です。

このサービスでは、すでに構築されているボットを有料で利用できます。個々の場合に応じて、ボットを購入して継続的に使用することも、レンタルで利用することも可能です。料金はかなり高額で、 最大 500 ドル に上るケースもあります。しかも、 こうしたサービスを利用しても、商品の入手が保証されるわけではありません。このようなサービスは可能性を高めるものであって、入手を保証するものではないのです。

リスクを取る価値はある?

しかし、ホリデーシーズンには、こうしたサービスのどれかを利用したくなる気持ちもわかります。お子さんがいつも話している限定版の Nike シューズを家に持って帰ってきたとしたら、あなたは「ペアレント・オブ・ザ・イヤー」並みの絶賛を受けるに違いありません。しかし、「入手可能性を高める」ために 500 ドル支払うのは、控えめに言ってもリスクがあります。そして、Akamai で膨大な量のボット・トラフィック・データを観察している私たちから見れば、これはリスクを取る価値のない行為です。

ボットが普及しているのはなぜ?

前述のとおり、ボットには良性のものと悪性のものがあります。ボットの種類に関係なく、速度はボットの普及に大きな役割を果たしています。ボットは、人間にはとうてい到達できないような速度で作業を実行できます。この速度によって作業が著しく効率化し、大幅なコストの削減が可能となります。だからこそ、企業はボットを使用するのです。 

また、日常生活において私たちの精神的な負担を軽減するボットもあります。リマインダー、情報、通知などを配信するボット(つまり良性のボット)は、私たちの生活を楽にしてくれます。そのため、このような良性ボットと悪性のボット(システムに害を及ぼしたり不正行為をもたらすように設計されているボット)を区別することが重要です。

ボットが消費者に及ぼす害とは?

Akamai にいる私たちはボットについて知っていますが、さらに重要なのは、ボットがもたらす害についての知識です。特に、サイバーセキュリティ意識向上月間ですから、悪性ボットがどれほど速く被害者に直接害を及ぼすものなのかを明確に示す必要があると思いました(図)。

データ漏えいの影響を受けた経験があっただろうかと悩む必要はありません。影響を受けていない可能性よりも受けたことがある可能性の方が圧倒的に高いのです。私たちは皆、よく考えることもなく、あらゆる場所でデータを共有しています。無料トライアルに申し込んだり、アカウントを作成したり、そうこうしているうちに、攻撃者に知られてしまいます。

Credential Stuffing は連続犯罪

周知の事実ですが、パスワードの再利用は、ほとんどの人が人生のどこかで犯したことのある、ありふれた罪です。この習慣をやめるようにという助言が続けられていますが、パスワードの要件が複雑化していることもあり、一部の人々にとってはパスワードの再利用が唯一の選択肢であるようにも思えます(この点に関して何か支援を必要とされている方は、"自身を守る 3 つの対策" セクションをご覧ください)。

パスワードの再利用は断ち切らねばならない習慣です。その大きな理由となっているのが Credential Stuffing と呼ばれる攻撃です。 Credential Stuffing が成立するのは、個人の認証情報が漏えいし、悪意を持った主体がその認証情報を取得し、それを使用して他の Web サイトへの認証を通過しようとした場合です

たとえば、ソーシャル・メディア・アカウントのユーザー名とパスワードが漏えいした場合、その情報を入手した攻撃者は、銀行の Web サイトやその他の機微な情報が保存されているサイトにログインするために、その情報を使用する可能性があります。

このような認証情報を人間が手動で入力していたとしても十分に悪い行為ですが、この重労働にボットを加えてみたらどうでしょうか。図からわかるとおり、 この自動化プロセスを使用すれば、攻撃者は数分で何千もの認証情報の組み合わせをサイトで試すことができます。。同じ認証情報の組み合わせが使用されているサイトが多ければ多いほど、侵害されるリスクも高くなります。

自身を守る 3 つの対策

攻撃者は、一般的な防御策とその回避方法を知っているという意味で消費者よりも有利な立場にいます。だからこそ、用心が肝要なのです。サイバーセキュリティは全員の責任です。

自身を守るために役立つ対策が 3 つあります。スニーカーボットを利用するという誘惑に負けず、パスワードマネージャーを入手し、常に 多要素認証(MFA)を使用してください。

1.限定版の商品、人気のコンサートチケットなどを入手するためにスニーカーボットを利用するという誘惑に負けない 

特別な商品が手に入る可能性を高めるというのは非常に魅力的に思われるかもしれません。しかし、スニーカーボットを利用すれば、知らない相手に自分の支払情報と連絡先情報を渡すことになります。また、そもそもボットの存在自体の問題に直接加担することにもなります。

忘れないでください。商品の入手は保証されていません。実際、スニーカーボット自体があなたからお金を盗み取る詐欺である可能性もあります。

2.複雑なパスワードを作成し維持するためにパスワードマネージャーを取得する

オンラインで自分自身の情報の安全を確保するためには、パスワードの安全が不可欠です。このことは、いくら強調しても足りないほど重要です。要件が絶えず変化していることを考えれば、この目的に特化した製品に、手間のかかる作業を肩代わりしてもらうことが最良の策と言えます。その方が簡単で安全です。1 つのパスワードさえ覚えていれば、他のパスワードはパスワードマネージャーが記憶してくれます。

パスワードを忘れて頻繁に変更すると、パスワードの変更頻度が足りない場合と同程度のリスクが生じる可能性もあります。

3.どうか、どうか、必ず MFA を使用してください

できる限りあらゆることに MFA を使用できるようにして、実際に使用すること - これも重要かつ基本的なセキュリティ手段です。MFA を使用すれば、攻撃者は複数の手順を経ないと アカウントの乗っ取りを達成できなくなり、各段階で失敗する可能性が生じます。

SMS 以外の手段を使用することをお勧めしますが、SMS の 2 要素認証 であっても、何も使用しないよりはずっとましです。

いよいよ結論!

サイバー意識の向上も 1 年以上続くと、同じアドバイスが何度も繰り返されるようになります。これは、セキュリティ担当者が怠けているわけではなく、防御対策がいまだに十分に広まっていないからなのです。

フィッシング、ボット、Credential Stuffing は、基本的にインターネット黎明期からずっと存在している攻撃手法であり、攻撃者にとって最も効果的な手段でもあります。

単なる人間

攻撃者は人間です。ランサムウェアのオペレーターであろうと、ボットネットの作成者であろうと、国家組織であったとしても、皆、人間です。彼らは他の人々と同様に生活の糧を得ようとしています。このような悪人が人間であることを強調するのは奇妙に思われるかもしれません。しかし、ここで重要なのは、

敵は目的を達成するための最も効率的な方法を探しているということです。 つまり、攻撃者にとって困難な物事が増えれば、攻撃者は途中で諦める可能性が高くなります。

サイバーセキュリティへの意識を高めることが重要

私たちはこれから、ボットや攻撃者とともに、そして、恐怖と喜びが混在し絶え間なく変化する場 - インターネットとともに、年末へと向かって行きます。今、 あなたがすべきことは 自分自身 のために サイバーセキュリティに関する知識を高めることです。テクノロジーへの依存度が高まれば高まるほど、これを強く心がける必要があります。

用心を怠らない!
Akamai Wave Blue

執筆者

Tricia Howard and Joseph Martinez

October 05, 2023

Tricia Howard

執筆者

Tricia Howard

Tricia Howard is an artist gone rogue who ended up in cybersecurity research. With a bachelor’s degree in theater arts and interests ranging from “Star Wars” to opera, she likes to bring a bit of pizzazz into the cyber realm. When she’s not helping researchers get their stories out efficiently and effectively, without denigrating the technical acumen of the piece, you can find her writing and performing security parody songs; dramatically reading cold emails; speed jigsaw puzzling; hanging out with her Pomsky dog, Darth; and begging people to smile. You can also catch Tricia live on her monthly show: Monthly Threat Brief: The SIG Download!

Joseph Martinez

執筆者

Joseph Martinez

Joseph Martinez is a Senior Solutions Engineer at Akamai.

関連ブログ記事

Akamai の研究者である Stiv Kupchik が、Microsoft の Remote Registry クライアントに新しい権限昇格(EOP)の脆弱性があることを発見しました。
Akamai の研究者である Stiv Kupchik が、Microsoft の Remote Registry クライアントに新しい権限昇格(EOP)の脆弱性があることを発見しました。

呼び出しと登録 — WinReg RPC クライアントに対するリレー攻撃

October 19, 2024
Akamai の研究者たちが、新たな脆弱性を発見しました。この脆弱性は、悪用されると Windows マシンへの権限昇格攻撃に繋がります。
by Stiv Kupchik
続きを読む
今回の起訴は、インターネットの安全性向上に向けた大きな一歩です。
今回の起訴は、インターネットの安全性向上に向けた大きな一歩です。

アノニマス・スーダンの起訴:Akamai の役割

October 16, 2024
司法省は、アノニマス・スーダンの起訴を発表しました。Akamai がこの取り組みをどのように支援したのか、ご確認ください。
by Akamai SIRT
続きを読む
今月は 60 種類のコンポーネントに関する計 117 件の CVE があります。重大な脆弱性は、そのうち 3 件です。
今月は 60 種類のコンポーネントに関する計 117 件の CVE があります。重大な脆弱性は、そのうち 3 件です。

2024 年 10 月の Patch Tuesday に関する Akamai の見解

October 11, 2024
多くの CVE がありますが、怖れることはありません。怖がるのはハロウィンまで取っておきましょう。 今月は計 117 件の CVE があり、2 つの脆弱性が野放し状態で悪用されていました。
by Akamai Security Intelligence Group
続きを読む