1日数万通のスパムメール…狙われた「問い合わせフォーム」 「想定外」だったbot攻撃の広がり
さまざまなタスクを自動化でき、しかも人間より早く処理できるbot。企業にとって良性のbotが活躍する一方、チケットを買い占めるbot、アカウントを不正に乗っ取るbot、アンケートフォームを“荒らす”botなど悪性のbotの被害も相次いでいる。社会や企業、利用者にさまざまな影響を及ぼすbotによる、決して笑い事では済まない迷惑行為の実態を、業界別の事例と対策で解説する。著者は、セキュリティベンダーの“中の人”として、日々、国内外のbotの動向を追っているアカマイ・テクノロジーズの中西一博氏。
これまでこの連載「迷惑bot事件簿」では、主にコンシューマー向けの製品やサービス(B2C:Business to Consumer)を提供する事業者のWebサイトで起きているbot被害の実態を取り上げてきた。しかし“迷惑bot”はこうしたB2C事業者だけではなく、企業間取引(B2B:Business to Business)を主な業態とする事業者をも苦しめている。
日本の企業から寄せられるbot被害の相談内容を見ると、当初の想像より広い業種で迷惑botによるビジネス上の被害が起きていることが分かってきた。そこで今回は、さまざまな業種で起きている「迷惑botに起因する無視できないビジネス被害」の実態を取り上げてみたい。
●狙われた「問い合わせフォーム」 「想定外」だったbot攻撃の広がり
では、B2Bビジネスで起きている典型的な被害例をいくつか挙げてみよう。
・問い合わせフォームを利用したスパムbot
自社のサイトに問い合わせフォームを設置している企業は多い。このフォームに自動入力する「スパムbot」に、業種を問わず多くの企業のIT部門やサイト担当者が頭を抱えている。ある企業では、botによる繰り返しの投稿で問い合わせフォームから生成されたスパムメールが、企業の各部門の担当者のもとに一日数万通届き、その中から一つずつ人の目で内容をチェックし、正規の顧客の問い合わせを探し出す……という作業に毎日忙殺されていたという。
日本企業へのスパムbotはアジア諸国がアクセス元となっていることがあるが、生成されるメールの内容は日本向けにカスタマイズされているものも多く、メールサブジェクトなどの単純なルールで機械的にスパムと判定することは難しいという。
スパムメールは、オンライン詐欺に用いられるフィッシングサイトへの誘導や、マルウェアのダウンロードサイトへの誘導など、“サイバー攻撃の入り口”となるケースもあり警戒が必要だ。このため多くの企業では、社外から届くメール(自社と異なるドメイン名の送信元メール)を対象に、スパムメール対策機器を導入するなど対策を行っている。
ところが、自社が運用するWebサーバが生成するメールは自社が送信元になる。このため構成上、社外からのスパムメール対策の対象外となっていることが多く、検知して排除できない。攻撃者はこの盲点を悪用してbotを使い、標的の企業内部に大量のスパムを送っている。
問い合わせフォームからのスパムbot対策として、ユーザーにゆがんだ難読文字を入力させてbotを判定する「CAPTCHA」を用いている企業もあり、一定の効果は期待できるだろう。しかし、ECサイトでの人気商品やチケット買い占めbotと同様、CAPTCHAを突破する高度なbotによる被害が拡大しているのが実情だ。対抗するためには、攻め手を上回る高度なbot検知の仕組みが必要となる。
・ECサイトを丸ごとコピーして商品を再販
価格調査や在庫調査のために競合企業から大量のbotがECサイトに来るのは、もはや日本でも当たり前になっている。最も悪質なケースでは、サイトの商品情報を丸ごとコピーする行為をbotで常時繰り返し、海外向けに値段を付け直すなどした上で、無断で商品の再販売をしているという。
無断転売による中間マージンを狙う行為だけでなく、有名ブランドの公式サイトを偽装し、在庫などをそれらしく見せた上で、代金として振り込まれた金銭をせしめる、といった詐欺に利用されるリスクもあり、ECサイトにとっては見過ごせない問題だ。
一般消費者に向けた商材を扱うECサイトだけではなく、特に各種の機械、電子部品や、化学、薬品などの素材系、事業者向け資材を取り扱う日本のB2Bサイトにとっても、この種の行為が問題になっている。
一方で、商品の在庫や価格などの情報はWeb上で公開されている情報だともいえる。こうした情報の“スクレイピング”を受けている企業にとって問題となるポイントは何か――核心を突く言葉がある。
「販売している商品の一つ一つは公開情報だが、販売商品とその属性情報をリスト化したものは当社が有する重要な情報資産だ」
これは、B2B商材を取り扱うサイトを持つある企業の担当者から、筆者が聞いた言葉だ。彼らは価値ある情報資産を自ら守るために、最新のbot対策の導入を決めた。
・botで収集したデータを切り売り
このような無断再販の恐れのある情報資産は、ECサイトの在庫や価格情報だけではない。公開、非公開を問わず「データ」そのものを再販する行為も、その元データを提供する企業にとって頭の痛い問題だ。
例えば有料会員向けに、企業情報や、地図などの情報を提供している事業者を想像すると分かりやすい。会員名義でこのような事業者のサービスにログインしてbotで根こそぎデータを取得し、元データ提供企業に無断でそれを自社の顧客に切り売りしていた事例がある。
Web上で公開されているデータの二次利用でも問題が起きている。例えば、アミューズメントパークの公式サイトで、アトラクションの待ち時間が表示されているケースを考えてみよう。botを使い、パークに無断で待ち時間情報をWebサイトから収集・表示するスマホアプリを第三者が開発し、無料で公開する。
アプリの開発者に悪気はないかもしれない。「誰もが便利に使え、パークへの来場者も増えるのではないのか」とも考えがちだ。しかし、アプリ画面の下に表示されている広告枠に、成人向けコンテンツへの誘導が表示されたらどうだろう。パーク運営者にとって、著しくブランドを棄損(きそん)されるリスクになりかねない。
●諦めかけた迷惑bot対策に挑む
今回取り上げた事例は、botによってビジネスリスクが生じていると企業の各担当者がうすうす気付いて悩んではいたが、「対策は不可能」「botには勝てない」と半ば諦めかけていたケースが多い。
だが、諦めるのはまだ早い。「この数年ずっとbotに負け続けたが、今回の導入した対策で、ようやく勝つことができた」――この連載でも取り上げた、チケットを買い占めるbotの撲滅に成功したイープラスの担当者が、アカマイのイベントで語った言葉だ(関連記事:チケット購入アクセス「9割がbot」→“殲滅”へ イープラスの激闘を振り返る)。
まずはサイトが受けているbotの実態を、検知ツールの無償トライアルなどを利用して可視化することが、隠れたリスクに向き合う第一歩になるだろう。
企業内の部門間連携も重要になる。botの引き起こす問題は、必ずしもサイバー攻撃とは言い切れない。このため、これまでIT部門が主導してきたサイバーセキュリティ対策の枠組みを超えて、ビジネス面で実被害を受ける事業部門や、ブランドを預かるマーケティングなどの部門がそれぞれ当事者意識をもって連携し、諦めていた課題に向き合うことが対策のカギとなる。
幸い、デジタルトランスフォーメーション(ビジネスのデジタル変革)の機運の高まりで、こうした部門を越えた連携は各所で始まっている。bot対策はこうしたデジタル変革を成功に導く上でも、欠くことができない検討要素になるはずだ。
●著者紹介:中西一博
1992年、日立情報ネットワークにシステムエンジニアとして入社。日立グループを統合するネットワークで各種のインターネットセキュリティサービス、モバイルアクセスサービスなどを開発し、当時黎明期にあった企業のサイバーセキュリティ運用のひな型を築いた。その後2000年にシスコシステムズに入社。セキュリティスペシャリストとしてシステムエンジニア、プロダクトマネジャー、マーケティングを担当し、新技術を元IT部門の視点を生かして分かりやすく解説するソリューション提案でネットワークセキュリティの業界を15年間にわたりリードした。2015年1月からはアカマイ・テクノロジーズ合同会社でプロダクト・ マーケティング・マネジャーとして、同社のクラウドセキュリティソリューションを担当。TVニュースや記事、セミナーなどで最新のサイバー攻撃動向を解説している。
