Arkose Labsというボット管理およびアカウントセキュリティプラットフォームによる新しいレポートが、現在のサイバー脅威の風景におけるボット攻撃と人間による詐欺ファームの驚異的な規模と洗練度を明らかにした。レポートによれば、2023年第3四半期において、すべてのウェブおよびアプリトラフィックの73%が悪意のあるものであったというのだ。
インターネットトラフィックの7割が汚染
この報告書は、「Breaking (Bad) Bots: Bot Abuse Analysis and Other Fraud Benchmarks」と題され、2023年上半期および第3四半期にわたって、さまざまな業界および地域での数十億のセッションを分析した。その結果、ウェブおよびアプリトラフィックの73%が悪意のあるものであり、SMSトールフロード、ウェブスクレイピング、カードテスト、クレデンシャルスタッフィングなどの攻撃を仕掛けるボットや人間による詐欺ファームによって駆動されていることが判明した。
レポートでは、攻撃を「基本ボット」「インテリジェントボット」「人的詐欺ファーム」の3つに分類している。基本ボットは、フォームへの入力やリンクのクリックなどの反復作業を行う単純なスクリプト。インテリジェントなボットはより高度で、スクロール、タイピング、マウスの動きなど、人間の行動を模倣することができる。人的詐欺ファームは、偽アカウントの作成やコードの検証などの詐欺行為を手動で実行するために雇われた人々のグループだ。
同レポートによると、ボット攻撃は今年上半期に167%増加し、インテリジェント・ボットは291%という驚異的な増加率を記録した。これらのスマートなボットは、セキュリティ対策を迂回し、ユーザーを欺くことができる複雑で、コンテキストを認識したインタラクションが可能である。しかし、攻撃はボットに限ったことではない。同レポートでは、詐欺師のボットがブロックされると、人間による詐欺ファームに切り替わることも判明しており、これは2023年第1四半期から第2四半期にかけて49%増加した。
生成AIの犯罪への利用が急増
同レポートはまた、攻撃レベルの増加を促進する2つのトレンドも強調している:生成AI(Generative AI(GenAI))とCybercrime-as-a-Service(CaaS)である。
生成AIは、テキスト、画像、音声などのリアルで独創的なコンテンツを生成できる技術だ。ChatGPTやMidjourneyでお馴染みだろう。同レポートでは、悪質な攻撃者がコンテンツ生成に生成AIを利用して、中間者攻撃(Man-in-the-Middle)用の完璧なフィッシングメールを作成したり、ロマンス詐欺用の出会い系アプリで説得力のある返答をしたりしていることが確認された。報告書はまた、攻撃者がボットを使ってウェブサイトからデータをスクレイピングし、そのデータを生成AIモデルの訓練に使っていることも発見した。
CaaSとは、誰でもオンラインベンダーからボットやその他のサイバー犯罪ツールを購入またはレンタルできる現象である。これらのベンダーはサービスをオープンに提供し、顧客にトレーニングとサポートを提供する。これにより、サイバー犯罪を行おうとする敵対者は、たとえ技術的なスキルがなくても、参入障壁を低くすることができる。彼らは完全に自動化されたボットを大規模に使用し、企業や消費者に広範な損害を与えることができる。洗練された大規模ボット攻撃を仕掛けるのに、コードの書き方を知る必要はない。彼らはボットをウェブから購入し、好きなように使用することができる。
攻撃を受けている特定の業界
レポートはまた、攻撃を受けている特定の業界についてさらに深く掘り下げている。その結果、ほぼすべての業種で攻撃件数が増加していることが判明した。レポートでは、トラフィックの50%以上が悪質なボットによるものである業種をリストアップし、悪質なボットによる一般的な攻撃について詳述している。
報告書によると、旅行・ホスピタリティ分野では、ボットの76%がウェブサイトやアプリを標的として、価格、空室状況、レビューをスクレイピングしている。これらのボットは、盗んだクレジットカードやポイントを使って部屋や航空券を予約しようとすることもあります。テクノロジー業界では、ボットの71パーセントがウェブサイトやアプリをターゲットにして、製品情報、レビュー、価格をスクレイピングしています。これらのボットは、偽アカウントの作成、スパムの投稿、知的財産の窃盗を試みる可能性がある。
小売業界では、ボットの65パーセントがウェブサイトをターゲットにしており、ストリーミングのウェブサイトやアプリもターゲットにされており、61パーセントがコンテンツ、レビュー、評価をスクレイピングしている。
ギフトカードのウェブサイトやアプリは、57パーセントが標的となっており、ギフトカードの換金や転売の残高をチェックしています。本レポートでは、攻撃がどのように発生するのか、また攻撃を検知しブロックするために何ができるのかについて、さらなる洞察を紹介している。
同レポートは、世界最大手の企業やカテゴリーリーダーで構成されるコンソーシアムであるArkose Labsが、2023年1月から9月までのArkose Labs Global Intelligence Networkの数十億セッションを分析した結果、この活動を観察するユニークな立場にあったと述べている。また、これらの企業の大規模な顧客基盤は、サイバー犯罪者にとって価値の高い標的であることを強調している。
レポートの著者であるArkose Labsの創設者兼CEO、Kevin Gosschalk氏は、人間の詐欺ファームが支援するボット攻撃は、コンサートチケットやスニーカーを盗むだけのものではなく、はるかに不吉な意味を持っていると述べた。同氏は、より多くの攻撃を目撃し、よりインテリジェントなボットを使用し、より洗練された攻撃を行っていると述べた。
同氏によると、偽アカウント登録、クレデンシャル・スタッフィング、スクレイピング、SMS料金詐欺などは、詐欺師がより有害な犯罪への第一歩として使用するタイプの攻撃だという。人身売買、麻薬取引によるマネーロンダリング、違法武器の資金源となる窃盗などを目的としたロマンス詐欺につながるという。同氏はまた、CaaSの大規模な台頭は、敵対者にとっての経済性を完全に変えてしまったと述べた。同氏は、企業を攻撃する方がはるかに安上がりであり、アマチュアのサイバー犯罪者ではなくプロの開発者が行うため、攻撃はより良いものになったと述べている。
Sources
- Arkose Labs: Breaking (Bad) Bots: Bot Abuse Analysis and Other Fraud Benchmarks [PDF]
- via Security Boulevard: Decrypting Cyber Threats: Insights from Breaking (Bad) Bots
コメントを残す