今年8月、大手チケット販売サイト「イープラス」で、ボットによる膨大な不正アクセスが判明したことが話題になりました。ボットとはインターネット上で動作する自動プログラムの総称ですが、サイバー犯罪の文脈では、主に外部のコンピュータにマルウェアを感染させ、遠隔操作するものを指します。
今回の事例ではサイバー犯罪者が多数のボットを操作して、サイトに不正アクセスさせていたのです。人気チケットの先行販売に対するアクセスの9割以上が、特定人物が遠隔操作するボットによるものだったと報じられています。
実は、ボットによる攻撃は一般ユーザーにも無縁ではありません。チケット販売サイトだけではなく、ECサイトなどあらゆるサービスの不正ログインなどにも行われており、誰もが被害に遭う可能性があります。
どのような攻撃を行っているのか、そして気を付けるべき点をまとめてみました。
1.ボットが人気チケットを買い占め
人になりすました無数のボットが、販売開始直後に大量のアカウントを操作して購入手続きを繰り返すことで、人気チケットを買い占めていた――。こうした人気チケットを狙う手口は、これまでに海外でも報告されていました。高額転売でき、換金しやすいことから、サイバー犯罪の格好のターゲットになっているのです。
近年、転売目的のチケット買い占めが社会問題となっていますが、サイバー犯罪もその一部を担っていることになります。正規価格のチケットが手に入らなくなるファンも、信用を失ってしまう主催者や販売サイトにとっても、不幸な問題といえます。
ウェブサービスでは、画像認証といった“人間”を判定するための認証システムがどんどん登場しているものの、技術の進歩によってボットも一定水準の認証はクリアできるようになってきています。上の事例でもこうした認証をクリアしていたため、行動パターンで不審なアクセスをふるい分ける「振る舞い検知」を導入して、ボットによる買い占めへの対策が可能になったようです。サイバー犯罪の防止は、技術のいたちごっこという面があるのが悩ましいところです。
2.ユーザーになりすまし、ログインを試行
ボットといえば、以前はパソコンやデバイスを遠隔操作し、迷惑メールの配信やDDOS攻撃などに悪用する手口が多く発生していましたが、現在はすこし様子が変わっています。
サイバー犯罪者は一般ユーザーのメールアドレスやパスワードのリストを不正に入手し、さまざまなサイトで、ログインできる組み合わせを探しています。しかしメールアドレスやパスワードの組み合わせを試しながら、各サイトに登録されているか確認するのは、手動では気が遠くなるような時間が必要です。そこで人力ではなく、自動での作業が可能なボットによってアクセスを試行しているのです。
こうした攻撃は、チケットの買い占めだけではなく、あらゆるウェブサイトへの不正ログインに使われます。例えばECサイトのアカウントに侵入されたとしたら、不正購入やカード番号の漏えいといったユーザーの損害に直結するでしょう。
3.セキュリティ対策の見直しを
サイバー攻撃はますます高度化しています。各事業者がセキュリティ対策を進めているのはもちろんですが、個人ユーザーにとっても自分が事件に巻き込まれないための自衛も大切です。
不正ログインの被害者にならないためには、各種アカウントのパスワードの使い回しを避けることや、パスワードも英字と数字を混ぜたり極力長い文字列にしたりと、高度なパスワードにしておくことが改めて重要といえます。
またマルウェアに感染することで、自分のパソコンやスマートフォンがボット化するのにも注意してください。ボットになってしまうと、被害者であると同時に、知らないうちにサイバー犯罪の片棒を担ぐことになってしまいます。
マルウェアに侵入されないよう、「怪しいリンクや添付ファイルをクリックしない」「OSやアプリケーションを最新版にしてセキュリティホールをふさぐ」「ファイアウォールを導入する」「アンチウイルス製品を使用する」といった基本的な対策を見直しておきましょう。
著者:マカフィー株式会社 CMSB事業本部 コンシューママーケティング本部 執行役員 本部長 青木 大知