　米国では、botによって買い占めたチケットの転売を禁止するBOTS法（Better Online Ticket Sales Act）が2016年に成立している。しかし、そのような法律が日本で将来成立した場合でも、まずはbotによるアクセスか人間のアクセスなのかを、botの作り手を上回る技術を用いて判別し、可視化する必要はあるだろう。

　JALのbot対策では、検知に加えてbotを適切にコントロールすることに成功している。迷惑なbotによる無駄なリクエストを抑え、外部サービスへの課金が抑制された結果、「まさに桁違いのコストを一気に削減できた」（JAL）という。

　botのアクセスを単純にファイアウォールのように遮断してしまうと、botが勘付いて、自動的に回避する行動をとられてしまう。そこで、このようなbotに対しては、例えばWebサイト側からのレスポンスを遅くして行動を抑止するなど、botをだまして、いわば「生殺し」にする対策が功を奏する。最新のbot検知技術と合わせ、制御面ではこのように「botをいなす」という考えが大切だ。

不正ログインの背景に「ポイント不正利用」あり

　アカマイの分析では、世界のホテル、旅行業のサイトは、チケットの買い占め以外にもbotによる不正ログイン（パスワードリスト型攻撃）が大量に観測されている。

　これらの攻撃が活発になっている背景には、航空会社のマイレージや、それらとも連携するホテルリワーズと呼ばれるサービス利用ポイントのフラウド（不正利用）がある。他のポイントとの交換サービスなどを経由して現金化するのが容易だからだ。

　さらに、ホテル、旅行業に対する不正ログイン攻撃にはある特徴がみられた。

　botによる不正ログイン攻撃元は、通常米国からのものが多い。だが、旅行業界のサイトに対する不正ログインでは、ロシアと中国のネットワーク上のbotによる攻撃が米国を上回るという傾向がみられる。botの所在と攻撃者の居住地は必ずしも一致するものではないが、不正ログイン攻撃のように、攻撃者がbotを作り込んだり、調整したりする攻撃では、攻撃者が使い慣れた環境を利用する傾向もある。自社サイトへのbotアクセスのデータを可視化し、他のさまざまなデータと突き合わせることができれば、攻撃者の意図を類推する助けになるだろう。

世界の旅行業界に対する不正ログイン攻撃元国および観測数の分布＝「Akamai SOTI Security Report 2018 Summer -Web Attacks」より

　他にも不正ログイン攻撃が、ポイント取り扱いサイトを狙う理由がある。こうした換金できるポイントを取り扱う事業者のサイトは、同様のポイントを取り扱うクレジットカード会社などと比べて、一般的にセキュリティ対策が緩いだろうと攻撃者に考えられている。また、利用者が「ポイント残高が何ポイントたまっているか」を頻繁にはチェックしていないと思われていることも手伝って、攻撃者には格好の標的に映っている。

　現金化が容易な標的に対しては、コストをかけて作り込まれたbotが用いられる傾向があり、今後botの進化によりさらに危険性は増していく。このようなサイト運用者は、犯罪行為の防止の観点からも、より一層の警戒と対処が求められるだろう。

　次回は、より高度なbotが用いられている、金融機関に対するサイバー攻撃を取り上げる予定だ。

チケット購入のアクセス「9割がbot」にびっくり　“知恵比べ”の舞台裏
チケット購入のアクセスのうち、9割超がbotによるものだった――チケット販売サイト「e＋」が、アカマイ・テクノロジーズのbot検知システムを導入したところ、そんな実態が浮き彫りに。botを駆使する何者かとの知恵比べ。その舞台裏を聞いた。
ダークウェブ界の大物、痛恨のミス　見えてきた“正体”
ダークウェブを調査するホワイトハッカーが、世界最大のダークウェブマーケットであるDream Marketの管理人の素性に迫る。
IoT時代に再び脚光？　ワームに対抗する「アンチワーム」
ネットワークの黎明期から、攻撃者同士で繰り広げられてきたワーム間抗争。もっぱら攻撃者が自らの勢力範囲を広げるための争いでしたが、時には善意のアンチワームが流通することもありました。そんなアンチワームが、IoT時代に再び注目を集めています。
史上最悪規模のDDoS攻撃　「Mirai」まん延、なぜ？
インターネットの普及期から今までPCやITの世界で起こった、あるいは現在進行中のさまざまな事件から得られた教訓を、IoTの世界で生かせないか――そんな対策のヒントを探る連載がスタート。