年末商戦シーズンには攻撃者も活発化？ 生成AIを悪用した攻撃に要注意：セキュリティニュースアラート

Impervaは小売業界の年末商戦期に生成AIとLLMを悪用した攻撃が増加していると警告した。オンライン小売業者はbotやDDoS攻撃、API違反、ビジネスロジック悪用などの多様な脅威にさらされている。

[後藤大地，有限会社オングス]

　Imperva Japanは2024年10月30日、小売業界における年末商戦の時期に生成AIや大規模言語モデル（LLM）を悪用した攻撃が増加していると警告を発表した。

　10月〜12月下旬にかけてのショッピングシーズンはオンライン小売業者にとって大きな収益機会でありながら、ダウンタイムやセキュリティインシデントが許されない重要な時期だ。一方、サイバー攻撃者にとっても格好の標的とされる時期であり、小売業者はbotやDDoS攻撃、API違反、ビジネスロジックの悪用など、AIを駆使した多様な攻撃手法に対する防御を強化する必要がある。

小売業者が抱える生成AI時代のサイバーセキュリティ課題とは？

　Impervaでアプリケーションセキュリティ担当ゼネラルマネージャーを務めるナンヒ・シン氏は「サイバーセキュリティの脅威は年間を通じて懸念事項ですが、小売業者が記録的な売上を達成することが多い年末商戦の期間は、より顕著になる。サイバー犯罪者はこれを認識しており、生成AIツールとLLMを使用して、デジタル取引の増加や期間限定のプロモーション、顧客アカウントに保存されているギフトカードやロイヤルティーポイントを悪用しようと試みている」と語る。

　Imperva Threat Researchの分析によれば、小売サイトは1日平均56万9884件のAI駆動型攻撃を受けており、これらは「ChatGPT」や「Claude」「Gemini」などのAIツールやLLMトレーニング用のスクレイピングbotによるものとされている。分析結果から、サイバー犯罪者がこれらのAIツールを使って多様な攻撃を実行していることが判明している。

　生成AIを使ったサイバー攻撃と推奨される対策は以下の通りだ。

• ビジネスロジックの悪用：　AIによってアプリケーションやAPIの機能が悪用され、価格操作や認証バイパスなどが自動化されている。対策として厳密な認証や異常検出システム、ビジネスプロセスの監査が必要となる
• DDoS攻撃：　AIを活用したDDoS攻撃は全体の30.6％を占め、Webサイトのダウンタイムによる売上損失や評価低下を引き起こしている。リアルタイムで悪質なトラフィックを識別するDDoS保護が推奨される
• 悪性bot攻撃：　AIが進化し、価格データスクレイピングや在庫買い占めなど破壊的行為を実行するbotが増加している。bot管理ソリューションで人間とbotを区別することが対策となる
• API違反：　APIの公開が増えAIによる脆弱（ぜいじゃく）性悪用が16.1％を占めている。厳格な認証やレート制限、定期的なセキュリティ評価がAPI保護には必要となる

　「過去数年間、グリンチbot（商品買い占めbot）やDDoS攻撃などの脅威が年末商戦期間中に大きな混乱を引き起こし、小売業者と消費者の両方に影響を与えてきた。現在、生成AIツールとLLMが広く利用可能になったことで、小売業者には新たなサイバー脅威の波が押し寄せている。堅牢（けんろう）な防御がなければ、小売業者はAIを悪用した攻撃によって最悪の状況に直面するリスクがある。一年で最も重要な時期に、通常業務を中断させられ、顧客データが侵害され、評価を落とすことにつながる。これらの脅威を効果的に軽減するには、小売業者は防御だけでなく、顧客の購買体験を妨げず、迅速に対応できるよう包括的な戦略を採用する必要がある」（シン氏）

　AIを利用した攻撃は小売業者と消費者の双方にリスクをもたらし、クレジットカード情報や住所などの個人情報が流出する可能性がある。これにより個人情報の盗難や金銭的損失、eコマースへの信頼低下、不正請求が発生し、消費者の体験が損なわれる危険性がある。