ITmedia NEWS > AI+ >
ニュース
» 2018年11月14日 08時00分 公開

知らない間に……スマホが乗っ取られ、銀行サイトを襲撃 金融業界を狙うbot迷惑bot事件簿(3/3 ページ)

[中西一博,ITmedia]
前のページへ 1|2|3       

 Fintech系サービスの事業者は、銀行や証券会社がWeb上で提供している情報を、人間に代わってbotに収集させている。1つ目の問題は、botのアクセス頻度が人間に比べ非常に高いこと。もう1つの問題は、botが目的の情報だけでなく、Webページの情報をいったん丸ごとダウンロードして、その中から必要な情報を抜き出して利用することだ。このようなbotの行為は、スクレイピングと呼ばれている。Webページの余分なデータまで転送することでWebサーバと回線には負荷がかかる。さらにこれらが複数のFintech事業者から高頻度に行われることで、ユーザーが金融機関のWebサイトを使う際、ページの読み込みが極端に遅くなったり、利用できなくなるという事象が起きている。

 余談だが、日本でもスクレイピングやbotの作り方が雑誌や書籍で紹介され始めている。株価や仮想通貨のレートを定期的にチェックするbotのサンプルコードも載っている。Webで情報を提供する金融機関は、こうした社会の変化も捉えて、適切にシステムを設計していく必要があるだろう。

photo スクレイピングを解説している雑誌・書籍の例(2018年1月、筆者撮影)

 2017年5月に銀行法が改正され、日本でも銀行のAPI(Application Programming Interface)開放が進みつつある。金融機関によるAPI提供は、Fintech事業者によるスクレイピングへの対策の1つになるだろう。APIは、ソフトウェア同士が互いにデータをやりとりする際に用いられる仕組みで、決められた形式のリクエストをサーバに送ると必要なデータのみを取り出すことができる。APIを使えば、余分なデータ転送を避けられる。

 ただし、APIを導入してもbotの高頻度のアクセスには気を付けなければならない。負荷によるシステムダウンを避けるためには、botの種類や、アクセス元を見分けて優先順位をつけたり、アクセスレートを制御したりする仕組みが必要になるだろう。

 金融サービスへのサイバー攻撃は、われわれサービスの利用者にも致命的な被害を及ぼしかねない。また、ユーザーアカウントの犯罪への利用を防止する観点からも、今回紹介した高度に作りこまれたbotによる不正ログインの認識とその防止は、いま金融機関に期待したいリスク対策の1つといえるのではないだろうか。

 次回は、商品買い占めbotの活動実態と事業者の戦いを取り上げる予定だ。

前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.