ITmedia NEWS > セキュリティ >
ニュース
» 2019年04月19日 07時00分 公開

迷惑bot事件簿:1日に1.15億回以上 急増する不正ログインの裏に“botの存在” (2/3)

[中西一博,ITmedia]

 世界中の企業のWebサイトや、スマホアプリのコンテンツを中継、高速配信しているアカマイのサービスが記録した、顧客企業のWebベースのサービスへのアクセスを8カ月間(2018年5月〜12月)にわたり分析したところ、クレデンシャル・スタッフィングによる不正ログイン試行の総数は、279億8592万324回だった。平均だと1日当たり1.15億回以上の不正ログインが試行されていたことになる。その8カ月間の総件数を、対象となった業界別に分けたのが次の図だ。

photo アカマイが観測したクレデンシャル・スタッフィング(Credential Stuffing)の業種別試行数(対象期間: 2018年5月1日〜12月31日)

小売りを狙う“オールインワン”機能搭載の買い占めbot

 この図からまず分かるのは、大きな割合を小売業と動画(ストリーミング配信)メディアが占めているという点だろう。

 ECサイトを含む小売業が狙われる理由は分かりやすい。主に高額転売できる商品の買い占めを狙って、大量のbotが世界中からログインを試みるからだ。観測された100億回のうち、約37億回がアパレル業界に対するものだった。

 個々のECサイトに特化して大量の購買を試みる専用の「AIO(All-in-One)bot」は、ネットで比較的簡単に購入できる。AIO botはその名の通り、さまざまなbot検知の回避術を備えている。ユーザーにゆがんだ難読文字を入力させてbotを判定する「CAPTCHA」の自動突破などは、セールスポイントとなる機能の一つだ。botとして利用できる複数のプロキシ(中継)サーバのリストや、大量のIDとパスワードのリストを別途入手し、このツールに読み込ませることで、時には高速に、時には検知を避けるため延々と時間をかけて、複数のアクセス元から商品の買い占めを自動で実行する。

photo ネットで流通している小売サイトを対象にしたAIO(All-in-One)botの例

Copyright © ITmedia, Inc. All Rights Reserved.