知らない間に……スマホが乗っ取られ、銀行サイトを襲撃 金融業界を狙うbot：迷惑bot事件簿（3/3 ページ）

とある金融機関のWebサイトに対するbotを利用したリスト型攻撃の実態を調べたところ、全攻撃リクエストの約95％がAndroidスマートフォンからだった。

[中西一博，ITmedia]

　Fintech系サービスの事業者は、銀行や証券会社がWeb上で提供している情報を、人間に代わってbotに収集させている。1つ目の問題は、botのアクセス頻度が人間に比べ非常に高いこと。もう1つの問題は、botが目的の情報だけでなく、Webページの情報をいったん丸ごとダウンロードして、その中から必要な情報を抜き出して利用することだ。このようなbotの行為は、スクレイピングと呼ばれている。Webページの余分なデータまで転送することでWebサーバと回線には負荷がかかる。さらにこれらが複数のFintech事業者から高頻度に行われることで、ユーザーが金融機関のWebサイトを使う際、ページの読み込みが極端に遅くなったり、利用できなくなるという事象が起きている。

　余談だが、日本でもスクレイピングやbotの作り方が雑誌や書籍で紹介され始めている。株価や仮想通貨のレートを定期的にチェックするbotのサンプルコードも載っている。Webで情報を提供する金融機関は、こうした社会の変化も捉えて、適切にシステムを設計していく必要があるだろう。

スクレイピングを解説している雑誌・書籍の例（2018年1月、筆者撮影）

　2017年5月に銀行法が改正され、日本でも銀行のAPI（Application Programming Interface）開放が進みつつある。金融機関によるAPI提供は、Fintech事業者によるスクレイピングへの対策の1つになるだろう。APIは、ソフトウェア同士が互いにデータをやりとりする際に用いられる仕組みで、決められた形式のリクエストをサーバに送ると必要なデータのみを取り出すことができる。APIを使えば、余分なデータ転送を避けられる。

　ただし、APIを導入してもbotの高頻度のアクセスには気を付けなければならない。負荷によるシステムダウンを避けるためには、botの種類や、アクセス元を見分けて優先順位をつけたり、アクセスレートを制御したりする仕組みが必要になるだろう。

　金融サービスへのサイバー攻撃は、われわれサービスの利用者にも致命的な被害を及ぼしかねない。また、ユーザーアカウントの犯罪への利用を防止する観点からも、今回紹介した高度に作りこまれたbotによる不正ログインの認識とその防止は、いま金融機関に期待したいリスク対策の1つといえるのではないだろうか。

　次回は、商品買い占めbotの活動実態と事業者の戦いを取り上げる予定だ。