知らない間に……スマホが乗っ取られ、銀行サイトを襲撃 金融業界を狙うbot:迷惑bot事件簿(3/3 ページ)
とある金融機関のWebサイトに対するbotを利用したリスト型攻撃の実態を調べたところ、全攻撃リクエストの約95%がAndroidスマートフォンからだった。
Fintech系サービスの事業者は、銀行や証券会社がWeb上で提供している情報を、人間に代わってbotに収集させている。1つ目の問題は、botのアクセス頻度が人間に比べ非常に高いこと。もう1つの問題は、botが目的の情報だけでなく、Webページの情報をいったん丸ごとダウンロードして、その中から必要な情報を抜き出して利用することだ。このようなbotの行為は、スクレイピングと呼ばれている。Webページの余分なデータまで転送することでWebサーバと回線には負荷がかかる。さらにこれらが複数のFintech事業者から高頻度に行われることで、ユーザーが金融機関のWebサイトを使う際、ページの読み込みが極端に遅くなったり、利用できなくなるという事象が起きている。
余談だが、日本でもスクレイピングやbotの作り方が雑誌や書籍で紹介され始めている。株価や仮想通貨のレートを定期的にチェックするbotのサンプルコードも載っている。Webで情報を提供する金融機関は、こうした社会の変化も捉えて、適切にシステムを設計していく必要があるだろう。
2017年5月に銀行法が改正され、日本でも銀行のAPI(Application Programming Interface)開放が進みつつある。金融機関によるAPI提供は、Fintech事業者によるスクレイピングへの対策の1つになるだろう。APIは、ソフトウェア同士が互いにデータをやりとりする際に用いられる仕組みで、決められた形式のリクエストをサーバに送ると必要なデータのみを取り出すことができる。APIを使えば、余分なデータ転送を避けられる。
ただし、APIを導入してもbotの高頻度のアクセスには気を付けなければならない。負荷によるシステムダウンを避けるためには、botの種類や、アクセス元を見分けて優先順位をつけたり、アクセスレートを制御したりする仕組みが必要になるだろう。
金融サービスへのサイバー攻撃は、われわれサービスの利用者にも致命的な被害を及ぼしかねない。また、ユーザーアカウントの犯罪への利用を防止する観点からも、今回紹介した高度に作りこまれたbotによる不正ログインの認識とその防止は、いま金融機関に期待したいリスク対策の1つといえるのではないだろうか。
次回は、商品買い占めbotの活動実態と事業者の戦いを取り上げる予定だ。
関連記事
- 「アクセスの約86%がbotだった」 航空会社の予約サイトが悩むbot
「全アクセス数の約86%がbotだった」――日本航空のインバウンド向け国際線予約サイトのトランザクションを、2017年に分析したところ、そんな実態が明らかになった。 - チケット購入のアクセス「9割がbot」にびっくり “知恵比べ”の舞台裏
チケット購入のアクセスのうち、9割超がbotによるものだった――チケット販売サイト「e+」が、アカマイ・テクノロジーズのbot検知システムを導入したところ、そんな実態が浮き彫りに。botを駆使する何者かとの知恵比べ。その舞台裏を聞いた。 - ダークウェブ界の大物、痛恨のミス 見えてきた“正体”
ダークウェブを調査するホワイトハッカーが、世界最大のダークウェブマーケットであるDream Marketの管理人の素性に迫る。 - IoT時代に再び脚光? ワームに対抗する「アンチワーム」
ネットワークの黎明期から、攻撃者同士で繰り広げられてきたワーム間抗争。もっぱら攻撃者が自らの勢力範囲を広げるための争いでしたが、時には善意のアンチワームが流通することもありました。そんなアンチワームが、IoT時代に再び注目を集めています。 - 史上最悪規模のDDoS攻撃 「Mirai」まん延、なぜ?
インターネットの普及期から今までPCやITの世界で起こった、あるいは現在進行中のさまざまな事件から得られた教訓を、IoTの世界で生かせないか――そんな対策のヒントを探る連載がスタート。
Copyright © ITmedia, Inc. All Rights Reserved.