「近い将来、自動化されたボットは人間によるインターネットトラフィックの割合を上回るようになり、企業はウェブサイトやアプリケーションの構築・保護の方法を変えなくてはならなくなるだろう」と、Impervaのアプリケーション・セキュリティ担当ジェネラル・マネージャーであるナンヒ・シンは言う。
「AI対応ツールの導入が広まるにつれ、ボットは至るところに存在するようになる。企業は、悪意のある自動トラフィックによる脅威から身を守るために、ボット管理とAPIセキュリティツールに投資する必要がある」とシンは指摘する。
アイルランドでは、悪質ボットがトラフィックの71%を占め、ドイツも68%と高い。一方、メキシコは43%、米国は34%にとどまっている。
生成AIの普及は事態を悪化させており、単純なボットの割合は、2022年の33%から2023年には40%に増加している。
一方、アカウント乗っ取り攻撃は2023年に10%増加し、APIエンドポイントを標的にしたものが44%と、2022年の35%から増加した。インターネット上の全てのログイン試行のうち、実に11%がアカウント乗っ取り攻撃に関連したものだった。最も被害が多かった業種は金融サービスの37%で、旅行業は12%、ビジネスサービスは8%だった。
APIは攻撃対象として最も頻繁に狙われており、2023年にはAPI攻撃の10件に3件が自動化されたものだった。このうち17%は悪質ボットがビジネスロジックの脆弱性と呼ばれるAPIの設計と実装の欠陥を悪用したもので、攻撃者は正当な機能を操作して機密データやユーザーアカウントにアクセスしていた。
ボットの問題が最も深刻だったのは2年連続でゲームとなり、トラフィックの57%を占めた。一方、ボットトラフィックの量が最も多かったのは、小売、旅行、金融サービスだった。
人間の行動を忠実に模倣し、防御を回避する高度な悪質ボットの割合が最も高かったのは、法律・行政(78%)で、エンターテインメント(71%)と金融サービス(67%)が続いた。
広告主の損害は年間10兆円
悪質ボットによるトラフィックの4分の1は家庭向けISP(インターネットサービスプロバイダー)から発生しており、ボット運営者は住宅用プロキシによって、トラフィックの発信元がISPに割り当てられた正規の家庭用IPアドレスであるかのように見せかけることで検知を逃れていた。昨年末に公表されたLunioのレポートによると、広告主がボットや自動化スクリプトなどから被った損害は710億ドル(約10兆円)と、2022年から33%増加する見込みだという。「ボットは蔓延し、あらゆる業界にとって最大の脅威の1つとなっている。ボットは単純なウェブスクレイピングから悪意のあるアカウントの乗っ取りやスパム、サービス拒否に至るまで、オンラインサービスの質を低下させる。企業は、インフラやカスタマーサポートへの投資を増やす必要に迫られ、利益が圧迫される。攻撃者が、アカウント侵害やデータ流出につながるAPI攻撃に焦点を絞りつつある中、企業は悪質ボットの脅威に積極的に対処する必要がある」とシンは語った。
(forbes.com 原文)
