ホリデーシーズンのためのeコマースセキュリティ

小売業者に忍び寄るサイバーセキュリティの脅威に備える

ホリデーシーズンは必然的にサイバー攻撃の機会が増え、Eコマース業界は格好のターゲットになります。特別なイベントがあるとインターネットトラフィックが急増しますが、その中には悪意のあるものもあります。この時期に、特に複数の専用ポイントソリューションを管理する必要があるeコマースのセキュリティおよびITリーダーは、多大な負担がかかることになります。

この傾向を考えると、問題は攻撃に備えるか否かではなく、ビジネスにとっての最大リスクはどのタイプの攻撃かです。

eコマースがホリデーシーズンに備えるには、ある程度の優先順位が必要です。オンライン小売業者は、Webアプリケーションへの一般的な脅威（DDoS攻撃やzero-day脆弱性の悪用など）に対する十分な保護を確立することに加えて、ホリデーシーズン中にビジネスや収益に影響を与える可能性が高い特殊な攻撃タイプに対応するための計画・準備が必要です。

次の4つの問いへ答えが優先順位づけのきっかけになります。優先順位を明らかにして取り組むことで、Eコマース企業は、総売り上げの二割近くを稼ぎ出す場合もあるこのホリデーシーズンを成功裏に乗り切る体制を整えることができるでしょう。

1. 取り扱い商品はどの程度価格志向型か？

2. 貴社はどの程度在庫不足の影響を受けますか？

3. 貴社はオンラインプレゼンスを高めるためにAPIを活用していますか？

問1：取り扱い商品はどの程度価格志向型か？

コストが低い、コモディティ化が進んでいる、広く流通しているなど、一部の製品やサービスでは、競合会社間の価格差が消費者の購買意思決定に少なからず影響を与えます。ホリデーシーズンの販促で価格競争に少しでも競り負けると、売り上げの大幅減につながりかねません。

このホリデーシーズン、価格志向性の高い商品を取り扱う企業はスクレイピングボットに特に注意する必要があります。スクレイピングボットはWebサイトをスキャンして価格情報を集め、それを競合へフィードバックします。AIの進歩を考えると、Webスクレイピングは目新しいものではありませんが、以前と比べてボットは価格データやコンテンツなどのスクレイピングをより効率的に行えるようになっています。競合他社はその情報を基に自社の取り扱い商品がわずかに安くなるように価格設定し、大きな優位性を得ることができます。

価格スクレイピングボットは、認証失敗、異常購入、新規ユーザーアカウント急増の増加といった明らかな影響が見られないため、他タイプのボットより識別が難しいことがあります。価格スクレイピングボットの識別に役立つ兆候には、次のようなものがあります：

• 予想される消費者行動と一致しないトラフィックスパイクの発生 — 価格スクレイピングボットが断続的にサイトをスキャンするからです。

• サイトパフォーマンスの低下 — 上記と同じ理由です。

• AIクローラーからサイト/アプリへのトラフィック量が増加した

• トラフィックIPオリジンが競合サイトを指向

自社サイトで価格スクレイピングボットを識別した場合や、ホリデー販促中に標的にされている疑いが生じた場合は、レート制限などの戦術がサイトパフォーマンスへの影響防止に役立ちます。とはいえ、リアルタイムの脅威インテリジェンスと、悪性ボット（AIスクレイパーを含む）を自動的に識別してフィルタリングする機能を組み合わせた、より高度なボット管理サービスへの投資はやはり必要でしょう。

質問2：貴社はどの程度在庫不足の影響を受けますか？

製品の不足の要因は、計画的なマーケティング戦術、サプライチェーンの逼迫、需要過多などが考えられます。1つ目のマーケティング戦略の例としては、注目度の高い家電商品、コンサートチケット、限定品のファッションなどが挙げられます。

これらの商品を販売する企業は、ホリデーショッピングシーズン中の在庫買い占めボット（別名「グリンチボット」）に特に注意が必要です。このボットは通常、商品やサービスを人間より速く自動購入し、利鞘を載せて中古市場で販売します。たとえば、限定版のスニーカーは特殊なボットカテゴリー「スニーカーボット」の標的になっています。このようなスニーカーボットに対抗するため、ある人気アーティストが、購入者が自分のファンクラブコードを持っていない場合、価格を100倍に吊り上げるといった対策を取った事例もあるほどです。

商品が数分で売り切れるため、在庫買い占めボットの影響は簡単に識別できます。厄介なのは、その時点ですでに被害が出ていることです。これらのボットを事前に阻止するために、次のような戦術を検討しましょう。

• マネージドチャレンジ：マネージドチャレンジによって、本物の人間であるユーザーだけが購入できるようにします。しかし、チャレンジの業界標準であるCAPTCHAは、顧客側に煩わしさを与えるものでありながら、AIモデルはこれを突破できる能力があります。CAPTCHAの代替手段として、CAPTCHAの欠点をなくしつつ、ユーザーが本物の人間であることが確認できる「マネージドチャレンジ」が利用可能になりました。

• レート制限：特定の時間枠内で特定の人（または特定の何か）が特定のアクションを繰り返すことができる回数を制限します。これにより、ボットや偽のユーザーがカートに商品を追加し、それらを放置する行為の頻度を制限することができます。

• 「ハニーポット（罠）」をセットアップ：ハニーポットは悪性アクターを誘い込む偽の標的で、アクセスされるとその悪性アクターを悪意を持つ者として暴露します。ボットに対しては、robots.txtファイルによってボットのアクセスが禁止されたサイト上のWebページが罠になっている場合があります。良性ボットはrobots.txtファイルを読み込んでそのWebページを回避しますが、悪性ボットはそのWebページとインタラクションを行います。罠にアクセスしたボットのIPアドレスを追跡することによって、悪性ボットを識別しブロックできるのです。

残念ながら、これらの戦術のいくつかはユーザーエクスペリエンスを損なう可能性があり、超高度な悪性ボットに対しては阻止すらできない場合があります。買い占めのリスクが高まっている企業であれば、機械学習と高度な挙動分析を用いた特化型ボット管理に投資しましょう。

質問3：貴社はオンラインプレゼンスを高めるためにどの程度APIを活用していますか？

定期的に発生するウェブサイトの停止や支払い詐欺といった脅威に加え、小売業者は攻撃対象範囲の拡大によるリスクにも直面しています。例えば、多くのeコマース企業は、CMS、商品在庫、チャットボット、支払いシステムなどの管理をAPIに大きく依存しています。より強力な個別化された体験を可能にする「ヘッドレスコマース」が普及し、APIへの依存度はさらに高まっています。

新しいAPIが追加されるたびに、新たな攻撃対象領域が生まれます。しかし、組織の約3分の1は、正確なAPIインベントリを保有していないとされており、当然、認識外のものを保護することはできません。把握できていない「シャドーAPI」の存在は、組織をデータ漏洩やラテラルムーブメントなど、さまざまなサイバーリスクを引き起こす可能性があります。

例えば、APIが未知の脆弱性を持っていたり、APIトップ10セキュリティリスクの影響に弱いと、攻撃者がクレジットカード情報を傍受できる可能性があります。認証攻撃でも同じことが起こりかねません。認証攻撃では、攻撃者が該当するAPIキーを盗んだり、認証トークンを傍受して使ったりします。

こうした攻撃を防止するにはAPIを認識することが第一歩になります。ホリデーシーズンに向けてAPIエンドポイントディスカバリーサービスを利用することで、リスクに晒されているエンドポイントを特定し、以下の戦術を実施することができます：

• スキーマ検証：具体的には、APIの「スキーマ」（受信を想定しているリクエストのパターン）に合致しないAPI呼び出しをブロックすることです。

• APIごとの不正利用検出：各APIエンドポイントの最新トラフィック情報を基に、不正トラフィックを把握し、API中心のレート制限によって過剰な不正APIトラフィックをブロックします。

小売業者のデジタルフットプリントは、生成AI、ライブストリーミング販売、その他のAPIを使用するテクノロジーの台頭により、拡大し続けています。長期的に見れば、DevSecOpsアプローチに移行することで、アプリとAPIの開発サイクルの全フェーズにセキュリティを組み込むことができます。

優先順位づけプロセスの続き

上の問いへの回答は、リスク優先順位づけのプロセスの重要な第一歩です。ただし、それは出発点に過ぎません。企業が過去のホリデーシーズンの攻撃データを分析して、将来の脅威を予測できるようになれば理想的です。分析を基に次の要素の考察も可能でしょう。

• 収益減または軽減コスト増によって、財務上最も大きな影響を及ぼし得る攻撃タイプは？

• データの損失や改ざんのリスクが最も大きい攻撃タイプは？

• サイトのダウンタイムの原因となる可能性が最も高い攻撃は？

• アプリケーション/APIのセキュリティを、内部ユーザー（従業員、請負業者、開発者など）を保護するセキュリティと統合できるかどうか

コネクティビティクラウドでeコマース運営の健全化を実現

年間を通じてeコマースの攻撃やトレンドに先んじて対応するためには、クラウドネイティブで低遅延、セキュアで信頼性の高いセキュリティプラットフォームが必要です。

Cloudflareのコネクティビティクラウドは、セキュリティとパフォーマンスの両方を強化し、コスト削減、俊敏性向上、機密データの保護、進化する脅威に対する防御を実現します。コネクティビティクラウドは、統合されたインテリジェントなクラウドネイティブのプログラム可能なサービスプラットフォームであり、企業はIT環境の可視性と制御能力が向上します。

Cloudflareは、Webアプリケーションのセキュリティ、APIのセキュリティ、サードパーティツールのセキュリティ、Zero Trustサービスなどを単一のコントロールプレーンに統合し、比類ない脅威インテリジェンスですべてのサービスを支えます。

Cloudflareを利用することで、お客様のデジタルカスタマーエクスペリエンス全体で世界第一級のセキュリティとパフォーマンスを実現し、ITスタック全体の制御権を再びその手に取り戻し、俊敏性を高めることができます。

この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。

記事の要点

• ピークホリデーシーズンに小売業が優先すべきサイバーセキュリティ戦略

• eコマースがユーザーエクスペリエンスを損ない収益を脅かす悪性ボットから保護するためのセキュリティのヒント

• APIの不正利用を防御するためのホリデーシーズン対策準備戦略

関連リソース

• アプリケーションセキュリティの状況

• The Forrester Wave：ボット管理ソフトウェア

• APIの必須事項：デジタルライフラインの安全確保

• 顧客体験の改革におけるAIの役割