ホリデーシーズンのセキュリティ
Eコマースに迫る脅威への備え
ホリデーシーズンは必然的にサイバー攻撃の機会が増え、Eコマース業界は格好のターゲットになります。衣料品、電子製品、旅行などオンラインで販売する商品が何であれ、ホリデーをテーマとした販促は残念ながら攻撃の標的になりがちです。この時期はセキュリティとITの部門が過負荷状態になっていることが多く、不意を突きやすいからです。
この傾向を考えると、問題は攻撃に備えるか否かではなく、ビジネスにとっての最大リスクはどのタイプの攻撃かです。
効果的なセキュリティには、Webアプリケーションへの一般的な脅威(DDoS攻撃やゼロデイ脆弱性の悪用など)に対して強力な保護べースラインを確立することだけでなく、ホリデー中にビジネスに最も影響を及ぼしそうな特殊攻撃のタイプを予測し、然るべき備えをすることが必要です。
次の4つの問いへ答えが優先順位づけのきっかけになります。優先順位を明らかにして取り組むことで、Eコマース企業は、年商の三割を稼ぎ出す場合もあるこのホリデーシーズンを成功裏に乗り切る体制を整えることができるでしょう。
取り扱い商品はどの程度価格志向型か?
取り扱い商品の販売数は限定的か?
サードパーティ支払いシステムを使っているか?
暗号通貨による支払いは受け付けているか?
問1:取り扱い商品はどの程度価格志向型か?
コストが低い、コモディティ化が進んでいる、広く流通しているなど、一部の製品やサービスでは、競合会社間の価格差が消費者の購買意思決定に少なからず影響を与えます。ホリデーシーズンの販促で価格競争に少しでも競り負けると、売り上げの大幅減につながりかねません。
このホリデーシーズン、価格志向性の高い商品を取り扱う企業は価格スクレイピングボットに特に注意する必要があります。価格スクレイピングボットはWebサイトをスキャンして価格情報を集め、それを競合へフィードバックします。競合会社はその情報に基づいて自社の取り扱い商品がわずかに安くなるように価格設定し、大きな優位性を得ることができます。
価格スクレイピングボットは、認証失敗、異常購入、新規ユーザーアカウント急増の増加といった明らかな影響が見られないため、他タイプのボットより識別が難しいことがあります。価格スクレイピングボットの識別に役立つ兆候には、次のようなものがあります:
予想される消費者行動と一致しないトラフィックスパイクの発生 — 価格スクレイピングボットが断続的にサイトをスキャンするからです。
サイトパフォーマンスの低下 — 上記と同じ理由です。
トラフィックIPオリジンが競合サイトを指向
自社サイトで価格スクレイピングボットを識別した場合や、ホリデー販促中に標的にされている疑いが生じた場合は、レート制限などの戦術がサイトパフォーマンスへの影響防止に役立ちます。とはいえ、機械学習と詳細な脅威��インテリジェンスを基に自動化トラフィックをフィルターで除去する高度なボット管理サービスへの投資はやはり必要でしょう。
問2:取り扱い商品の販売数は限定的か?
商品によっては希少性が有効なマーケティング戦術になります。たとえば注目の消費者向け電子製品、コンサートチケット、限定版ファッションなどで、非代替性トークン(NFT)もその部類に入ります。
これらの商品を販売する企業は、ホリデーショッピングシーズン中の在庫溜め込みボット(別名「グリンチボット」)に特に注意が必要です。このボットは通常、商品やサービスを人間より速く自動購入し、利鞘を載せて中古市場で販売します。たとえば、限定版のスニーカーは特殊なボットカテゴリー「スニーカーボット」の標的になりました。
商品が数分で売り切れるため、在庫溜め込みボットの影響は簡単に識別できます。ただ、気づく頃にはもう被害が出ていて、正規顧客が既にイライラしているという点が厄介なのです。このボットが不正行為を決して完了し�ないよう阻止するために、次の戦術を検討してください:
チャレンジ:マネージドチャレンジによって、正規ユーザーが確実に購入できるようにします。CAPTCHAの代替として、煩わしいCAPTCHAを経ることなくユーザーが本物であることを確認できるマネージドチャレンジが利用可能になりました。
レート制限:ボットが在庫を購入できる頻度を制限します。
「ハニーポット(罠)」をセットアップ:ハニーポットは悪性アクターを誘い込む偽の標的で、アクセスされるとその悪性アクターを悪意を持つ者として暴露します。ボットに対しては、robots.txtファイルによってボットのアクセスが禁止されたサイト上のWebページが罠になっている場合があります。良性ボットはrobots.txtファイルを読み込んでそのWebページを回避しますが、悪性ボットはそのWebページとインタラクションを行います。罠にアクセスしたボットのIPアドレスを追跡することによって、悪性ボットを識別しブロックできるのです。
残念ながら、これらの戦術のいくつかはユーザーエクスペリエンスを損なう可能性があり、超高度なボットに対しては阻止すらできない場合があります。そのため、在庫溜め込みのリスクを負う企業では、機械学習と高度な挙動分析を用いた特化型ボット管理にも投資する必要があるかもしれません。
問3:クレジットカードによる支払いを受け付けているか?
Eコマース企業はホリデーシーズンの間、自社の支払いシステムをさまざまな脅威から保護しなければなりません。たとえば、クレジットカードスタッフィング攻撃は盗んだクレジットカード番号を使って支払いシステムに攻撃を浴びせ、 Magecart攻撃は顧客からクレジットカード番号をスキミングします。
サードパーティ支払いサービスを利用する企業は、他にも心配事があります。支払い用APIの保護です。APIが未知の脆弱性を持っていたり、APIトップ10セキュリティリスクの影響に弱いと、攻撃者がクレジットカード情報を傍受できる可能性があります。認証攻撃でも同じことが起こりかねません。認証攻撃では、攻撃者が該当するAPIキーを盗んだり、認証トークンを傍受して使ったりします。
通常、こうした攻撃を防止するにはAPIの識別が第一歩になります。小売業はAPIトラフィックの増加ペースが二番目に速い業界であり、ホリデーシーズンを控え、Eコマース企業がAPIエンドポイントディスカバリーサービスを利用することが重要になります。リスクを孕むエンドポイントを見極められれば、次の戦術を実施できます:
スキーマ検証:具体的には、APIの「スキーマ」(受信を想定しているリクエストのパターン)に合致しないAPI呼び出しをブロックすることです。
APIごとの不正利用検出:各APIエンドポイントの最新トラフィック情報を基に、不正トラフィックを把握し、API中心のレート制限によって過剰な不正APIトラフィックをブロックします。
APIセキュリティ戦術は、在庫追跡、ロケーションベースのサービス、動的価格設定ツールなど他のサードパーティサービスにとっても重要ですが、支払いシステムは金融データが使われるため、おそらく最も魅力ある標的であり、ホリデー販促期には特に注意が必要です。
問4:暗号通貨による支払いは受け付けているか?
暗号通貨による取引はすべて、対応するブロックチェーンに記録されます。ブロックチェーンは、多数のコンピューターからなる分散型ネットワーク上に存在する長いレコードリストです。たいていの企業は、オンラインストアをそれらの分散型ネットワークに接続するために専用のAPIやゲートウェイサービスを利用しています。
理論上、ブロックチェーンに記録された取引は偽造や変更ができません。しかし、それは対応するAPIには当てはまりません。これらのコネクターは暗号通貨窃盗の標的になりやすいのです。しかも、暗号通貨は動きが速く、市場規制がないため、対応するAPIやゲートウェイは他の支払いツールと同様のセキュリティ審査を受けない場合があります。
ホリデーシーズン中に脅威によって暗号通貨建ての支払いに支障が生じないよう、Eコマース企業は上記のようなAPIセキュリティ戦術(スキーマ検証とWAFルール)を検討すべきでしょう。
優先順位づけプロセスの続き
上の問いへの回答は、リスク優先順位づけのプロセスの重要な第一歩です。ただし、それは出発点に過ぎません。企業が過去のホリデーシーズンの攻撃データを分析して、将来の脅威を予測できるようになれば理想的です。分析を基に次の要素の考察も可能でしょう。
収益減または軽減コスト増によって、財務上最も大きな影響を及ぼし得る攻撃タイプは?
データの損失や改ざんのリスクが最も大きい攻撃タイプは?
サイトのダウンタイムの原因となる可能性が最も高い攻撃は?
Cloudflareは優先順位づけのお役に立ちます。各プランにCloudflareセキュリティセンターの利用が含まれており、同センターで企業のIT資産の棚卸や潜在的セキュリティリスクのリストアップをお手伝いする他、潜在的脅威の調査も簡単に行えるよう支援します。
さらに、Cloudflareのアプリケーションセキュリティサービスが、この記事で概説したすべての脅威はもちろん、DDoS攻撃、あらゆるボット攻撃、ゼロデイ脆弱性悪用などの軽減に役立ちます。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
記事の要点
Webアプリケーションを狙った特殊脅威の中で、自社にとって大きなリスクとなるのは?
APIセキュリティ、ボット管理、その他のセキュリティ事項に特に注意すべき時期は?
ホリデーシーズンこそセキュリティポスチャ強化が重要なのはなぜ?
関連リソース
このトピックを深く掘りさげてみましょう。
Webアプリケーションセキュリティの重要検討事項について詳しく学びましょう。Gartner® Magic Quadrant™「WebアプリケーションとAPI保護(WAAP)」を入手してください。