年末商戦を前に、小売業者を標的とする AI 駆動型攻撃が増加傾向に

Thales グループの Imperva は、この度、小売業界における年末商戦を狙った生成AIを活用した攻撃の予測に関するブログ記事を公開しました。Impervaでは、生成 AI ツールと大規模言語モデル (LLM) が急増かつ進化するにつれて、サイバー犯罪者がこれらのテクノロジーを利用し、eコマースプラットフォームに対してより大規模かつ洗練された攻撃例が増えていると警告しています。 

10 月から12 月下旬まで続く年末のショッピングシーズンは、オンライン小売業者にとって重要な時期です。大幅な収益を生み出すだけでなく、ダウンタイムやセキュリティインシデントを許容できない時期ですが、攻撃者にとって小売業者は格好の標的でもあります。小売業者はボット、分散型サービス拒否 (DDoS) 攻撃、API 違反、ビジネス ロジックの悪用など、さまざまな AI 駆動型攻撃の脅威に備える必要があります。 

タレスグループ Impervaのアプリケーションセキュリティ担当ゼネラルマネージャーを務めるNanhi Singhは次のように述べています。「サイバーセキュリティの脅威は年間を通じて懸念事項ですが、小売業者が記録的な売上を達成することが多い年末商戦の期間は、より顕著になります。サイバー犯罪者はこれを認識しており、生成AIツールとLLMを使用して、デジタル取引の増加、期間限定のプロモーション、顧客アカウントに保存されているギフトカードやロイヤルティポイントを悪用しようと試みています」 

Imperva Threat Research の直近 6 か月間の分析 (2024 年 4 月～ 2024 年 9 月) のデータによると、小売サイトは平均して 1 日あたり 569,884 件の AI 駆動型攻撃を経験しています。これらの攻撃は、ChatGPT、Claude、Gemini などの AI ツールや、LLM トレーニング データのために Web サイトをスクレイピングするように設計された特殊なボットから発生しています。これらの攻撃を分析すると、サイバー犯罪者は主に AI ツールを使用して、次の種類の攻撃を実行していることが明らかになりました。

• ビジネスロジックの悪用: 最も一般的な AI 駆動型攻撃の形態 (30.7%) であり、アプリケーションまたは API の正当な機能を悪用して、価格操作、認証バイパス、割引コードを悪用するなどの悪質なアクションを実行します。AI により、攻撃者はこれらの攻撃を大規模に自動化できるため、検出が困難です。これらの攻撃から保護するには、小売業者はすべてのユーザー入力に対する厳格な認証の実行、検出システムを使用した異常なアクティビティの特定、ビジネスプロセスの定期的な監査を行い、悪用される可能性のある機能を特定する必要があります。 

• DDoS 攻撃: 小売業者に対する AI による脅威全体の 30.6% を占める DDoS 攻撃は、ウェブサイトのリソースを圧倒してダウンタイムを引き起こし、特に買い物客のピーク時に売上の損失や顧客評価の低下につながる可能性があります。サイバー犯罪者は現在、AI を活用して大規模なボットネットをより効率的に調整し、こうした攻撃の精度を高めています。小売業者は、機械学習を利用して悪意のあるトラフィックをリアルタイムで識別して軽減し、正当な顧客が影響を受けないようにする DDoS 保護ソリューションに投資する必要があります。 

• 悪性ボット攻撃: 悪性ボット攻撃は、小売業者を狙った AI による脅威の 20.8% を占めています。これらの自動化された脅威は、価格データのスクレイピング、クレデンシャルスタッフィング、在庫の買い占め(スキャルピング) などの破壊的な活動に関与しています。特に悪名高いグリンチボット（買い占めボット）は、年末商戦期間中に在庫を買い占めることで有名で、消費者が需要の高い商品を購入することがますます困難になっています。AI の進歩により、ボットオペレーターは人間の行動を巧妙に模倣するボットを作成し、従来のセキュリティ対策を回避できるようになりました。この脅威に対抗するには、小売業者は、行動分析を利用して本物のユーザーと高度なボットを区別するボット管理ソリューションを実装する必要があります。 

• API 違反: eコマースプラットフォームがモバイルアプリケーションやサードパーティ統合用の API を公開するケースが増えているためのAPI 違反が増加しており、小売業者に対する AI による攻撃の 16.1% を占めています。サイバー犯罪者は API の脆弱性を悪用し、機密データや機能に不正アクセスします。AI の支援により、攻撃者は API 実装の弱点を迅速に特定できるため、こうした脅威を軽減することは特に困難です。小売業者は API を保護するために、厳格な認証および承認プロトコルを実施し、不正使用を防ぐためレート制限を実装し、包括的なセキュリティ評価と侵入テストを定期的に実施することが推奨されます。 

これらの AI を利用した攻撃は、小売業者だけでなく、消費者にも大きなリスクをもたらします。サイバー犯罪者は AI を利用したボット攻撃を通じてビジネスロジックを悪用し、システムを混乱させることで、クレジットカードの詳細、住所、アカウント情報など機密性の高い個人情報を流出させることができます。攻撃が成功すると、個人情報の盗難、金銭的損失、e コマース プラットフォームへの信頼の喪失につながる可能性があり、不正な請求や不正なアカウント アクセスによって消費者のショッピング体験に悪影響が及びます。 

Singhは次のように重ねて述べています。「過去数年間、グリンチボットや DDoS 攻撃などのセキュリティ脅威が年末商戦期間中に大きな混乱を引き起こし、小売業者と消費者の両方に影響を与えてきました。現在、生成 AI ツールと LLM が広く利用可能になったことで、小売業者には新たな高度なサイバー脅威の波が押し寄せています。堅牢な防御がなければ、小売業者は AI を活用した攻撃によって最悪の状況に直面するリスクがあります。一年で最も重要な時期に、通常業務を中断させられ、顧客データが侵害され、評価を落とすことにつながります。これらの脅威を効果的に軽減するには、小売業者はこれらの攻撃から防御するだけでなく、顧客の購買体験を妨げず、迅速に対応できるよう包括的な戦略を採用する必要があります」 

補足情報: 

• 関連ブログ (“Seven Cybersecurity Tips to Protect Your Retail Business This Holiday Season” *英語) はこちらからご覧ください。 

• 小売業者のアプリケーション、API、データを対象に、セキュリティリスクからの保護をサポートするImpervaの製品とソリューションの詳細は、こちらをご覧ください。 

• Imperva製品やソリューションに関する最新情報、および Imperva Threat Research による脅威インテリジェンスなどについては、Imperva Blogをご覧ください。 

（以上） 

Impervaについて 

ThalesグループのImpervaは、重要なアプリケーション、API、データをあらゆる環境で大規模に保護しつつ、最高のROI（投資対効果）を実現するサイバーセキュリティのリーダーです。エッジ、アプリケーションセキュリティ、データセキュリティを組み合わせた統合的なアプローチにより、お客様のデジタル・ジャーニーをあらゆるステージにおいて保護します。また、Imperva Threat Research、および当社のグローバル・インテリジェンス・コミュニティを通して脅威の一歩先を行き、最新のセキュリティ、プライバシー、コンプライアンスの専門知識をソリューションにシームレスに統合しています。 

Impervaウェブサイト： 

https://www.imperva.com/jp/