Bad Bot の活動が止まらない：インターネット・トラフィックの 73% を占めるという

Bad Bots Account for 73% of Internet Traffic: Analysis

2023/11/16 SecurityWeek — Bad Bot による攻撃の 2023年 Q3 Top-5 は、偽アカウント作成／アカウント乗っ取り／スクレイピング／アカウント操作／製品内不正使用の順となる。この順位は、製品内不正使用がカード・テストを追い抜いてランクインした以外は、2023年 Q2 から変わっていない。Q2 から Q3 かけて最も増加した攻撃は、SMS 利用料詐欺 2,141％ 増／アカウント操作 160％ 増／偽アカウント作成 23％ 増となる。

標的とされている Top-5 の業種としては、トラフィックの 76％ をバッドボットが占めるテクノロジー 分野に続き、ゲーム (トラフィックの 29％)／ソーシャルメディア (46％)／電子商取引 (65％)／金融サービス (45％) などが挙げられる。

ボットが目的を果たせなかった場合の犯罪者たちは、人手により運営する詐欺ファームに乗り換える傾向が強まっている。Arkose は、2023年上半期に 30億件以上の詐欺ファーム攻撃があったと推定している。これらの詐欺ファームは、主にブラジル／インド／ロシア／ベトナム／フィリピンなどにあるようだ。

Bad Bot の蔓延の背景には、２つの理由があると考えられる。１つは人工知能 (主に gen-AI) の登場と一般的な利便性であり、もう 1 つは CaaS (Crime-as-a-Service) がもたらす、アンダーグラウンド・ビジネスの成長である。

2023年 Q1〜Q2 にかけて、インテリジェント・ボットのトラフィックは、ほぼ４倍に増加ししている。この種のボットは、AI/ML などの高度なテクニックを駆使して人間の行動を模倣し、検知を回避する。IoT デバイス／クラウドサービスなどの、新技術に存在する脆弱性を狙うボットは、適応能力に長けている。たとえばフィッシングにおける 2FA 防御を回避するためにも、それらは広く使われている。

Q1〜Q2 にかけて、スクレイピングは 432％ も増加している。ただし、Web サイトからデータや画像を収集する、スクレイピング・ボットの激増に、AI の台頭が関係しているかどうかは不明である。

ソーシャルメディア・アカウントのスクレイピングにより、個人データの収集が可能となり、そこに AI を加えることで、魅力的なフィッシング攻撃が大量生産されている。その他のボットは、アカウント乗っ取りメールや、ロマンス詐欺などの配信に使用されていると推測される。スクレイピングは、旅行やホスピタリティの分野もターゲットにしている。

スクレイピングは、法的には不透明な領域であると言わざるを得ない。特に違法というわけではないが、Web サイトが公表している利用規約に反すれば、不道徳であることに間違いはない。Web ウスクレイピング機能を公然と提供するサービスもある。そのようなケースでは、CaaS／AI／Bad Bot の関連性が示唆される。

Arkose Labs の CEO である Kevin Gosschalk は、「Web サイトにより Bad Bot が阻止されていないことを確認するために、特定のプロバイダーが提供している Web サイトもある。このソフトウェアは購入できるものであり、サポートも受けられる。しかし、それは犯罪を助長するために作られたものだ。この種の Web サイトが数多く存在し、合法的なビジネスを装っているが、詐欺を働くために作られた製品の良い例である」と、SecurityWeek に語っている。

犯罪をサービスとして提供する CaaS も、スキルのない犯罪志願者にチャンスを提供するものだ。CaaS の大規模な台頭は、敵対者の経済性を完全に変えてしまった。攻撃を行うのは、個人のサイバー犯罪者ではなく開発者であり、企業を攻撃する方が大きな利益を生み出すようになっている。

Bad Bot の量が増え続けていることは、犯罪者にとって、それが有益であることを示唆している。Gen-AI の登場は、Bad Bot のパフォーマンスを向上させ、CaaS の成長は Bad Bot 運営者の数を増加させる。唯一の解決策は、Bad Bot の検知と緩和であり、それにより、人間やシステムというターゲットへのアクセスを制限することだ。利益にならなければ、彼らは、それをしない。

インターネット・トラフィックの 73% を、悪意のボットが占めるという衝撃的なタイトルですが、なんのためのインフラなのかと考えると、ちょっと悲しくなります。まぁ、メールボックスを眺めていても、同じような感覚に陥りますが、そんな世界であっても、安全に暮らしていかねければなりませんね。この記事ですが、いろんな数字が錯綜していて、ちょっと分かりにくいところあります。よろしければ、Arkose Labs のレポートを、ご参照ください。