reCAPTCHA Enterprise が年末商戦期のお客様を攻撃から保護した方法

※この投稿は米国時間 2021 年 4 月 2 日に、Google Cloud blog に投稿されたものの抄訳です。

2020 年は、あらゆるビジネスが新しい現実に適応しながら、オンライン ビジネスを主要なチャネルに据えていく必要がありました。しかし、オンライン ビジネスが拡大するにつれ、ウェブベースの攻撃も増加しました。Forrester Consulting が委託した調査によると、84% の企業が bot 攻撃の増大を認識し、71% の組織が攻撃の被害件数が増えていることを確認しています。また、65% の企業が頻発する bot 攻撃によって多大な収益損失を被っていることが明らかになっています。オンライン詐欺が増加の一途を辿ることが予想される中、ウェブページのセキュリティの重要性が今までになく高まっています。

オンライン詐欺や不正行為による影響は、在庫の問題からアカウント アクセスの問題に至るまで、業界によってそれぞれに異なります。また攻撃方法も多様で、クレデンシャル スタッフィングや支払い詐欺の攻撃に対処しなくてはならない企業もあれば、スパムログインのためにアカウントの乗っ取りの対象となりやすい企業もあります。クレデンシャル スタッフィングはお客様が直面しがちな最も一般的な攻撃の一つです。この原因には、さまざまな侵害行為により流出したデータからユーザー名とパスワードを入手しやすくなったこと、そしてこの種の攻撃を簡単にスクリプト化できるようになったことが考えられます。また、アカウントの乗っ取りも一般的な攻撃の一つに挙げられます。過去数年間で、データ侵害によって何十億個ものアカウント情報が漏洩し、これらの認証情報がダークウェブに投稿され販売されています。

攻撃は多様化していますが、これらはすべてビジネス、お客様、収益に損害を与えるという点で同じ結果を招きます。

オンライン ビジネスの成功に必要な、効果的なオンライン セキュリティ

企業のデジタル化が進むほど、オンライン攻撃を理解して管理する能力が企業の成功につながるといえます。2020 年の年末商戦期には、かつてないほどのオンライン攻撃が発生しましたが、reCAPTCHA Enterprise を使用するお客様は慌てる必要がありませんでした。

オンラインでビジネスを行っている組織はすべて、オンライン詐欺の影響を受ける可能性がありますが、reCAPTCHA Enterprise を使用することで、このような可能性を軽減できます。このソリューションは、小売、ゲーム、メディア、エンターテイメント、ソフトウェア、インターネットの各業界のビジネスにおいて特に効果を発揮します。reCAPTCHA Enterprise を使用している企業では、スマートホーム デバイスから事務用品、ソフトウェア、オンライン マーケットプレイス、ソーシャル メディア、ストリーミング サービスに至るまで、あらゆるものを作成、販売、提供、管理しています。そして、これらのすべてが無数の自動化された攻撃に直面しており、適切に防御されなければ、ビジネスは弱体化する恐れがあります。

たとえば、小売業者は、bot がショッピング カートに在庫を入れ、正規のお客様が利用できる在庫量を減らすのを防ぐ必要があります。また、購入手続き時にさまざまな値や個人情報の入力を試す bot を使用した、盗んだ支払いカードデータの欠落している利用開始日や有効期限、セキュリティ コードを特定しようとする悪意のある試みに直面することもあります。ゲーム、メディア、エンターテイメント業界のお客様は、盗んだ認証情報を使って正規のお客様のアカウントにログインしようとする悪意のある攻撃者に悩まされています。イベント会社では、bot がチケットを買い占め、のちに営利目的で転売する自動スキャルピングへの対策に取り組んでいます。また、多くのベンダーは、決済時にウェブページでクーポン番号やバウチャー コード、割引トークンを繰り返し使用しようとする試みに苦慮しています。

2020 年の年末商戦期におけるハッキングの阻止

2020 年の年末商戦期に、お客様が体験した最も一般的な攻撃は、クレデンシャル スタッフィング、次いでスクレイピング、カードの不正使用、アカウントの乗っ取りでした。

クレデンシャル スタッフィング攻撃では、bot は盗んだ認証情報をアプリケーションの認証メカニズムに照らし合わせてリストアップし、ユーザーが同じログイン認証情報を再利用しているかどうかを識別します。盗まれたユーザー名（たいていの場合はメールアドレス）とパスワードのペアは、攻撃者が他のアプリケーションから直接入手したか、犯罪市場で購入したか、一般に公開されている大量の侵害データから入手した可能性があります。reCAPTCHA Enterprise は bot の行動を認識し、bot の攻撃の試みに抵抗を生じさせることで、クレデンシャル スタッフィング攻撃を検知し阻止します。そして攻撃が行われていることを警告し、2 要素認証のような対策を実装することで、正当なユーザーをウェブサイトに通しつつ、攻撃の試みを阻止します。

スクレイピング攻撃では、ウェブページやアプリケーションから大量のデータが抽出されます。この攻撃はソーシャル メディアのアカウントから個人データを収集するために行われ、悪意のある攻撃者はその情報を使用してローンやクレジット カード、その他の身分証明書の申込書を作成します。また、商品やサービスに関する本物の情報を収集した後で、偽の商品やサービスを作り上げ、購入者をだまして購入させることにも利用されます。reCAPTCHA Enterprise は適応型のリスク分析エンジンを利用して、悪意のあるソフトウェアによる不正行為からサイトを守ります。

2020 年に目立った不正行為の一つに、カードの解読があります。不正利用者は、盗んだクレジット カードを販売したり使用したりする前に、自動化されたツールを使用して確認することがよくあります。reCAPTCHA はサイト固有の動作を分析する機械学習モデルを使用し、正当な取引と不正な取引のパターンを認識して、この種の不正行為を検出します。reCAPTCHA Enterprise はウェブサイトとのインタラクションをもとに、安全なインタラクションだと判断すれば 1.0、不正行為だと判断すれば 0.0 というスコアを返します。reCAPTCHA Enterprise により、このような不正行為の取引コストを削減し、盗まれた決済方法を利用した大規模な攻撃を防ぐことができます。

場合によっては悪意のある攻撃者が、盗まれた、または漏洩された認証情報を使用して正当なユーザーのアカウントにログインし、アクセスすることがあります。この攻撃は、アカウントの乗っ取りと呼ばれます。アカウントが乗っ取られた後は通常、攻撃者によって、そのユーザー アカウントでの送金、ギフトカードの購入、商品の購入が行われます。reCAPTCHA Enterprise API リスクスコアは、ビジネスに最適な方法でウェブページを保護するための細分性と柔軟性を提供してくれるため、そのスコアに基づいてどのように対応すべきかを判断できます。リスク管理において、万能なアプローチというものは存在しません。そのため、さまざまなウェブページに対応した保護レベルが必要になります。このソリューションは、ログインページで不正なリクエストが疑われる場合は 2 要素認証を強いることができる一方、重要性の低いウェブページのリクエストを単にブロックすることもできます。

reCAPTCHA Enterprise は、企業がオンライン上の不正行為を軽減できるよう設計されており、10 年以上にわたって無数のウェブサイトを防御してきたテクノロジーを取り入れています。企業が受ける攻撃の数と種類は、時間の経過とともに増加の一途を辿るでしょう。そのため、それらの攻撃からどれだけ適切に保護できるかが、ビジネスの成功の鍵となることを念頭に置いてください。オンライン詐欺や不正行為からビジネスを保護するために、今すぐ reCAPTCHA Enterprise の使用を開始しましょう。

- プロダクト マネージャー Cy Khormaee

- プロダクト マーケティング マネージャー Kelly Anderson