自動で行われるウェブサイトへの攻撃を reCAPTCHA Enterprise で阻止する 5 つの方法

※この投稿は米国時間 2022 年 2 月 9 日に、Google Cloud blog に投稿されたものの抄訳です。

自動で行われるウェブサイトへの攻撃は、サイバー犯罪の定番です。不正な行為者がウェブサイトに害をなそうとするときに、最も簡単な方法として使われるのが bot です。bot は機密情報やお金を盗み出す場合にも使われますし、ウェブサイト全体をシャットダウンさせることもできます。bot が使用されることで行政機関で日々行われるあらゆるオンライン上の活動が脅かされ、毎年何十億ドルもの費用が発生しています。また、その攻撃はシンプルな分散型サービス拒否（DDoS）攻撃には留まりません。

reCAPTCHA Enterprise であれば、自動で行われるウェブサイトへの攻撃で被害を受ける前に、リスクの低減または除去が可能です。Google Cloud の reCAPTCHA であれば、自動化された生体模倣と実際の人間による行動を区別することが可能であるため、攻撃を阻止することできます。

reCAPTCHA Enterprise が日常的に防いでいる自動で行われる攻撃の種類は 21 を超えています。これらの攻撃の詳細は、OWASP 自動化された脅威についてのハンドブックに記載されています。

ここでは自動で行われるウェブサイトへの攻撃の中から 5 つの主要な攻撃を紹介し、reCAPTCHA Enterprise が各攻撃に対してどのように公共部門の組織を保護しているのかを説明します。

1. アカウントの作成

アカウント作成の過程で reCAPTCHA Enterprise を使用することは、自動で行われる攻撃を阻止するために組織が取ることのできる対抗策として最も効果的です。ユーザーが自分のアカウントを使って発言したり、サービスにアクセスできるようなウェブサイトの場合、bot による登録を阻止することでアクセスを遮ることができます。この強力な設定は、見落とされがちです。bot に支配されたアカウントが 1 つ減るということは、攻撃に利用できる bot が 1 つ減るということです。Google では最前線での防衛に集中するための方法として、行政機関にアカウント作成を重視するようにおすすめしています。

2. キャッシング アウト

bot は盗難に遭った、もしくは以前に承認されたことがある支払い方法およびアカウントへのログイン承認情報を使用して、高価な商品の購入や不正送金を実行します。こうした行為はキャッシング アウトと呼ばれます。行政機関でこのような財務面でのハイジャックが起こってしまうと、税金の還付や申請に対する支払いに影響が出かねません。狙われやすいのは還付申請ですが、それを守ることができるのが reCAPTCHA Enterprise です。ウェブサイトに対するユーザー インタラクションを基にスコア付けを行い、ユーザーが本物の人間であるか bot である可能性が高いのかを評価します。ReCAPTCHA ではウェブサイトに対するインタラクションを、1.0 （適切なインタラクションである可能性が高い）から 0.0 （不正行為である可能性が高い）の間でスコア付けします。こうした揺るぎないリスク分析のおかげで、正当なアクティビティに影響を与えずに不正なアクティビティを阻止することができます。

3. クレデンシャル スタッフィング

クレデンシャル スタッフィングの背後には、機能する組み合わせが見つかるまで何千ものユーザー名とパスワードを試行する bot が存在します。多くの人は複数のウェブサイトで同じ認証情報を使用しています。つまりこれは、他のウェブサイトで情報が流出した場合に、公共部門のサイトでも同じようにアクセスしていた可能性が高いことを意味しています。reCAPTCHA Enterprise では、こういった流れによる外部への流出を阻止することで、他のウェブサイトへの被害を抑止しています。ウィスコンシン州の労働力開発部門では reCAPTCHA Enterprise を使用して bot の行動を認識することで不正な申請を削減し、さらなる対策を講じて正当な申請を承認できるように目指しています。

4. 在庫アクセスの妨害

パンデミックが継続していることで、主要なサプライ チェーンの混乱も続いています。工場や港のシャットダウンにより、主要なアイテムが手に入りにくい状況が頻発しています。不正な行為者は「在庫アクセスの妨害」攻撃を行うことで、買いだめしたアイテムを使って利益を得ています。つまり、bot が需要の高いアイテムを大量に買い占め、それを転売することで多額の利益を得ているということです。公共部門の組織は、こうした行為も見逃すことはできません。これらの攻撃は、個人用防護具（PPE）、ワクチン、財政支援などの分配を妨害するものです。reCAPTCHA Enterprise は、目の前で起こる市場操作を警戒し防止することが可能で、お金だけではなく命も守ることができる可能性があります。

5. スキューイング

現在、分析データは数多くの意思決定を主導しているため、そうした指標を操作する目的で自動で行われるウェブサイトへの攻撃が使用されたとしても不思議はありません。スキューイングには、指標や分析データの改ざんを目的とした度重なるリンクのクリック、ページ リクエスト、フォームの送信が含まれます。公共部門では、ニュース記事の人気度から法律制定のための国民の支持まで、あらゆる事項の操作にこうした攻撃が使われています。政治的な意図が含まれていることが多いスキューイングですが、その目的は一方の組織がもう一方の組織に対して優位に立つこと、または公共部門の意思決定に変化を生じさせることです。reCAPTCHA Enterprise は正当なリクエストであるか不正なリクエストであるかを区別することで、こうした攻撃から防衛します。

自動で行われるウェブサイトへの攻撃は、どんなウェブサイトにとっても重大な懸念事項です。公共部門のウェブサイトはユーザーや住民の信頼のうえに成り立っており、こうした信頼を維持することが公共部門の大切な使命です。ウェブサイトがダウンしてしまったり情報が流出すれば、信頼も損なわれます。加えて、こうした攻撃による経済的な損失も、見過ごせるものではありません。reCAPTCHA Enterprise であれば、その場で攻撃を阻止することができます。

20 種類以上の自動で行われる攻撃の詳細については、OWASP 自動化された脅威についてのハンドブックをご覧ください。