ボットから役員室へ: 悪質なボットがバランスシートに与える悪影響

自動化されたボット攻撃は、次のような形で金銭的損失や経済的機会の喪失に直接つながる可能性もあります。

• アカウント乗っ取りにより顧客の信頼を失う。 組織のボット防御が不十分なためにアカウント乗っ取り (ATO) や高額な不正行為が発生し、顧客満足度の低下、評判の失墜、関係の終了につながるとしたら、顧客が不満を抱くのは当然です。 調査対象となった米国の消費者の4分の1以上が、詐欺事件に対する銀行の対応に不満があれば銀行を変更すると答えている。 
   
• 詐欺やチャージバックによる損失の増加。 ボットによる ATO 攻撃や不正なアカウント作成は、犯罪者が盗んだ認証情報を使用して購入したり偽のアカウントを設定したりすることで、収益に影響を与えます。 チャージバックは、クレジットカード処理業者に対する販売者の評判を損ない、チャージバックのペナルティにつながります。
   
• 人件費の増加。 ATO につながるクレデンシャル スタッフィングなどのボット攻撃には、詐欺アナリストによる調査が必要となり、より重要で詳細な調査に費やす時間が奪われます。 クレデンシャル スタッフィング ボットがアカウントの乗っ取りに失敗した場合でも、多くのパスワードを次々に試してアカウントをロックアウトすることが多く、顧客はサポートに電話せざるを得なくなり、電話のたびにサポート コストが増加します。
   
• 投資家の評価を歪める。 上場企業の評価がフォロワー数、ユーザー数、エンゲージメント数に依存している場合、人間以外のボット アカウントの存在によって正確な評価が大幅に歪む可能性があります。 たとえば、人間が運営するアカウント数とボットが運営するアカウント数に基づいて Twitter の正確な評価に到達しようとする最近の試みは、 2022 年のニュースを席巻しました。 
   
• 信頼性の低いボット軽減ソリューションにより、ボットを人間と間違えたり、その逆を行ったりする。  ボット軽減対策が不十分だとこうしたエラーが発生しますが、制限して防止する必要があります。 誤検知（ボット管理ツールが実際の人間をボットであると判定する場合）と誤検知（ツールがボットを人間であるとマークする場合）は、どちらも収益と利益の両方に影響を及ぼします。 1つは顧客を失う原因となり、もう1つは詐欺による経済的損失の原因となります。 実際、戦略的な顧客による送金を阻止する誤検知は、詐欺やチャージバックにつながる誤検知よりも銀行にとって大きな損害となる可能性があります。 どちらの状況でも、不正行為のアナリストが調査するには時間と労力が必要になります。
   
• 消費者データを保護できない。 EU の一般データ保護規則 (GDPR)、カリフォルニア州消費者保護法 (CCPA)、ペイメント カード業界データ セキュリティ標準 (PCI-DSS) などの法律や基準は、消費者データのプライバシーを確保し、データ侵害が発生した場合に多額の罰金を課すように設計されています。 これには、プライベートデータをボットに公開する ATO 攻撃やコンテンツ スクレイピング攻撃が含まれます。 これらの規制に従わなかった結果生じるデータ侵害は、非常に大きなコストがかかる可能性があります。GDPR では、EU のデータ保護当局は、最大 2,000 万ユーロまたは前会計年度の全世界の売上高の 4% の罰金を科すことができます。 

ボット攻撃は収益に影響を与えるだけではありません。 また、次のような理由で事業運営コストが高くなります。

• アプリケーションのパフォーマンスと稼働時間が低下し、インフラストラクチャ コストが増加する可能性があります。 ボット スクレイピング攻撃は、その量が多いため、アプリやプラットフォームのパフォーマンスが低下する可能性があり、放置すると、インフラストラクチャ容量への過剰投資が必要になり、必要なパフォーマンス レベルを維持するために追加のクラウド使用料が発生する可能性があります。
   
• アプリの可用性とビジネスの回復力が低下します。 ボットのアクティビティで過負荷になった Web アプリケーションは、リアルタイムの顧客からの問い合わせや電子商取引アクティビティに利用できず、収益の損失、評判の低下、顧客離れ、ユーザー エクスペリエンスの中断を引き起こします。
   
• サードパーティのエコシステム パートナーとの関係に悪影響を与える。 不要なボット トラフィックによってプラットフォームやアプリが過負荷になると、API エコノミー内のパートナーが SLA を満たせなくなり、契約義務に違反する可能性があります。
   
• ビジネス上の意思決定を歪める。 ボットのアクティビティにより、価格設定や有料およびオーガニック SEO の最適化など、企業がビジネス上の意思決定を行う際に頼りにする貴重な Web サイト統計、ログ データ、顧客インタラクション メトリックが歪められる可能性があります。
   
• 在庫管理の操作。 自動化されたボットは、オンラインの商品やサービスが販売されるとすぐに大量に購入できるため、犯罪者は貴重な在庫を大量に管理できます。これらの在庫は通常、二次市場で大幅な値上げで再販され、人為的な品不足、在庫の拒否、消費者の不満につながります。
   
• 顧客サポートコストの増加。 自動化されたボットは、攻撃が成功すると、アカウントの乗っ取り、ギフトカードやポイントの不正使用、侵害されたアカウントに関するその他の顧客からの苦情に対処するための電話や通信の増加を引き起こし、顧客サポート チームへのプレッシャーを増大させる可能性があります。 詐欺行為を防ぐために CAPTCHA ツールや多要素認証 (MFA) を使用すると、これらのプロセスを正しく完了するのが難しく、正当な顧客のアカウントがロックアウトされる可能性があるため、ユーザーの摩擦やカスタマー サポートへの問い合わせが増加するという意図しない結果が生じる可能性もあります。 これにより、カスタマー サポート センターの運用コストが増加し、顧客が失われ、ネット プロモーター スコア (NPS) やソーシャル メディア プラットフォームでの悪いレビューや評価を通じてブランドの評判が損なわれる可能性があります。
   
• ボット攻撃の緩和に費やされる人件費のコストが上昇しています。 Web アプリケーション ファイアウォール (WAF) を介して悪意のあるボット攻撃に対処し、IP アドレスを手動でブロックすることは、時間がかかり、実行するには訓練されたスタッフの数を増やす必要があります。 基本的な WAF はリアルタイムで学習しません。事前に設定されたルールに依存して悪質なボットを検出し、WAF を最新の状態に保つには、通常、段階的なパッチ適用とルール設定が必要です。 これらの手動プロセスを使用して防御を拡大する唯一の方法は、専任の IT およびセキュリティ スタッフの数を増やすことです。

定性的な影響は定量的な指標よりも測定が難しい場合がありますが、組織にとって重要性が低いということではありません。 自動化されたボット攻撃は、次のような方法でこれらの主観的な価値促進要因に直接貢献することもあります。

• 従業員のエクスペリエンスに影響を与えます。 情報セキュリティの専門知識は不足しており、自動化されたボット攻撃の数と巧妙さが増す中、多くの組織がサイバーセキュリティの人材不足に取り組んでいます。 最善の努力にもかかわらず、多くの SOC および詐欺対策チームは、サイバー犯罪者がボット攻撃を週に複数回即座に方向転換して再編成する能力に追いつくことができません。 よりスマートで技術的に洗練されたボット防御ソリューションがなければ、特にセキュリティ専門家が疲弊し、圧倒されていると感じている場合、有能なセキュリティ専門家をスタッフとして維持することは困難です。 

ボット攻撃が組織内の特定の役割や機能に関連して運用や指標にどのような影響を与えるかを説明することは、ボット管理の成功の価値を示す重要な方法です。

CISO は情報セキュリティ、コスト管理、IT によるビジネス ミッションの実現を重視しており、ボットはこれらの懸念事項のそれぞれに影響を与えます。

ボットは、機密性、整合性、可用性という情報セキュリティの 3 つの側面を危険にさらします。 アカウントを乗っ取るクレデンシャルスタッフィングボットは、機密に保持すべきデータを公開します。 同様に、これらのボットにより、攻撃者はデータを変更したりトランザクションを実行したりして整合性を侵害することができます。 スクレイピング ボットは、偽のアカウント作成ボットと同様にデータを歪め、主要なビジネス メトリックの整合性を侵害します。 最後に、スクレイピング ボットやスキャルピング ボットは、サイトのインフラストラクチャに非常に大きな負荷をかけ、サイトが利用できなくなる可能性があります。

ボットはさまざまな方法でコストに影響を与えます。

• クレデンシャルスタッフィングボットは、アカウントのロックアウトによるサポートコストを増大させ、犯罪者がアカウント残高を空にすることで金銭的責任を増大させます。
   
• カードボットはチャージバック料金を引き上げ、罰金を課す可能性があります。
   
• スクレイピングボットとスキャルピングボットはトラフィック負荷とインフラストラクチャコストを増加させます。
   
• WAF のような効果のないツールでボットと戦うと、高い SecOps コストが発生します。

ボットは、IT によるビジネスの実現を妨げるという点で、CISO にとっても懸念事項です。 CAPTCHA や多要素認証への過度の依存など、効果のないボット管理は摩擦を生み出し、顧客体験を損ない、収益を減少させます。 ボットはビジネス指標を歪めるため、ビジネス戦略の評価が困難になります。 誰とやり取りしているのかさえわからないのに、どうやってビジネス戦略を実行するのでしょうか?

SecOps チームは、ビジネスに対するサイバーセキュリティのリスクを効率的に管理する責任を負っていますが、ボットはその任務の妨げとなります。 CISO と同様に、SecOps は機密性、整合性、可用性に配慮しますが、これらはすべてボットの影響を受けます。 これらの共通の懸念に加えて、セキュリティ リスクに効率的に対処する際に、ボットは信号をかき消す大量のノイズを発生させ、悪意のあるトラフィックの海に脅威を隠すという課題をもたらします。

サイトへのトラフィックの大部分がボットによって占められる場合、脆弱性スキャンやインジェクション攻撃の兆候をログで分析することがより困難になります。 また、SIEM や侵入検知・防止システムなどのセキュリティ ツールが過負荷になり、コストが増加し、調査すべき誤検知が多すぎることになります。 正常値が少なすぎると、異常を追跡することが非現実的になります。

ボット管理が成功するとノイズが除去され、SecOps は残りの脅威に効果的に集中できるようになります。

SecOps と同様に、ボットはノイズを大幅に増加させることで不正操作チームに影響を与えます。 多数のボットがアカウントを乗っ取り、アカウントをロックアウトし、偽のアカウントを作成し、異常アラートをトリガーするため、作業負荷は非現実的になります。

詐欺対策チームとセキュリティチームが協力してボットを管理すると、それぞれのチームが勝利します。 セキュリティ チームは、はるかに少ない数のセキュリティ インシデントに集中することができ、詐欺のレベルも低下するため、詐欺チームは、解決に専門家の判断を必要とするより複雑な詐欺ケースに集中することができ、ケース負荷が軽減され、成功の指標が向上します。 詐欺の観点から見ると、ボットは詐欺師がアクセスするための手段であり、上流でボットを阻止することで下流の作業負荷が軽減されます。

NetOps チームは、ビジネスに役立つインフラストラクチャを実行し、コストを管理しながら稼働時間とパフォーマンスを維持する責任を負います。

場合によっては、eコマース アプリのスクレイピング ボットがトラフィックの 90% 以上を占め、インフラストラクチャの大部分がボットにサービスを提供していることになり、インフラストラクチャの予算の大部分が無駄になります。この指標は、クラウド サービスの請求書で非常に明確に示されます。

これらのボットはサイトのパフォーマンスや稼働時間を考慮せず、警告なしにいつでもトラフィックを増加させることができるため、予測不可能な状況が発生し、必要なスケーラビリティを確保するためのコストが高くなります。

DevOps 文化では、DevSecOps が継続的インテグレーション/継続的開発 (CI/CD) パイプラインにセキュリティを組み込み、セキュリティ バグに関する迅速なフィードバックを開発者に提供し、テクノロジ バリュー ストリームへのセキュリティの統合を継続的に改善する責任を負います。

DevSecOps はセキュリティを左に移動し、ギャップがあればワークストリームの早い段階で計画できるようにします。 ここでボットが関係するのは、ボットが機能をどのように悪用するか、どのような危害が発生する可能性があるか、そして導入時に危害を防ぐためにどのような対策を講じる必要があるかについて、新機能を評価する必要があるためです。

DevSecOps チームはテレメトリに特に関心を持っています。 DevOpsハンドブックによると¹テレメトリは、複雑なシステムにおける問題を予測、診断、解決するために不可欠です。 DevOps を成功させるには、テレメトリがビジネス メトリック、機能の使用状況、ネットワーク パフォーマンス、インフラストラクチャの負荷などの複数のレイヤーをカバーし、1 つのレイヤーの問題をスタック全体で追跡して根本原因を迅速に特定できるようにする必要があります。

ボットはテレメトリを大きく歪めます。 F5 Distributed Cloud Bot Defense の多くの顧客は、ユーザー アカウントのほとんどが偽物であり、ログイン トラフィックの 95% 以上がボットによるものであることを発見しました。 場合によっては、組織のインフラストラクチャの大部分がスクレイピング ボットにサービスを提供するだけの役割しか果たしていないこともあります。 DevSecOps がセキュリティ ミッションを果たすには、テレメトリからこの歪みを取り除く必要があります。

すべては、数字を誰が所有しているかにかかっています。 電子商取引担当副社長は、詐欺、インフラストラクチャ、チャージバックのコストに対して責任を負いますか? これらの料金はオンラインビジネスの利益を大きく損ねているのでしょうか? CAPTCHA などのセキュリティ上の摩擦によって、コンバージョン率や収益は影響を受けますか? そうであれば、この VP はボット管理によって売上高と最終利益の両方をどのように向上できるかを非常に重視することになります。

同じことは、Web やモバイル アプリを通じてオンラインで販売されるあらゆる製品やサービス ラインのリーダーにも当てはまります。 利益を最大化するには、必然的にアプリへのトラフィックの最大のソースに対処する必要があります。

マーケターがボットを気にする理由はそれぞれ異なります。 サイトの速度を低下させたり、サイトを停止させたり、顧客のアカウントを乗っ取ったりするボットはすべて、ブランドを傷つけます。 ボットは、マーケティング担当者が意思決定に頼るウェブサイト分析を歪めます。 また、ボットによるクリック詐欺は、収益を生み出すことなく広告予算を浪費します。