ボットから役員室へ: 悪質なボットがバランスシートに与える悪影響

自動化されたボット攻撃は、次のような形で金銭的損失や経済的機会の喪失に直接つながる可能性もあります。

• アカウント乗っ取りにより顧客の信頼を失う。 組織のボット防御が不十分なためにアカウント乗っ取り (ATO) や高額な不正行為が発生し、顧客満足度の低下、評判の失墜、関係の終了につながるとしたら、顧客が不満を抱くのは当然です。 調査対象となった米国の消費者の4分の1以上が、詐欺事件に対する銀行の対応に不満があれば銀行を変更すると答えている。 
   
• 詐欺やチャージバックによる損失の増加。 ボットによる ATO 攻撃や不正なアカウント作成は、犯罪者が盗んだ認証情報を使用して購入したり偽のアカウントを設定したりすることで、収益に影響を与えます。 チャージバックは、クレジットカード処理業者に対する販売者の評判を損ない、チャージバックのペナルティにつながります。
   
• 人件費の増加。 ATO につながるクレデンシャル スタッフィングなどのボット攻撃には、詐欺アナリストによる調査が必要となり、より重要で詳細な調査に費やす時間が奪われます。 クレデンシャル スタッフィング ボットがアカウントの乗っ取りに失敗した場合でも、多くのパスワードを次々に試してアカウントをロックアウトすることが多く、顧客はサポートに電話せざるを得なくなり、電話のたびにサポート コストが増加します。
   
• 投資家の評価を歪める。 上場企業の評価がフォロワー数、ユーザー数、エンゲージメント数に依存している場合、人間以外のボット アカウントの存在によって正確な評価が大幅に歪む可能性があります。 たとえば、人間が運営するアカウント数とボットが運営するアカウント数に基づいてTwitterの正確な評価額を算出しようとする試みが、 2022年のニュースで話題になりました。 
   
• 信頼性の低いボット軽減ソリューションにより、ボットを人間と間違えたり、その逆を行ったりする。  ボット軽減対策が不十分だとこうしたエラーが発生しますが、制限して防止する必要があります。 誤検知（ボット管理ツールが実際の人間をボットであると判定する場合）と誤検知（ツールがボットを人間であるとマークする場合）は、どちらも収益と利益の両方に影響を及ぼします。 1つは顧客を失う原因となり、もう1つは詐欺による経済的損失の原因となります。 実際、戦略的な顧客による送金を阻止する誤検知は、詐欺やチャージバックにつながる誤検知よりも銀行にとって大きな損害となる可能性があります。 どちらの状況でも、不正行為のアナリストが調査するには時間と労力が必要になります。
   
• 消費者データを保護できない。 EU の一般データ保護規則 (GDPR)、カリフォルニア州消費者保護法 (CCPA)、ペイメント カード業界データ セキュリティ標準 (PCI-DSS) などの法律や基準は、消費者データのプライバシーを確保し、データ侵害が発生した場合に多額の罰金を課すように設計されています。 これには、プライベートデータをボットに公開する ATO 攻撃やコンテンツ スクレイピング攻撃が含まれます。 これらの規制に従わなかった結果生じるデータ侵害は、非常に大きなコストがかかる可能性があります。GDPR では、EU のデータ保護当局は、最大 2,000 万ユーロまたは前会計年度の全世界の売上高の 4% の罰金を科すことができます。 

ボット攻撃が組織内の特定の役割や機能に関連して運用や指標にどのような影響を与えるかを説明することは、ボット管理の成功の価値を示す重要な方法です。

CISO は情報セキュリティ、コスト管理、IT によるビジネス ミッションの実現を重視しており、ボットはこれらの懸念事項のそれぞれに影響を与えます。

ボットは、機密性、整合性、可用性という情報セキュリティの 3 つの側面を危険にさらします。 アカウントを乗っ取るクレデンシャルスタッフィングボットは、機密に保持すべきデータを公開します。 同様に、これらのボットにより、攻撃者はデータを変更したりトランザクションを実行したりして整合性を侵害することができます。 スクレイピング ボットは、偽のアカウント作成ボットと同様にデータを歪め、主要なビジネス メトリックの整合性を侵害します。 最後に、スクレイピング ボットやスキャルピング ボットは、サイトのインフラストラクチャに非常に大きな負荷をかけ、サイトが利用できなくなる可能性があります。

ボットはさまざまな方法でコストに影響を与えます。

• クレデンシャルスタッフィングボットは、アカウントのロックアウトによるサポートコストを増大させ、犯罪者がアカウント残高を空にすることで金銭的責任を増大させます。
   
• カードボットはチャージバック料金を引き上げ、罰金を課す可能性があります。
   
• スクレイピングボットとスキャルピングボットはトラフィック負荷とインフラストラクチャコストを増加させます。
   
• WAF のような効果のないツールでボットと戦うと、高い SecOps コストが発生します。

ボットは、IT によるビジネスの実現を妨げるという点で、CISO にとっても懸念事項です。 CAPTCHA や多要素認証への過度の依存など、効果のないボット管理は摩擦を生み出し、顧客体験を損ない、収益を減少させます。 ボットはビジネス指標を歪めるため、ビジネス戦略の評価が困難になります。 誰とやり取りしているのかさえわからないのに、どうやってビジネス戦略を実行するのでしょうか?

SecOps チームは、ビジネスに対するサイバーセキュリティのリスクを効率的に管理する責任を負っていますが、ボットはその任務の妨げとなります。 CISO と同様に、SecOps は機密性、整合性、可用性に配慮しますが、これらはすべてボットの影響を受けます。 これらの共通の懸念に加えて、セキュリティ リスクに効率的に対処する際に、ボットは信号をかき消す大量のノイズを発生させ、悪意のあるトラフィックの海に脅威を隠すという課題をもたらします。

サイトへのトラフィックの大部分がボットによって占められる場合、脆弱性スキャンやインジェクション攻撃の兆候をログで分析することがより困難になります。 また、SIEM や侵入検知・防止システムなどのセキュリティ ツールが過負荷になり、コストが増加し、調査すべき誤検知が多すぎることになります。 正常値が少なすぎると、異常を追跡することが非現実的になります。

ボット管理が成功するとノイズが除去され、SecOps は残りの脅威に効果的に集中できるようになります。

SecOps と同様に、ボットはノイズを大幅に増加させることで不正操作チームに影響を与えます。 多数のボットがアカウントを乗っ取り、アカウントをロックアウトし、偽のアカウントを作成し、異常アラートをトリガーするため、作業負荷は非現実的になります。

詐欺対策チームとセキュリティチームが協力してボットを管理すると、それぞれのチームが勝利します。 セキュリティ チームは、はるかに少ない数のセキュリティ インシデントに集中することができ、詐欺のレベルも低下するため、詐欺チームは、解決に専門家の判断を必要とするより複雑な詐欺ケースに集中することができ、ケース負荷が軽減され、成功の指標が向上します。 詐欺の観点から見ると、ボットは詐欺師がアクセスするための手段であり、上流でボットを阻止することで下流の作業負荷が軽減されます。

NetOps チームは、ビジネスに役立つインフラストラクチャを実行し、コストを管理しながら稼働時間とパフォーマンスを維持する責任を負います。

場合によっては、eコマース アプリのスクレイピング ボットがトラフィックの 90% 以上を占め、インフラストラクチャの大部分がボットにサービスを提供していることになり、インフラストラクチャの予算の大部分が無駄になります。この指標は、クラウド サービスの請求書で非常に明確に示されます。

これらのボットはサイトのパフォーマンスや稼働時間を考慮せず、警告なしにいつでもトラフィックを増加させることができるため、予測不可能な状況が発生し、必要なスケーラビリティを確保するためのコストが高くなります。

DevOps 文化では、DevSecOps が継続的インテグレーション/継続的開発 (CI/CD) パイプラインにセキュリティを組み込み、セキュリティ バグに関する迅速なフィードバックを開発者に提供し、テクノロジ バリュー ストリームへのセキュリティの統合を継続的に改善する責任を負います。

DevSecOps はセキュリティを左に移動し、ギャップがあればワークストリームの早い段階で計画できるようにします。 ここでボットが関係するのは、ボットが機能をどのように悪用するか、どのような危害が発生する可能性があるか、そして導入時に危害を防ぐためにどのような対策を講じる必要があるかについて、新機能を評価する必要があるためです。

DevSecOps チームはテレメトリに特に関心を持っています。 DevOpsハンドブックによると¹テレメトリは、複雑なシステムにおける問題を予測、診断、解決するために不可欠です。 DevOps を成功させるには、テレメトリがビジネス メトリック、機能の使用状況、ネットワーク パフォーマンス、インフラストラクチャの負荷などの複数のレイヤーをカバーし、1 つのレイヤーの問題をスタック全体で追跡して根本原因を迅速に特定できるようにする必要があります。

ボットはテレメトリを大きく歪めます。 F5 Distributed Cloud Bot Defense の多くの顧客は、ユーザー アカウントのほとんどが偽物であり、ログイン トラフィックの 95% 以上がボットによるものであることを発見しました。 場合によっては、組織のインフラストラクチャの大部分がスクレイピング ボットにサービスを提供するだけの役割しか果たしていないこともあります。 DevSecOps がセキュリティ ミッションを果たすには、テレメトリからこの歪みを取り除く必要があります。

すべては、数字を誰が所有しているかにかかっています。 電子商取引担当副社長は、詐欺、インフラストラクチャ、チャージバックのコストに対して責任を負いますか? これらの料金はオンラインビジネスの利益を大きく損ねているのでしょうか? CAPTCHA などのセキュリティ上の摩擦によって、コンバージョン率や収益は影響を受けますか? そうであれば、この VP はボット管理によって売上高と最終利益の両方をどのように向上できるかを非常に重視することになります。

同じことは、Web やモバイル アプリを通じてオンラインで販売されるあらゆる製品やサービス ラインのリーダーにも当てはまります。 利益を最大化するには、必然的にアプリへのトラフィックの最大のソースに対処する必要があります。

マーケターがボットを気にする理由はそれぞれ異なります。 サイトの速度を低下させたり、サイトを停止させたり、顧客のアカウントを乗っ取ったりするボットはすべて、ブランドを傷つけます。 ボットは、マーケティング担当者が意思決定に頼るウェブサイト分析を歪めます。 また、ボットによるクリック詐欺は、収益を生み出すことなく広告予算を浪費します。