ThalesグループであるImpervaは2024年10月30日、小売業界における年末商戦を狙った生成AIを活用した攻撃の予測に関する内容を公開した。本記事では一部内容を抜粋して紹介する。

年末ショッピングシーズンのトラブルに注意

10月から12月下旬まで続く年末のショッピングシーズンは、オンライン小売業者にとって大きな売上が見込める大切な時期となる。一方で、マルウェア感染や不正アクセスなど、サイバー犯罪者の活動も活発化する可能性が高いとImpervaは指摘する。

同社は記事中において、サイバー犯罪者が生成AIツールや大規模言語モデル（LLM）などのテクノロジーを利用した、ECプラットフォームに対するより大規模かつ洗練された攻撃例が増えていると警告している。

こうした状況において、事業者はボット、分散型サービス拒否（DDoS）攻撃、API違反、ビジネスロジックの悪用といった、様々なAI駆動型攻撃の脅威に備える必要があるとした。

小売サイトは1日あたり、約60万件のAI駆動型攻撃を経験

「Imperva Threat Research」の直近6カ月間の分析（2024年4月～9月）データによると、小売サイトは平均して1日あたり約60万件のAI駆動型攻撃を経験しているという。これらの内容を分析すると、主に以下の内容に分けられるという。

◆ビジネスロジックの悪用
最も一般的なAI駆動型攻撃の形態であり、全体の30.7%を占める。アプリケーション、もしくはAPIの正当な機能を悪用して価格操作、認証バイパス、割引コードを悪用するなどの悪質なアクションを実行する。

◆DDoS攻撃
全体の30.6％を占める。ウェブサイトのリソースを圧倒してダウンタイムを引き起こすため、ピーク時の売上の損失や顧客評価の低下に繋がる可能性がある。

◆悪性ボット攻撃
全体の20.8%を占める。中でもグリンチボット（買い占めボット）は、年末商戦期間中に在庫を買い占め、需要の高い商品の購入を困難にさせる。

◆API違反
全体の16.1%を占める。APIの脆弱性を悪用し、機密データや機能に不正アクセスする。AIの支援によって、攻撃者はAPI実装の弱点を迅速に特定できるため、こうした脅威を軽減することは難しくなっている。

今一度セキュリティ対策の見直しを

AIを利用したサイバー攻撃は事業者だけでなく、消費者にも大きなリスクをもたらす。

サイバー犯罪者はAIを利用したボット攻撃を通じて、消費者のクレジットカード情報、住所、アカウントなど機密性の高い個人情報を流出させることが可能。個人情報の漏洩や金銭的被害、ECプラットフォームへの信頼低下など、多方面に甚大な悪影響が及ぶ恐れがあるだろう。

Impervaのアプリケーションセキュリティ担当ゼネラルマネージャーを務めるNanhi Singh氏は「強固なセキュリティ対策がなければ、AIを活用した攻撃によって最悪の状況に直面するかもしれません。これらの脅威を効果的に軽減するには、攻撃からの防御だけではなく、迅速に対応できる包括的な戦略を採用する必要があります」とコメントする。

サイバー攻撃によって年末年始のシーズンの営業を中断させられ、顧客データを侵害されることは事業者にとって計り知れないダメージを与えるだろう。今一度セキュリティ対策を見直し、万全の状態でこれからのショッピングシーズンを迎えたい。