巧妙化する不正アクセス、“イミテーションアタック”からB2Cサイトをどう守る？

　B2Cサイトやアプリケーションを提供する組織は今、大規模かつ自動化された攻撃がもたらす危機に直面している。これらはさらなる進化を遂げ、組織のデータや信用情報を脅かす手口やツールが日々生み出されている。組織がこれらに対抗し続けていくためには、まずはその実態を把握することから始めるべきだろう。

　昨今の攻撃の主流は、botを使って自動リクエストを送信し、人がアクセスしたように見せかける“イミテーションアタック”だ。そのため組織には、アクセスがbotによるものか、人によるものかをフィルターする仕組みが求められる。たとえ人によるアクセスの場合でも、それが正規ユーザーか不正アクセス者なのかも見極めなければならない。さらに、本人確認をユーザー負担にならない形で実装することも不可欠だ。

　本資料では、自動リクエストの生成を支援する不正ツールや、巧妙化した人による不正アクセスの実態を明らかにするとともに、その対策として有効な方法を解説する。仕組みを理解して得られた知見を、今後のセキュリティ戦略に役立ててほしい。