Imperva Japanは11月18日、記者会見を開き、小売り・EC業界におけるサイバーセキュリティ脅威を同社が分析した調査レポート「The State of Security within eCommerce」について解説した。ボットを利用した攻撃や、APIの脆弱性を狙った攻撃が増加していることが明らかになったという。

　同レポートでは、2021年7月～22年6月のECサイトへの全トラフィックのうち、約4分の1が悪性ボットによるアクセスだったとしている。特に増加しているのが、人間の行動を模倣して検知をすり抜ける高度なボットによるアクセスで、前年の23.4％から31.1％となった。米Impervaのクナル・アナンドCTOは、人気商品を大量に購入し、転売する「グリンチボット」を中心に、今後も悪性ボットによるサイバー攻撃が増加すると指摘した。
 

　これまではWebアプリケーションの脆弱性を狙った攻撃が主流だったが、APIの脆弱性を突く攻撃も急増している。攻撃者は、ボットをネットワーク化した「ボットネット」を活用し、公開中のAPIや脆弱なAPIを標的に不正なトラフィックを送り、決済情報や認証情報といったデータを搾取する。加えて、APIトラフィックの送信先の3～5％は、セキュリティ担当者が存在を知らない、もしくはセキュリティ保護の対象外となっている「シャドーAPI」であることから、アナンドCTOは「企業は、アプリケーションだけでなく、APIの保護にも注力していかなければならない」と見解を述べた。

　DDoS攻撃が近年大規模化していることも特徴として挙げた。500Gbpsを超えるDDoS攻撃の件数は前年比287％増となっている。標的とされた企業の多くは24時間以内に再度攻撃を受けており、アプリケーション層にDDoS攻撃を受けたウェブサイトの55％、ネットワーク層にDDoS攻撃を受けたサイトの80％が複数回にわたり攻撃されているという。（岩田晃久）