旅行業界を席巻する悪性ボット攻撃 - 被害例と講じるべき対策とは

画像提供：マイナビニュース

悪性ボットの主要ターゲットに旅行業界が浮上

世界のインターネットトラフィックの約半分が、人間によるものではなく、タスクを自動的に実行するアプリケーション、すなわちボットによるものになりました。ボットが実行するタスクは、検索エンジンにおけるWebサイトインデックスの作成やWebサイトのパフォーマンス監視など、その多くが正当なものですが、悪質な動きをするボット（悪性ボット）も増加しています。

Impervaが実施した調査によると、2023年に観測したボットによるインターネットトラフィックのうち、32％が悪性ボットによるもので、この割合は過去5年連続で増加しています。

ボットは、正規ユーザーになりすましてアプリケーション間をやりとりするように設計されているため、ネットワーク防御で検知・ブロックすることが困難です。悪性ボットは、技術的な脆弱性ではなく、アプリケーションの機能やプロセスを利用したビジネスロジックを悪用するため、分散型サービス拒否(DDoS)攻撃や取引詐欺、データの盗み出しなど、さまざまな悪質な活動を行うことができます。

また、ユーザーになりすましたボットは、データの盗み出しや商品の購入をしない場合も、帯域幅を消費することでサーバ速度を低下させ、ビジネスモデルに損害を与えることができます。

この悪性ボットによる影響を深刻に受けている業界の一つが旅行業界です。旅行業界における悪性ボットのトラフィックは、業界内の全トラフィックのうち45％を占め、増加傾向にあります。

また、悪性ボットによる攻撃トラフィックリクエストを業界別にみると、旅行業界は全体の21％を占めており、小売業界と並び最も大きな割合となっています。

こうしたことからは、パンデミックによる混乱が収まり、旅行業界の業務が活気を取り戻すにつれ、脅威をもたらすハッカーが攻撃に乗り出そうとしていることが伺えます。巧妙化し、蔓延し続ける悪性ボットに対し、ITチームは、すべてのデジタル接点にわたる多層防御を展開する必要があります。適切な対策が取られない場合、次に挙げるような被害に遭う可能性があります。
旅行業界でみられる悪性ボット攻撃の被害例

旅行業界が被害を受ける悪性ボット攻撃の代表的な例としては、Webスクレイピング、座席のスピニング、アカウント乗っ取りなどが挙げられ、特に航空会社が多くの悪性ボットトラフィックの矢面に立たされています。