旅行業界を席巻する悪性ボット攻撃 - 被害例と講じるべき対策とは

「Webスクレイピング」は、航空会社などのWebサイトの中に、旅行代理店、情報収集サイト、あるいは競合他社が運営するボットが許可なくアクセスし、航空会社が独自で保有するデータを収集します。これにより、予約率などビジネスの重要な指標や洞察に悪影響を与えるだけでなく、企業がパートナーに支払う手数料が急増することもあります。中には、検索APIをスクレイピングする悪性ボットのトラフィックが急増したことにより、APIリクエストに対し毎月50万ドルを支払った例もありました。

「座席のスピニング」は、アジア太平洋地域の航空会社で横行しており、悪性ボットが航空会社などの座席を確保し続けます。これにより、認可されていない旅行代理店などのオンライン事業者は、料金を支払うことなく、これらの座席を転売することができるようになります。旅行代理店らがこれらの座席を販売できなかった場合、航空会社は、満席と思われたフライトが定員を大幅に下回る乗客数で出発することになります。

その結果、航空会社は大きな経済的損失や信用の失墜など重大なダメージを被ることになりますが、この被害に気づくことは出発直前まで困難です。

そして、悪性ボット攻撃がより露骨な犯罪行為に関連するケースも見られます。攻撃者たちは、過去に流出したIDやパスワードを悪用して、顧客のアカウントに総当たり攻撃を仕掛けます。よく使われる手口はクレデンシャルスタッフィングですが、パスワードスプレー攻撃やその他の総当たり攻撃にボットを用いることもあります。顧客アカウントへの不正アクセスに成功した場合、アカウントに付帯されているポイントを悪用し、航空券やホテルの部屋を購入し、転売することができます。
「高度化」する悪性ボット攻撃にさらされる旅行業界

悪性ボット攻撃は、大きく2つに分類されるようになってきています。1つは、ボットが単一のISP割り当てIPアドレスから接続し、自動スクリプトを使用してサイトやアプリに接続する低度なものです。これは ブラウザであると自己報告することなく行われます。

もう1つは、ボットがマウスの動きやクリックなどのユーザーの行動を模倣して検知を回避する、高度な脅威の一部となるものです。この高度な悪性ボットは、ブラウザ自動化ツールや、ブラウザにインストールされたマルウェアを用いてサイトに接続します。

単純なWebスクレイピング活動は前者に含まれますが、より高度な詐欺やアカウント乗っ取りの試みには、高度な悪性ボットが使用される可能性が考えられます。旅行業界は、高度な悪性ボット活動による被害が多い業界の一つであり、2023年に検出された旅行業界における悪性ボット攻撃のうち、61％がこの高度な悪性ボットによるものでした。
旅行業界が講じるべき悪性ボット対策