サイバー脅威
レジデンシャルプロキシとCAPTCHA解決サービスを悪用するサイバー犯罪 – パート1
本稿では、サイバー犯罪者が、ボット、スクレイピングツール、スタッフィングツールを使用できるようにするために、レジデンシャルプロキシとCAPTCHA解決サービスをいかに活用するかについての洞察を示し、組織におけるセキュリティ対策を提示します。
eコマース、ソーシャルメディア、フィンテック、航空・旅行、オンラインチケットサービスなど、さまざまな業界や市場が、不正なスクレイピング、偽アカウントの使用、ロボットによる購入、クレジットカード不正利用、スタッフィングによって生成される偽のWebトラフィックが原因で、毎年数十億ドルもの損失を被っています。2017年のあるレポートでは、ボットがまん延し、すべてのオンライントラフィックの52%がボットによるものであることが明らかになっています。
eコマース詐欺やアカウント乗っ取りを容易化するボットやスクリプトの悪用への対策として、CAPTCHAサービスとIPレピュテーションフィードが使用されています。しかし、悪用者やサイバー犯罪者は、レジデンシャルプロキシとCAPTCHA解決サービスを使って、これらのセキュリティ対策をすり抜けています。レジデンシャルプロキシは、発信元のIPアドレスを隠すことを可能にするもので、ギフトカード詐欺やチャージバック詐欺、クリック詐欺など、多数の不正行為に利用されます。
この記事では、ボット、スクレイピングツール、スタッフィングツールを使用できるようにするために、サイバー犯罪者が、レジデンシャルプロキシとCAPTCHA解決サービスをいかに活用するかについての洞察を示します。また、よく使用されているレジデンシャルプロキシとCAPTCHA突破サービスの詳細な技術分析を示し、これらを検知して防御する方法を提示します。
ボット、スクレイピングツール、スタッフィングツールに関連する多数の問題
APIの悪用、価格や在庫データのスクレイピング、ロボットによる購入、スタッフィングという形で生成される偽のWebトラフィックは、日々、さまざまな企業に影響を及ぼしています。Arkose Labsによるレポートでは、いくつかの重要な統計が明らかにされています。新たに登録されるアカウントの25%は偽のアカウントであること、ログイン試行の20%は攻撃であること、そしてすべての攻撃の86%はボットによって実行されるということです。さらに2022年末、FBIから、サイバー犯罪者がプロキシを使ってクレデンシャルスタッフィング攻撃をいかに実行するかに焦点を当てた警告まで公開されており、このような攻撃は「不正購入、顧客への通知、システムのダウンタイムと修復、さらには評判の悪化に関連する金銭的損失」をもたらすと警告されています。
偽のWebトラフィックがもたらす全世界の経済的損失は数百億ドルに上ると見積もられています。本人確認サービスを提供するVeriff社によれば、アカウント乗っ取り攻撃が企業にもたらすコストは、年に114億米ドルにも上ります。残念なことに、この種の攻撃を開始するコストは、防御コストよりもはるかに安いのです。F5は、200米ドル足らずで100,000回のアカウントの乗っ取り試行を開始できると見積もっています。
アカウントを乗っ取るボットがまん延していますが、問題はこのようなボットだけではありません。価格や在庫データのスクレイピングも、財務上の不要な混乱をベンダにもたらすことがあります。スニーカーボットやスキャルパー(ダフ屋)ボットなどの自動購入ボットは、割引商品や限定版商品を購入する機会を実際の買い手から奪い、その結果、顧客の購入体験は不愉快なものになる可能性があります。
スニーカーボットは非常に大きな問題となっており、この対策として、Nikeは自社の売買契約の条項に対ボット規制を追加し、オートメーションを使って購入が行われたと断定された場合、注文を取り消したり、購入数量を制限したりできるようにしています。一方、スキャルパーボットは、一般の需要が大きいチケットやサービスを確保する目的で使用されています。昨年、Akamaiは、スキャルパーボットの使用により、イスラエル政府サービスの利用可能な予約の枠が、MyVisitプラットフォームを介してすべて奪われているとレポートしています。こうしたスキャルパーボットの操作者は、予約の各枠を100米ドル以上で販売していました。
トレンドマイクロの調査では、アカウント乗っ取りやスクレイピングのボットは、2020年以降、データセンタのIPアドレスから移動し始めていることが観測されています。これはおそらく、組織のセキュリティ運用チームにとっては、不正なIPアドレスがいったん検知されれば、その後少数のクラスC IPアドレスをブロックするのは比較的容易であるためです。この傾向は、アンダーグラウンドフォーラムに掲載されているチュートリアルや投稿にも反映されています。
この対策として、悪用者はレジデンシャルプロキシを使用しています。レジデンシャルプロキシはユーザに動的IPを割り当てることができるため、ブロックするのが困難です。通常、Webサイトの所有者は、見込み顧客のIPが以前に怪しげなボットスクリプトによって使用されていたという理由だけで、見込み顧客を失ったり、その正当な取引に不正のフラグを誤って設定したりするリスクは冒したくありません。レジデンシャルプロキシのプロバイダは、レジデンシャルIPサービスの販売や、Webテスト/ローカライズテストサービスとしての宣伝を開始しています。ハイエンドのより高価なレジデンシャルIPを提供している一部のプロバイダでは、ユーザが好みの地域、都市、さらにはISPを指定して、クレジットカード発行者の詐欺防止チェックをすり抜けることが可能です。これを利用して、クレジットカードの不正利用やスタッフィングの実行者は、盗んだクレジットカード情報を使って商品を購入し、転売することができます。
一方、米国連邦取引委員会(FTC)による2021年のConsumer Protection Data Spotlightレポートでは、ギフトカードは詐欺師が好んで使う支払い方法であり、ギフトカード詐欺による消費者の損失額は1億4,800万米ドルに上っていることが明らかになっています。チャージバック詐欺に関連する企業のコストは、2024年にはおよそ381億米ドル、2030年にはおよそ493億米ドルに上ることが見込まれています。
eコマース業界では、こうした攻撃に対する標準的な防御策が開発されています。ユーザのIPのレピュテーションが悪い場合や、IPがVPNサービスまたはデータセンタから発信されている場合、CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart:コンピュータと人間を区別する完全に自動化された公開チューリングテスト)を使って、Webの向こう側でブラウジングしているのがボットではなく人間であることが確認されます。また、クレジットカード決済ゲートウェイでコンプライアンスおよびリスク管理システムがトリガされ、危険な取引が行われる可能性が軽減されます。
しかし、悪用者は、こうした防御策に対抗するツールを開発しています。レジデンシャルプロキシサービスを使うことで、IPレピュテーションサービスをすり抜けることができ、スクレイピングのコミュニティでは、このような回避手法が定期的に検討されています。CAPTCHAチャレンジが表示されたら、CAPTCHA解決サービスを使って検査を突破することができます。以前公開したブログ記事では、レジデンシャルプロキシとCAPTCHA解決サービスの3つの興味深い事例について取り上げています。
レジデンシャルプロキシやCAPTCHA突破サービスの標的とされる企業
レジデンシャルプロキシは、主にプロキシウェアによって駆動されます。プロキシウェアはソフトウェアの一種で、通常、「ネットワーク帯域幅共有」サービスとして販売されます。プロキシウェアは、ダウンロードしたシェアウェアや再パックされたシェアウェア、そして海賊版ソフトウェアにバンドルされていることもあります。レジデンシャルプロキシを通じて、プロキシウェアを実行しているデバイスを他のユーザが出口ノードとして利用できるようになります。プロキシウェアは、受動的な収益源として販売されるか(プロキシウェアをインストールすると、帯域幅の共有に対する報酬がユーザに支払われます)、または疑わしいソフトウェアパッケージを通じてユーザの知らぬ間にインストールされます。その後、プロキシウェアのプロバイダは、出口ノードへのアクセスを販売し、出口ノードをレジデンシャルプロキシとして売り込むことによって金を稼ぎます。このブログ記事では、プロキシウェアとは何か、プロキシウェアによっていかにユーザがリスクにさらされるかについて詳細に考察しています。
プロキシウェア関連に特化したブログサイト、Proxywayは、標的業種や大手ブランド名(AliExpress、Amazon、Craigslist、Home Depot、Walmart、Booking.com、Indeed、Bing、Google、Yahoo、Facebook、Instagramなど)に関する洞察を提供しています。一方、proxy-sale.comなどの他のプロキシ販売業者は、特定のユースケース向けにパッケージ化したプロキシを直接提供しています(図1を参照)。
一方、CAPTCHA解決サービスは、このブログ記事で詳しく説明しているように、人間が発信したWebトラフィックとボットが発信したWebトラフィックの区別をあいまいにしようとします。2022年の1月~8月にわたってTrend Micro Smart Protection Network™️で収集したデータに基づくと、ソーシャルコマース、オンラインゲーム、暗号通貨、旅行など、さまざまな業種のビジネスWebサイトがCAPTCHA解決サービスの影響を受けています。
出典:トレンドマイクロリサーチ
航空会社のWebサイトはトップ20のリストには含まれていませんが、留意すべき重要な点として、このようなWebサイトは悪意のあるボットの活動に大きな影響を受けています。2019年のImpervaのレポートによると、航空会社のWebサイトにおける悪意のあるボットのトラフィックは全体の43.9%を占めています。
パート2では、レジデンシャルプロキシとCAPTCHA解決サービスを利用した、スクレイピング、自動購入ボット、クレジットカード不正利用、スタッフィング、アカウント乗っ取りの攻撃事例を示します。
参考記事:
AGENTS OF ABUSE
By: Dr. Fyodor Yarochkin、Philippe Lin、Bakuei Matsukawa、Ryan Flores、Chen-yu Dai