転売目的のボットや不正なアカウントを機械学習が見抜く ECサイトの運営を健全化し、売上も向上

【ユースケース】Webセキュリティ対策
小売業O社

昨今、小売業の企業がECサイトを運営するのは珍しくありませんが、一方でこうしたサイトはサイバー攻撃者にとって格好のターゲットとなっています。アパレル関連のECサイトを展開するO社も、転売などを目的に自動化されたアクセスの増加、乗っ取ったアカウントや盗んだクレジットカードによる不正購入およびそれに伴うチャージバックなどの問題に頭を悩ませていました。そこでO社は、ボットによる自動化された通信を機械学習によって検出する「F5 Shape Security」と、詐欺防止・機械学習プラットフォーム「Sift」を導入。これにより、悪性ボットや不正なアカウントの検知が可能になり、担当者やネットワークにかかる負荷を大きく軽減。サイトの運営が健全化され、売上も倍増しました。

ECサイトを運営する上で、ボットや不正アカウントの存在がネックに

アパレル系の小売業として複数のECサイトを展開しているO社。しかし近年は、ボットや不正なアカウントの存在に頭を悩ませていました。ボットとはプログラムを自動的に実行するものですが、ECサイトにおいては人気商品の買い占めに悪用されるケースが多く、ボットにより購入された商品は転売などにより換金されてしまいます。会員向けのログイン画面を悪用したパスワードリスト型攻撃も大きな脅威となっています。

また不正なアカウント、具体的には乗っ取ったアカウントや盗んだクレジットカードによる不正な購入も頻発していました。こうした場合、決済上は問題がないため、いったんはカード会社から代金が支払われます。しかし事態が発覚した時点で、ショップ側がカード会社に返金（チャージバック）しなければなりません。もちろん攻撃者にだまし取られた商品は戻ってきませんので、ショップは大きな損害を受けることになります。

こうした問題への対策として、O社はWAFをチューニングするとともに、アンチボット製品を導入していました。しかし、WAFの運用負荷が大きくなってしまった上、日を追うごとにアンチボット製品の検知率が下がり、攻撃を防ぎきれなくなってきたのです。
「この製品では攻撃かどうかをJavaScriptで判断していたのですが、そのコードが複数のサイトにおいて共通で難読化もされていなかったため、攻撃者にリバースエンジニアリングされ、回避策を取られるようになってしまったのです。それにより、検知できていないパスワードリスト型攻撃が発生してしまっていたことが判明しました。」（O社）

また、なりすましのログインを防ぐための対策として、認証を厳しくするという手法も取っていました。具体的には、パスワードを複雑かつ文字数の多いものに設定したり、二段階認証を導入したり、CAPTCHA認証によりツールでのアクセスを遮断するといったものです。
「しかし、認証を厳しくすることにはお客様の負担が大きくなるというデメリットもありました。二段階認証やCAPTCHA認証はお客様の手間を増やしてしまうため、離脱率が上がってしまうのです。実際、CAPTCHA認証が表示されると約14％のお客様がそこで離脱してしまうというデータもありました」（O社）

マクニカネットワークスの提案を受け、「F5 Shape Security」と「Sift」を導入

そこでO社は、既存の対策を全面的に見直すことにしました。まずは「ボット対策」「不正ログイン」といったキーワードで検索を行ったところ、マクニカネットワークスのサイトにたどり着いたといいます。
「『マクニカネットワークスブログ』にあった記事を読み、その情報の深さと知見の高さに感銘を受けました。ここなら信頼できると思い、さっそく問い合わせることにしたのです」（O社）

O社の相談を受けたマクニカネットワークスは、アクセスが人によるものか自動化された攻撃なのかを判断できる「F5 Shape Security」と、詐欺防止・機械学習プラットフォーム「Sift」の2製品を提案しました。これを受けてO社はテスト導入による検証を実施。効果が期待できると判断し、正式に導入を決定しました。

F5 Shape Securityは環境やネットワーク、ふるまいといったさまざまな情報を元に、自動化された攻撃や人のふりをしたボットを識別します。JavaScriptは使用しますが、環境ごとに異なるコードを生成するほか、5分ごとにコードを再生成し難読化するため、リバースエンジニアリングの心配はありませんでした。また、膨大な量のトラフィックデータで機械学習を行い、さまざまな攻撃を検知できるほか、ログインの成功率あるいは失敗率、クライアント環境、キーストロークなど多様なシグナル情報を加味して判断するため、人の手による不正行為にも対応可能です。そして24時間365日監視のフルマネージドサービスですので、運用の手間も減らすことができます。

一方のSiftは、機械学習によって瞬時に不正を識別するプラットフォームです。すでに世界で34,000以上のWebサイト、アプリに導入実績があり、Twitterやairbnb、indeedなどの大手サービスも導入しています。1カ月に700億件という膨大な決済データに対し、機械学習によって16000以上のポイントをチェック。リアルタイムに不正を見つけ出します。さらに、アカウント作成時のメールアドレスからログイン、商品の選定、クーポンの利用、注文、決済に至るまでのカスタマージャーニー全体を通してスコアを加算し、一定以上になると通知します。また、機械学習は常に学習を繰り返しアップデートしていくので、高い精度でのスコアリングが可能です。

「Sift」は16000以上のポイントをチェックし、スコアにより評価する

大量のボットをブロック、チャージバックも9割以上削減

O社がF5 Shape SecurityとSiftを導入すると、さっそく大きな効果が得られました。まずWAFの頻繁なチューニングが不要になり、マニュアルレビューにかかっていた時間も1/4程度に削減。そして日々訪れる大量のボットを検知しブロックすることで、転売目的の買い占めやパスワードリスト型攻撃を阻止するとともに、こうしたボットが使用していた帯域も開放されました。
「その数字は実に全体の約70％におよび、これらが消えたことでサーバーのCPU使用率も大きく低下しました。結果として、インフラにかかるコストも削減されています」（O社）

「F5 Shape Security」によりボットによるアクセスを検知、ブロック

さらには、数百件の不正なアカウントを検出。これらによる不正を未然に防ぐことで、9割以上のチャージバックが削減されました。加えて、マネージドサービスのため現場の担当者の運用負荷は大きく減少。窓口も24時間365日の体制でF5社とマクニカネットワークスによるサポートを受けています。
「導入の効果はこれにとどまりません。サイトから煩雑な認証がなくなったことで、お客様の離脱率が大きく減少。購入率は約2倍に改善されました」（O社）

今回の導入の成功で自信を得たO社は、姉妹ブランドのECサイトにも両製品を導入していく予定だといいます。O社のようにECサイトにおける自動化されたアクセスや不正アカウントの対策に悩んでいる方は、一度マクニカネットワークスに相談してみてはいかがでしょうか。

▼Webアプリケーションインフラセキュリティ 資料請求

▼セミナー案内・ブログ更新情報 配信登録