データの偏り

データの偏りの概要 

データの偏り攻撃とは、攻撃者に有利な判断を企業が下すよう、データを操作または歪める手法です。通常、この攻撃は2つの方法のいずれかを用います。1つはAIアルゴリズムの学習データを変更するもので、もう1つはチャットボットなど自動会話型検索エンジンを使い、Google AnalyticsやAdobe Analyticsなどのウェブ情報を改竄して、実際以上に利用があるよう印象付ける方法です。

データ中毒攻撃 

重要な経営判断を下すため、多くの組織は人工知能アルゴリズムを利用します。多くのセキュリティシステムは、機械学習による解析で事象や成果物が悪意あるものか評価しています。『データ中毒』攻撃は、アルゴリズムが次第に判断を偏らせるよう、偽のデータを提供する手法です。

例えば、GoogleのGmailスパムフィルターを中毒させようとする試みが何度か行われました。攻撃者は分類機を混乱させ、スパムの定義を変更させるために、数百万通のメールを送信しました。これにより、攻撃者は有害なメールを内密に送ることが可能となりました。

データ中毒は、どのAIベースのセキュリティシステムも不安定にする恐れがあるため、特に重大な脅威となり得ます。例えば、多くの企業は保護イベントの解析と怪しい行動の識別のため、UEBA（ユーザー・イベント行動解析）と呼ばれるシステムを採用しています。こうしたシステムも、データ中毒により悪意のある行動を無害と誤認する可能性があります。

ウェブ解析の偏り 

データの偏り攻撃は、しばしば次のような行動を伴います:  

• 攻撃者は人工知能を用いて、特定のウェブページへHTTPリクエストを大量に送信し、トラフィックを増加させる。通常、これらは重要な取引が行われるECサイトの製品ページです。
• ウェブ解析ツールが多数の訪問を記録すると、サイト運営者はその記事に過度の関心があると判断する。
• 偏りを生むボットは、場合により申し込みや取引などのコンバージョンも試みる。これには、チャットボットのような高度な仕組みが必要となる。

偽の解析情報により、サイト運営者はその商品をより目立たせたり、マーケティングキャンペーンに取り入れたりする判断を下すことがある。攻撃者は対象ページに掲載される製品の関係者であるため、運営者の決定から利益を得る可能性がある。

‍

偏りの影響は？

自動化されたセキュリティインシデントの分類や、サイトデザイン、マーケティング、価格決定の成果など、さまざまな情報が経営判断に利用されています。情報が不正確であれば、判断も不正確となり、企業に悪影響を及ぼします。

偏りが招く誤った経営判断の例:

• スパムメールや頻発するログイン試行など、敵対的な活動を無害と誤って分類すること
• A/Bテストでの誤ったデザイン選択が、大規模なEC企業で大きな損失を招くこと
• 誤った自動判定、例えば誤った信用評価の付与
• 主要なマーケティング代理店向け有料クリック広告で、広告の成果スコアを誤って評価し低価格設定をすること
• ウェブサイトの訪問やファネル活動に対して、提携先に過大な報酬を支払うこと

‍

偏りの兆候

ウェブサイトやアプリのトラフィック数に、以下のような異常が見られる場合、データの偏りに関連する活動がないか確認してください: 

• 異常なトラフィックの急増
• 一部カテゴリーでの異常なユーザー増加
• 不釣り合いに多いセッション数やページ閲覧数
• 通常より高い直帰率
• アプリ内での異常なユーザー行動
• セキュリティや財務に悪影響を与える、製品やウェブサイト機能の異常な利用

‍

自力でできる偏り攻撃の防止策

以下の推奨策を用いて、ウェブサイト上でのデータ偏りを防いでください:

• 古いブラウザやウェブサイトからのアクセスをブロックする

高度な攻撃者は新たなユーザーIDやURLを使用することができますが、「スクリプトキッズ」と呼ばれる者は、古いウェブブラウザで動作する自動プログラムを利用します。正当な利用者にほとんど影響を与えないため、これらの不要なブラウザを厳格に遮断するか、強固なCAPTCHA方式を使ってください。

• 不正利用される可能性のあるドメインやプロキシサービスのリストを取得する。不正行為に使われる既知のドメインやプロキシサイトを制限してください。これにより、サイバー犯罪者がウェブサイト、API、アプリに対して偏り攻撃を仕掛けるのを防げます。なお、攻撃者は住宅用プロキシなど、より高度な匿名化手法を用いる場合もあります。
• ボットがアクセスしやすいポイントを守る。ウェブサイトだけでなく、ボットが接続可能な全てのインターネット経路、例えばモバイルアプリやAPIなど、公開インターフェースを持つエンドポイントを保護してください。ボットを検出したら、その情報を全エンドポイントに共有し、ブロックしましょう。
• トラフィックの出所を分析する。解析情報や学習データを定期的にチェックし、特徴的なセグメントを探してください。見つかった場合、ボットによるデータが含まれていないか詳しく調査しましょう。
• 利用急増を監視する。アプリやサイトの訪問者数が急増した場合、どの機能に影響があるか詳しく確認してください。もし一つのネットワーク、ユーザーグループ、もしくは特定の機能に集中しているなら、偏り攻撃の可能性が高いです。

偏り攻撃が認識されたら、以下の対策を講じて攻撃を防いでください: 

• ウェブ解析を利用して悪質な出所を除外する
• ウェブ解析で問題のあるIPアドレスをブロックする
• セキュリティバリアのログを確認し、不審な自動トラフィックを特定、ウイルス対策ソフトで遮断する

高度な防御 

以下の方法は、悪意あるデータ偏りボットに対する包括的な防御策です。

1. デバイスのフィンガープリント解析

攻撃者は、一台のコンピューターからボットを用いて大量の偏り攻撃を行うことがあります。ブラウザの切り替え、クッキーの削除、IPアドレスの隠蔽などが行われますが、デジタルフィンガープリント技術を用いれば、攻撃者を特定できる可能性があります。サーバーの設定や変化しないウェブサイトを識別することで、同一人物の複数回の接続を発見し、アクセスを遮断できます。

2. 信頼性評価

サイバー攻撃は、同一または類似のIPアドレスから発生したり、決まったパターンで動作することが多いです。こうした特徴はボット検出時に収集され、今後の防御強化に役立ちます。例えば、既知のマルウェアに関する情報や特徴を含むデータセットを用いることで、攻撃者のサイトアクセスを自動的に防ぐことが可能です。

3. ウェブサイトアクセスの検証

チャットボットは発覚を逃れるため、様々なアカウントを使い、特定のウェブアドレスを偽装します。アクセス検証は、ユーザーやブラウザが実際のものであるかを確認し、不審な行動を見抜く有効な手段です。例えば、リクエストが意図通りに行われているか、JavaScriptエージェントが一貫しているかをチェックします。

4. 人工知能による行動解析

実際の訪問者は一貫した行動を示すことが多いですが、自動化ツールは予想されるパターンと異なる場合があります。こうした違いを解析するため、初期アカウントの即時行動と比較して、訪問者の流れや行動を評価してください。エンゲージメントが一致しない場合、そのアカウントが人間かボットかを判断できます。

5. 強化されたチャレンジ

不審な訪問者に連続してチャレンジを提示することで、攻撃活動を迅速かつ効果的に検出できます。こうしたチャレンジは自動化されたアカウントではほぼ突破不可能なため、実在する利用者のみが対処可能です。

Wallarmがボットから守る

正当な利用者の動作にほとんど影響を与えず、Wallarmのボット対策ソリューションは、データ中毒攻撃やマルウェアボットを検出し守るための幅広いセキュリティ対策を提供します。加えて、Wallarmは多要素認証やAPIセキュリティを実現し、不正なトラフィックがAPIエンドポイントに入らないよう、脆弱性の悪用をブロックします。

Wallarmは多層防御とボット対策により、ウェブサイトやアプリが常に利用可能で安全であることを保証します。これには、ユーザーアカウントを守る対策、悪意あるアクセスを防ぐDDoS防御、ウェブサイトのパフォーマンス向上と通信費削減を実現するCDN、正当なトラフィックを通すWAF、そして既知・ゼロデイ攻撃からアプリを守るRASPが含まれます。