インターネットトラフィックの7割以上は悪いボットと詐欺に使われている

プログラムで自動的にインターネット上で動作するボットには、インターネット上のインデックスを作成するなど有益なものもありますが、大半は悪意のある目的で設計されています。セキュリティ企業のArkose Labsによると、インターネットトラフィックの73％が悪いボットとクリックファームによるもので構成されているとのことです。

Arkose Labs’ Report Finds Nearly Three-Quarters of Web Traffic is Malicious, with Generative AI and Cybercrime-as-a-Service fueling bot attacks | Arkose Labs
https://www.arkoselabs.com/latest-news/arkose-labs-report-finds-nearly-three-quarters-web-traffic-malicious-generative-ai-cybercrime-as-a-service-fueling-bot-attacks/

Bad Bots Account for 73% of Internet Traffic: Analysis - SecurityWeek
https://www.securityweek.com/bad-bots-account-for-73-of-internet-traffic-analysis/

ボットを使ったセキュリティ攻撃の上位5つは「偽アカウントの作成」「アカウント乗っ取り」「スクレイピング」「アカウント管理」「製品やサービスの不正使用」だとのこと。2023年1月～9月にかけて最も増加した攻撃はSMS利用詐欺で2141％増加、つづいてアカウント管理が160％増加、そして偽アカウントの作成が23％増加したそうです。

標的とされている業種の上位5つがテクノロジー企業、ゲーム企業、ソーシャルメディア、eコマース、金融サービスです。2023年1月～6月にかけて、機械学習やAIのような高度な技術を駆使して人間の行動を模倣し、検知を回避する「インテリジェントボット」の使用件数がおよそ4倍に増加したとのこと。Arkose Labsは、人工知能の登場と犯罪者のビジネスプロ意識の高まりによって、悪質なボットは今後もさらにまん延するだろうと予想しています。

また、AIの台頭によって、ウェブサイトからデータや画像を収集するスクレイピングボットも激増しており、2023年1月から6月にかけて432％増加しました。Arkose Labsは「スクレイピングは法的にグレーな領域であると言わざるを得ません」と述べていますが、ウェブサイトが公表している利用規約に反すれば不道徳であることは間違いないとしています。

さらに、ボットではなく大勢の人間を低賃金で雇い、偽アカウントの作成やCAPTCHAのクリアなどを低コストで行う「クリックファーム」も増えているとのこと。2023年上半期だけで、クリックファームに関連する攻撃は30億件以上もあり、主にブラジル・インド・ロシア・ベトナム・フィリピンで行われているそうです。

加えて、Cyber​​crime-as-a-Service(CaaS)と呼ばれる業態が、サイバー犯罪に手を染めるハードルを下げている、とArkose Labsは指摘しています。CaaSとは、サイバー攻撃を行うのに必要なツールをパッケージングし、使った回数だけ料金を支払うサービスです。例えば、CaaS業者はランサムウェアを相手に侵入させるツールを提供し、ツールの使用者はそれを使って得た身代金などの利益をCaaS業者に分配できるようになっています。

Arkose Labsのケビン・ゴッシャークCEOは「CaaSの大規模な台頭により、サイバー犯罪者の経済状況は完全に変わりました。個人よりも企業を攻撃する方がはるかに安価であり、攻撃を行うのは単なる個人のサイバー犯罪者ではなく開発会社であるため、今後サイバー犯罪はより効果的なものとなります」と述べました。