第6章. コンシューマ・ウェブを守る

これまでの議論の大半は、ハッカーがコンピュータやネットワークに侵入するのを防ぐこと、侵入を果たした後にハッカーを検知すること、侵入の影響を軽減することに焦点を当ててきた。しかし、攻撃者が経済的に利益を得るためにネットワークを侵害する必要はない。この章では、コンシューマ向けのWebサイトやアプリの機能を利用して目的を達成する攻撃者について考える。

コンシューマ・ウェブ」とは、パブリックインターネットでアクセス可能な、個人消費者に製品を提供するサービスを指す。コンシューマ・ウェブを、組織に提供されるエンタープライズ・サービスや、企業内の内部ネットワークと区別する。

コンシューマWebには、アカウントアクセス、決済インタフェース、コンテンツ生成など、さまざまな攻撃対象がある。ソーシャル・ネットワークは、攻撃者が目標を達成するためにソーシャル・グラフを利用することができるため、脆弱性の別の次元を提供する。

しかし、コンシューマ・ウェブには、防御側に有利に働く特性も組み込まれている。その最たるものが規模である。攻撃の対象となるサイトはすべて、はるかに大量の正規トラフィックも対象としている。このことは、防御を構築する際に、アルゴリズムの訓練に使用できる正当なパターンの大規模なデータベースがあることを意味する。特にラベル付けされたデータがあまりない場合には、第3章で説明したような異常検出が適切である。その場合、教師あり分類器を構築するのに十分なラベル付けされたデータがあるだろう。

以降の章では、様々な攻撃ベクトルについて考察し、それぞれのケースにおいてマシン学習がどのように正当な活動と悪意ある活動の区別に役立つかを説明する。オープンソースのコンシューマ不正データは乏しいため、各問題の特徴生成とアルゴリズム選択の背景にある原則に主に焦点を当てる。章の終わりには、具体的な例を用いてクラスタリングのアプローチを説明する。

本章のタイトルが「コンシューマ・ウェブの保護」であっても、我々が議論する全ては、ブラウザ経由でアクセスするWebサイトや、インターネットに面したAPIからデータを取得するアプリにも等しく当てはまる。以下の章では、攻撃対象や防御者が利用できる機能の違いについて考察する。

コンシューマ・ウェブの収益化

多くのコンシューマ向けWebサイトでは、ハッカーがアカウントにアクセスするだけで、直接マネタイズできるようになっている。金融機関が最もわかりやすい例だが、オンラインマーケットプレイス、ライドシェアサービス、広告ネットワーク、さらにはホテルや航空会社のポイントプログラムも、実質的に任意の受取人への通貨の直接送金を容易にしている。ハッカーは、少数の価値の高いアカウントを危険にさらすだけで、投資に見合うだけの利益を得ることができる。したがって、このようなサービスのアカウントを保護することは、サイトの存続にとって最も重要である。

詐欺もまた、多くのコンシューマ向けWebサイトにとって重要な懸念事項である。ほとんどのオンライン・サービスは支払いにクレジットカードを利用するため、悪質な業者は盗んだクレジットカードを使って、サイトが提供するあらゆるものの代金を支払うことができる。コンシューマ・グッズを直接提供するサイトにとって、これは特に危険なことである。盗まれたグッズは、ブラックマーケットで小売価格の数分の一で転売される可能性があるからだ。デジタル商品が転売されたり、あるサービスのプレミアム・アカウントが、そのサービスでの他の種類の不正行為を加速させるために使われたりする可能性があるからだ。 ...