カテゴリー

セキュリティ Security

サプライチェーンの危機により悪化した小売業界のセキュリティインシデントが急増

2021年11月15日

  1. HOME >
  2. セキュリティ Security >

サプライチェーンの危機により悪化した小売業界のセキュリティインシデントが急増

2021年11月15日

小売業界におけるサイバーセキュリティリスクに関するImpervaの12か月の分析は、2021年のホリデーショッピングシーズンが、混乱を引き起こし、前例のない世界的なサプライチェーン危機を利用しようとするサイバー犯罪者によってさらに混乱することを示唆しています。

小売業界のセキュリティインシデント

サイバーセキュリティ活動のレベルの上昇は、小売業者にとって基本的なビジネスリスクです。ウェブサイトの停止からオンライン詐欺まで、セキュリティインシデントは売上の損失と不幸な顧客につながります。世界的なサプライチェーン危機の広範な影響を考えると、第4四半期の小売業者に対する単一のサイバー攻撃の影響は壊滅的なものになる可能性があります。

混乱が発生すると、出荷が遅れ、ホリデーシーズンを通して物理的およびデジタルの店舗の棚が空のままになる可能性があります。前例のない状況は非常に熱狂的なピッチに達しており、一部の小売業者は完全に廃業していることに気付くかもしれません。

より高いレベルのセキュリティインシデントを経験している小売業界

悪意のあるボット

2021年におけるオンライン小売残って自動化されたボットの活動のための主なターゲットボットは、価格と内容スクレーピング、スカルピング、在庫の拒否やオンライン詐欺の他のタイプ:含む小売サイトで、破壊的、さらには悪質な活動の配列を行っています。

2021年には、小売Webサイトに対する毎月のボット攻撃の量は前年の同じ月と比較して13%増加しました。これは、小売業者と消費者が悪いボット活動から直面する脅威の高まりを強調しています。

調査によると、今年eコマースWebサイトで記録された攻撃の57%はボットによるものでした。比較すると、2021年には、他のすべての業界のWebサイトに対する攻撃全体の33%を悪意のあるボットが占めていました。

特定の種類の詐欺であるアカウントの乗っ取りは、eコマースサイトにクレジットカードや支払い情報を保存するログインアカウントを持っている消費者にとってのリスクです。他の業界と比較して、オンライン小売業者は、他のすべての業界の平均ログイン(25.5%)と比較して、2021年に大量のアカウント乗っ取りログイン(32.8%)を経験しました。

さらに心配なことに、小売Webサイトでの洗練された不良ボットの割合は2021年に23.4%に達しました。この種のボットは、人間の行動によく似たマウスの動きやクリックを生成できるため、停止するのが最も困難です。洗練されたボットは単純な防御を回避し、アカウントの乗っ取り、詐欺、または在庫の拒否に責任があり、正当な買い物客が欲しい商品を手に入れるのを難しくします。

DDoS攻撃

ホリデーショッピングシーズンが始まると、DDoS攻撃はすでに増加しており、2021年9月には前月と比較して200%急増しています。この活動の増加の一部は、世界中の組織に影響を与えた巨大なMerisボットネットに関連しています。

過去12か月を通じて、小売業界では、すべての業界の中で1か月あたりのアプリケーション層(レイヤー7)DDoSインシデントの量が最も多かった。レイヤー7攻撃は、ネットワークリソースとサーバーリソースの両方を消費するため、非常に効果的です。アプリケーション層の攻撃に対する防御は、攻撃トラフィックと通常のトラフィックを区別する機能を必要とするため困難です。

2021年の攻撃の強度(1秒あたりのリクエスト数(RPS)で測定)は低く、平均して最大35,000RPSでした。ただし、攻撃の頻度は、サイバー犯罪者が検出できずに破壊的なアプローチを取っていることを示唆しています。米国は、2021年のアプリケーション層DDoS攻撃の大多数(61.6%)の標的でした。

ウェブサイト攻撃

2020年第4四半期から2021年前半までの小売業界のウェブサイトへの攻撃は、他のすべての業界よりも著しく高く、攻撃のピークが散発的であることが特徴でした。

小売サイトは、買い物客の支払い情報や忠誠心の報酬ポイントをホストしているため、eコマースサイトが主要なターゲットであるため、2021年にはすべての業界(26.9%)と比較してわずかに多いデータ漏洩攻撃(31.3%)を経験しました。

「2021年のホリデーショッピングシーズンは、小売業者と消費者の両方にとって悪夢になりつつあります」と、ImpervaのCTOオフィスのテクノロジーディレクターであるPeterKlimekは述べています。

「世界的なサプライチェーンの状況が悪化する中、小売業者は第4四半期に製品を販売するのに苦労するだけでなく、混乱の恩恵を受けたいという意欲的なサイバー犯罪者からの攻撃の増加に直面するでしょう。Imperva Research Labsのデータは、小売業者がエッジからアプリケーション、APIに至るまでのセキュリティに投資する必要性を強調しています。データへのすべてのパスを保護することによってのみ、小売業者は重要なシステムとそれに依存する消費者を真に守ることができます。」

小売業者は注意してください:攻撃対象領域が拡大するにつれて、より多くの脅威が先にあります

チャットボット、支払いサービス、Web分析などの一般的なウェブサイト機能は、クライアント側で実行されるサードパーティのJavaScriptによって有効になります。この機能はeコマースに必要ですが、攻撃に対してますます脆弱になっています。多くのサービスはセキュリティチームの管理外で動作するため、組織にとっては盲点であり、消費者にとっては潜在的な不正リスクです。

適切に保護されていない場合、サードパーティのJavaScriptコードの侵害は、クロスサイトスクリプティング(XSS)、フォームジャック、クリプトジャック、悪意のある広告インジェクション、データスキミングなどにつながる可能性があります。これは小売業者や消費者に影響を与えるリスクです。これらの非常に効果的な回避戦術は、高度なネットワーク脅威検査ツールを使用している場合でも、組織が監視することは困難です。

アプリケーションプログラミングインターフェイス(API)は、買い物客のeコマースエクスペリエンスを向上させるため、小売業者にとって不可欠です。APIは、在庫の可用性、製品検索、注文処理の追跡など、消費者を必要なデータや情報に接続します。

ただし、JavaScriptサービスなどのAPIは監視が難しく、攻撃に対して非常に脆弱です。2021年、小売業者を標的としたAPI攻撃の上位3種類は、データ漏えい(25.7%)、リモートコード実行(RCE)(17.2%)、XSS(16.8%)であり、これらはすべてコストのかかる侵害を引き起こす可能性があります。

-セキュリティ Security