Oktaは、登録不正の規模が「驚異的」だと警告し、2024年の顧客登録試行の46%はボットが原因だったと主張した。
認証の専門企業であるOktaは、世界の消費者6750人を対象とした調査と、同社のAuth0プラットフォームから得た運用テレメトリーに基づいて作成されたCustomer Identity Trends Report 2025で、この数値を明らかにした。
Oktaは、登録不正の試行が急増していることは、最近の減少傾向を覆すものであり、AI対応の攻撃ワークフローの結果である可能性があると述べた。
「今年の結果は、AIがデジタル上のやり取りの真正性を信頼する能力にどのように挑戦しているかを浮き彫りにしています」と、Okta EMEAのCSOであるスティーブン・マクダーミド氏は述べた。
「私たちは、誰を信頼できるかだけでなく、何を本当に信頼できるのかを問わなければならない時代に入りつつあります。この新たな攻撃対象領域は、AI時代のための安全な基盤を構築し、静的な戦略から、アイデンティティを中核に据えた動的な戦略へと移行することを求めています。」
報告書によると、年間を通じて大きな変動があり、不正試行は4月6日に約93%まで急増し、2月29日には14%まで低下した。ただし、他の日に30%を下回ることはなかったという。
不正に関する詳細: 新規オンラインアカウントの4分の1は偽物 — レポート
最も大きな影響を受けたのは小売およびEコマース企業で、2024年の登録不正試行の69%を占めた。次いで金融サービス(64%)、エネルギー/公共事業(56%)、製造業(54%)が続いた。
Oktaは、小売業者や金融サービスの登録インセンティブ、会員限定の特典が、不正行為者の注目を集めている可能性があると述べた。
しかし、登録不正はこのような登録特典を消費するだけではない。既存ユーザーアカウントの発見をサイバー犯罪者に可能にし、後に古いアカウントを使ってセキュリティ制御を回避したり、リソースを消費することでサービス拒否(DoS)攻撃を実行したりすることさえあり得ると、Oktaは警告した。
組織にとっての課題は、登録プロセスに過度な摩擦を加えることなく、認証セキュリティを強化することだ。
また報告書は、ユーザーの64%がID不正を懸念しており、72%が登録前に企業のセキュリティ対策を評価している一方で、約4分の1が登録またはログイン手続きの問題によりオンライン購入を「常に」または「しばしば」断念していることも明らかにした。ログイン/登録フォームが長いことが、ユーザーにとって登録またはログインの不満の原因として最も多く挙げられた(62%)。
総当たり攻撃への対処
Oktaは、組織に対し、この種のボット主導の不正試行に反撃するため、以下を実施するよう促した。
- DDoS緩和サービスへの投資
- 行動分析、脅威インテリジェンス、フィードバックループに基づく何らかのボットフィルタリング技術の導入
- レート制限の制御を導入する
- リスクの閾値に達した場合にCAPTCHA要件を強化する
- 疑わしいIPの閾値を厳格化し、アクセス制御リストを実装して悪用IPをブロックする
- エッジでWebアプリケーションファイアウォール(WAF)ルールを用いて悪意のある活動をブロックする
- パスキーを使用して登録するよう顧客に促す
翻訳元: https://www.infosecurity-magazine.com/news/half-customer-signups-now/
