ニュース

アジア太平洋地域で、EC・予約サービスを狙うAIボットの攻撃が急増、Akamaiが警告

 Akamaiは7月17日、アジア太平洋地域(APAC)で成長するEC(オンライン通販)やオンライン予約などのサービスが、AIボットを悪用した攻撃のターゲットとなっており、AIボットのアクティビティが急増していると警告した。

 同社が公開したセキュリティレポート「Securing the Agentic Storefront: Attacks on Commerce」(エージェント型ストアフロントのセキュリティ確保:コマース業界を狙う攻撃)によれば、アジア太平洋地域のコマース企業を標的としたボットのアクティビティは2025年に63%増加しており、これは世界で最も高い増加率となる。そして、2025年7月〜12月にアジア太平洋地域の全業界で観察されたAIボットによるトラフィックのうち38%をコマース業界(小売、オンライン予約が必要な各種サービスなど)が占めているという。

 背景として、小売企業に関しては、AIエージェントを活用した「エージェント型コマース」化を進めており、一方でそのことが、悪性ボットやAPIの悪用などの不正アクセスとの区別を難しくしていると指摘する。また、旅行などのサービス業においては、断片化された旅行予約プラットフォーム、モバイルの高い普及率といった状況があり、中華圏の春節、日本のゴールデンウィーク、インドのディワリといった繁忙期を狙ってAPIを狙った攻撃が行われるとしている。コマースに対するウェブを通じた攻撃の22%を旅行業界が占め、その攻撃の25%がAPIを標的としており、そのほかにもDDoS攻撃のターゲットとしても、高い割合がこれらの業界であるという。

 このような状況を踏まえ、ECやオンライン予約業界の発展に相応の、急増するAIボットによる攻撃に対応できるセキュリティ戦略が必要だと、同社では指摘している。

 具体的には、顧客の決済やパートナーとの連携など一連の処理の流れをマッピングし、APIを継続的に特定し、機微な情報がどこで露出する可能性があるかを把握すること、自動化処理において一律に「許可」または「ブロック」を判断するのではなく正当な自動化と悪性ボットのアクティビティを区別できるリスクベースのアプローチを採用すること、ショッピングや旅行の繁忙期に先立ってトラフィックの急増に対するキャパシティを強化し、DDoS対応計画をテストするなどの体制を整えること、の3点を挙げている。

 ECやオンライン予約サービスを狙い、サービスダウンや情報窃取を狙う攻撃は、一般のユーザーにも広く直接的な影響を及ぼす。今回Akamaiが指摘した攻撃の直接的な事例ではないが、日本では2024年末から2025年のはじめにかけて、交通機関や銀行、通信事業者のサービスがダウンし、多くの人が影響を受けた。また、2026年7月16日には、全国的にクレジットカード決済ができなくなるトラブルが発生した。

 ユーザーとしては、攻撃が増えている事態を認識し、ECサイトや予約サイトのアカウント情報を適切に管理してパスワードの使いまわしを避ける、予約は早めに行い手元に予約情報を控えておく、日常的にいくらか現金を用意しておく、などの対策を取っておきたい。