開発者じゃなくてもたった10秒で保安の心配無用!  

無料体験を始める

「なぜ私だけのクーポンを受けられないのですか?」

ショッピングアプリで実際に行われた自動化攻撃の話

「なぜ私だけのクーポンを受けられないのですか?」
ショッピングアプリで実際に行われた自動化攻撃の話

「きっとアラーム合わせて入ってきたんですけど、入るやいなやもう締め切りですか?」
1つのショッピングアプリの顧客センターに同様の問い合わせが繰り返し入ってきた。先着順割引クーポン、ライブコマース専用ポイント、限定数量イベントまで。奇妙なことに、一部のユーザーだけが成功し続け、ほとんどのユーザーは常に一歩遅れていました。
最初は単純な接続暴走だと思いました。イベント時間にトラフィックが集まるので、サーバーが遅いのです。

しかし、変だった。
いつも同じ時間帯、いつも似たようなアカウント、いつも人ができないスピード。
その時から運営チームは悟りました。
「これは単なるトラフィックの問題ではありません。」

ショッピングアプリはなぜ攻撃者に「お金になるアプリ」なのか?
ショッピングアプリは単なるコンテンツアプリではありません。
•割引クーポン
•ポイント
• お支払い情報
•配送情報
•販売取引データ
どちらも実際の金銭的価値に直結しています。

だから攻撃者の立場でショッピングアプリは成功するとすぐに収益につながるターゲットです。
そしてその中でも一番先に狙われるのが、まさに割引・クーポン・ポイントのような金銭性資源です。

 

実際に発生した攻撃方式
問題が本格的に明らかになったのは、ログ分析の後でした。
確認された攻撃パターン
• 自動クリック・マクロでクーポン大量収集
• イベント応募ボタンの異常な繰り返し呼び出し
• アプリを変調してポイント差し引きロジックバイパス
一見すると普通のアプリユーザーのように見えましたが、実際にはオートメーションツール+モジュレーションアプリが一緒に使われていました。

 

どこでセキュリティの抜け穴があったのか?
このショッピングアプリの問題は1つだけでした。
「ユーザーの行動が正常なのか異常なのか区別できなかった」
•サーバーは要求を受け取りました。
•アプリは実行環境を信頼しています。
•自動化と変調を区別する基準がありませんでした
この時点でアプリのセキュリティが必要になりました。

 

LIAPP:金銭的資源を狙った攻撃の一次防御線
自動入力・スクリプトベースの攻撃検出
LIAPPは、ユーザーが何を入力したのではなく、どのように入力したかを表示します。
•タッチ間隔
•入力速度
•繰り返しサイクル
• イベント呼び出しパターン
人が出せない入力リズムは最終的にオートメーション攻撃として現れます。
このように自動クリック・マクロアカウントが検出され始めました。

アプリ上・変調検出
一部の攻撃者はより巧妙だった。
•通常のアプリを再パッケージ化し、
•ポイント差引ロジックを修正した後
•通常のユーザーのようにイベントに参加しました

LIAPPの胃・変調検出は
•コード
• リソース
•アプリの構造を変更するかどうかに基づいて
改ざんされたアプリの実行自体を識別します。
クーポンとポイントを狙ったモジュレーションアプリはもはや通常の流れに入ることができませんでした。

「クーポンだけ問題ではなかった」
LISSとLIKEYが登場した理由
調査を進めながらもう一つの事実が明らかになりました。
攻撃者はクーポンだけを狙わない。

LISS – リモートサポートツールの検出
運営・セラーアカウントの一部で遠隔支援アプリによる画面操作の状況が捉えられました。
LISS経由
•遠隔支援・遠隔制御ツールを検出し、
•重要アカウントの外部操作リスクをブロックしました。

LIKEY – アカウント・入力情報保護
もう一つの弱点はログイン入力区間でした。
LIKEYのセキュリティキーパッドを適用する
•キーロガーベースの入力消臭を無効にする
• 管理者・セラーアカウント保護レベルを強化しました。

 

適用後、何が変わったのでしょうか?
セキュリティ適用後の変化は思ったよりも早く現れた。
• クーポン・ポイント分配正規化
• イベント成功勘定分布の自然な変化
•顧客の苦情を減らす
• 運営チーム対応負担軽減
何よりも重要な変化はこれでした。
「問題が生じたらサーバーだけ見た視線」から「アプリ実行環境とユーザー行為を一緒に見る視線」への切り替え

このケースが与える教訓
ショッピングアプリのセキュリティで最大の錯覚はこれです。 「サーバーだけをよく止めればいい」
しかし、実際の攻撃はアプリで始まり、ユーザーの行動をまね、静かに金銭的なリソースをもたらします。

だから必要なもの
• 自動化・偽変調検出 → LIAPP
•外部操作環境の検出→LISS
•入力情報保護→LIKEY
役割を正確に分割すると、セキュリティは複雑にならず、現実的な効果を生み出します。

#ショッピングアプリセキュリティ#モバイルセキュリティ#クーポン悪用#イベントセキュリティ#マクロ検出#自動化攻撃#アプリ偽造#RASPセキュリティ#電子商取引セキュリティ#セラーアプリセキュリティ#アカウントセキュリティ#ピンテックセキュリティ#モバイルアプリセキュリティ#セキュリティケース#セキュリティトレンド#LIAPP#LISS#LI

「残高が増えたんですか?」
SNSでシェア
お問合せ