年末商戦に備えてサービス提供者が実施すべき不正対策
- 2025年11月28日
- by SendGrid
- Category: ベストプラクティス
この記事は October 2025 Fraud Update: How ISVs can Prepare for the Holiday Season の抄訳です。
米国のブラックフライデー(11月の第4金曜日)とサイバーマンデー(ブラックフライデーの翌月曜日)をはじめ、世界的に購買行動が活発となる年末商戦の時期が近づいています。
この期間は、通信量の急増に乗じた不正アクセスやスパム送信などの攻撃が多く発生します。
本記事では、SendGridを含むTwilioの各種プラットフォーム上で観測された不正の最新動向と、メール送信やWebフォーム運用において実施すべき対策方法をまとめました。
自社サービスやブランドを守り、安心して商戦期を迎えられるよう今のうちに確認しておきましょう。
トラフィック増加に伴う不正行為のパターン
商戦期になると、特に小売業やEC事業を中心に、顧客向けの通知やマーケティングメッセージの配信量が大幅に増加します。最新の期間限定キャンペーンを案内するために、短時間に何通もメールを送るケースも珍しくありません。(2024年の米国ホリデーシーズンで、Twilio SendGridが処理したメール数は655億通以上にものぼります)
アカウント乗っ取り(ATO)は年間を通じて常に存在するリスクですが、本記事ではこの時期特に多く発生しやすい「不当にトラフィックを増加させる行為(AIT)」と「Webフォームを入口とした悪用」に焦点をあてて紹介します。
不当にトラフィックを増加させる行為(AIT)
Twilioでは、この1年にSMSポンピングなどのAITが大きく増加していることを確認しています。
AIT(Artificially Inflated Traffic)とは、攻撃者がWebフォームやAPIで不正に電話番号を入力し、大量のSMS送信や音声通話を増加させる行為のことです。不正なメッセージであってもこれらの通信は課金対象であり、予期せぬ高額請求に至る場合があります。
年末年始やホリデーシーズンのように「正規のトラフィックが多い時期」は、不正なトラフィックの検知が難しく、攻撃者にとって都合の良いタイミングであるため、AITが発生しやすい傾向にあります。
AITの対象として代表的なのはワンタイムパスワード(OTP)通知ですが、電話番号の入力をきっかけに発生するあらゆる通知が攻撃対象になり得ます。
- 販促メッセージ
- パスワードリセット通知
- 配送状況確認通知
- アプリのダウンロードリンク通知
Webフォームを入口とした悪用
もう一つの傾向として、不正な情報や盗んだ情報を使ってWebフォームを悪用する、以下のような攻撃が増加しています。
- 偽のアカウント登録
- フィッシングメールの送信
- クレデンシャルスタッフィング
これらの攻撃は一般に公開されているWebフォームを悪用するもので、アカウントに不正侵入をする必要がないため、攻撃者に狙われがちです。フォームが悪用されると、データの品質低下やリソースの無駄遣い、企業の信用低下を招く恐れがあります。
Webフォームの悪用によって生じたトラフィックには、どのような特徴が見られるのでしょうか。
アカウントへのアクセス元IPアドレス
フォームが攻撃者に悪用される場合、多くは問い合わせフォームの自動返信機能が利用されます。不正な送信リクエストであっても、送信処理を実施したアクセス元IPアドレスとして記録されるのは、通常通り、Webフォームが配置されているサーバのIPアドレスです。そのため、アクセス元IPアドレスだけでは、リクエストが正当なものか不審なものかを見分けにくい点が特徴です。
一方、アカウント自体に不正アクセスがあった場合は、管理画面やAPI等へのアクセス元として、これまでとは異なる不審なIPアドレスが記録されるようになります。
Fromメールアドレス
フォームが悪用される場合、攻撃者はあくまでフォームの入力欄を使って不正を行っているだけであり、通知の送信元メールアドレス(Fromメールアドレス)を変更することはできません。そのため、不正に送られた通知であっても、使用されるドメインは正規の通知と同じものになります。
一方、アカウントが侵害された場合は、攻撃者が管理画面やAPIの設定を操作できてしまうため、不審なドメインや大企業になりすましたドメインが、通知の送信元ドメインとして設定されてしまうケースがあります。
件名にURLが含まれることがある
通常、件名にリンクを入れる必要性はありません。件名にURLが含まれている場合、フォーム悪用とアカウント乗っ取りの両方が疑われます。
なお、件名にリンクを入れることはメールのベストプラクティスに反しているため、受信サーバから迷惑メール判定される要因にもなります。
Twilioは、各社がどのようなWebフォームを使っているかまでは把握できません。どのフォームがどのような攻撃を受けているか、皆さま自身で影響範囲の特定や改善対応を実施する必要があります。
商戦に向けて準備すべきこと
不正な大量送信やフォームの悪用への対策として、以下のような点を事前に確認し、できる限り対応することをおすすめします。
- WebフォームやAPIに対して、適切なレート制限を設定する
- 許可していない地域からのリクエストをブロックする
- CAPTCHAやハニーポットフィールドなどを導入し、ボットによる自動送信を防止する
- 件名にURLを含めないためのバリデーションや、ダブルオプトインを導入する
- 管理画面アクセス時の多要素認証(MFA)を設定する
- 通信量や送信頻度の急増、不審な地域からのアクセスなどがないかを継続的に監視し、異常があればすぐ検知できるようにアラートを設定する
これらの対策を組み合わせることで、正当なトラフィックに紛れこむ不正行為にも、より早く適切に対応できるようになります。
さいごに
今回は、商戦期に増える不正行為の代表的なものと、その対策について紹介しました。
不正行為を許してしまうと、金銭的被害だけでなく、顧客からの信頼低下など、損失は計り知れません。攻撃者の標的になってから対策を講じるのでなく、普段から準備しておくことが重要です。
これを機にしっかり対策状況を見直し、安心して商戦期を迎えましょう!
