ブログ

今こそボット対策を再評価する時です

ジム・ダウニー サムネイル
ジム・ダウニー
2023年2月10日公開

セキュリティ専門家として、ボット緩和の問題を解決したと考えている場合は、もう一度考え直してください。

ボットは莫大な経済的苦痛を引き起こします。クレデンシャル スタッフィングボットはアカウントの乗っ取りにつながり、無許可の再販業者ボットは製品の発売や期間限定のオファーを大失敗に導き、スクレーパーボットはパフォーマンスを低下させてインフラストラクチャのコストを増大させ、ギフトカードクラッキングボットは残高を浪費して顧客を激怒させます。 影響が大きいだけでなく、犯罪者にとって攻撃が非常に利益をもたらすため、オンライン ビジネスが攻撃を受ける可能性はほぼ 100 パーセントです。 影響が大きく、発生する可能性も高いため、効果的なセキュリティ戦略が必要であることは明らかです。 しかし、最近のニュースが示すように、攻撃者は一般的に導入されているボット防御を回避する方法の開発を続けており、ボットに対して実施している対策を再評価する適切な時期が来ています。

2023年1月24日、チケットマスターの親会社ライブ・ネイションの社長ジョー・バーヒトルドが米国で証言した。 上院司法委員会は、テイラー・スウィフトの今後のツアーのチケット販売を不適切に処理したのは転売ボットのせいだと結論付けた。 「これがひどい消費者体験につながった。深く遺憾に思う」とベルヒトルト氏は上院議員らに語った。

また、2023年1月には、ノートンパスワードマネージャーを使用している何千人ものユーザーが、権限のない第三者が金庫に保存されているパスワードとともに個人情報にアクセスした可能性があるという通知を受け取ったとCNETが報じました。 ノートンの親会社であるジェンデジタルは、このセキュリティインシデントは、同社のIDS(侵入検知システム)システムが異常に多いログイン失敗を検知した際にボットによるクレデンシャル スタッフィング攻撃によって発生したとしている。

Ticketmaster はボットの緩和に投資しており、Gen Digital も同様に保護対策を講じていたと推測できます。 しかし、ボットは依然としてセキュリティ上の損害を引き起こし、可用性と機密性に影響を与え、多くの悪評を生み出しました。 これによって、明白な疑問が生じます。 ボット対策ソリューションは何年も前から提供されているのに、なぜこれほど多くのボット防御が悪意のあるボットを軽減できないのでしょうか?

依然として CAPTCHA に依存している組織の場合、答えは明らかです。 CAPTCHA は、実際の顧客を煩わせ、電子商取引のコンバージョン率を低下させる以外には機能しません。 CAPTCHA 解決サービスについて Web 検索するだけで、価格と速度で競合するサービスが少なくとも 12 個見つかります。 あるオープンソース ライブラリの作成者は、CAPTCHA を非常に簡単に回避できるようにすることを使命としています。

「現在の形式のCAPTCHAは失敗しています。 ロボットよりも人間にとって、それらははるかに大きな障害であり迷惑であり、それが彼らを役に立たないものにしている。 この議論に対する私のアナーキストとしての貢献は、たった 1 行のコードであらゆるサイトの reCAPTCHA を回避できるロボット用プラグインを使って、この不条理を実証することです。」

ボットを軽減するために WAF ベースの IP 拒否リストに依存している組織にとって、この作業は同様に絶望的です。 ボット検出を回避することを目的とした数千万の住宅用 IP アドレスをボット作成者に提供するサービスが存在します。 これらのサービスは、ローテーション型住宅プロキシとして宣伝されています。ボットは、多くの企業ブラウザーがフォワード プロキシを介してリクエストを送信するのと同じように、プロキシに HTTP リクエストを送信し、サービスは Web サイトまたは API にリクエストを送信するために使用するパブリック IP アドレスを継続的にローテーションします。これまで、ボットは一般的に、よく知られていて識別しやすいクラウド サービスのデータ センター プロキシを使用していました。 ただし、これらの新しいプロキシ サービスでは、顧客と同じ地理的エリアの住宅 IP アドレスが使用されます。 ISP による NAT により、各 IP アドレスは同時にボットまたは有効な顧客を表す可能性があるため、実際の顧客を拒否せずにこれらすべての IP アドレスをブロックすることは現実的ではありません。

さらに一歩進んで、 ZenRowsScrapFly、 ScrapingBeeなどの新しい商用サービスにより、Web スクレイピングは API を呼び出すのと同じくらい簡単になります。これらのサービスは、ユーザーに代わってボット防御を回避する責任をすべて引き受けます。 これらの API ベースのサービスは、米国と欧州連合では合法であるスクレイピングのみに焦点を当てていますが、犯罪者はダークウェブ上の同様のサービスにアクセスして、クレデンシャル スタッフィングなどのより悪質なボット攻撃を実行できます。

商用サービスに加えて、いくつかのオープンソース プロジェクトがボット バイパスに取り組んでいます。 人気の node.js 自動化およびテスト ツールである Puppeteer のステルス プラグインにより、Puppeteer は検出を回避できるようになります。 アクティブな開発者グループがGitHubでプロジェクトを管理し、ボット防御によって検出された場合は常に更新を発行します。 ドキュメントによると、「この猫とネズミのゲームはまだ初期段階にあり、ペースが速いため、プラグインは可能な限り柔軟性を保ち、迅速なテストと反復をサポートします。」 同様のライブラリundetected-chromedriverは、Python 開発者向けです。 オープンソースの精神に基づき、これらのプロジェクトの目的は、開発者がアプリに対して自動化を実行できるように Web をオープンに保つことです。 残念ながら、この機能は犯罪者によって簡単に悪用される可能性があります。

オープンソース プロジェクトや商用サービスの作成に携わる組織が増えるにつれて、ボット防御の回避に携わる開発者は情報を学習し、共有するようになります。 これらの手順では、検出ツールの JavaScript を難読化解除し、これらのツールがデータをパッケージ化して検出サービスに転送する方法を解読する手順について説明します。 開発者は、クライアント側のコードをリバースエンジニアリングすることで、検出ツールがどのように機能するかを突き止めます。 たとえば、ZenRows の開発者は、ウィンドウのサイズ設定とボット検出サービスが不一致を検出する方法について学んだことを共有しています

「センサーデータの例の画像では、ウィンドウサイズが送信されていることがわかります。 ほとんどのデータ ポイントは関連しています: 実際の画面、使用可能サイズ、内側サイズ、外側サイズ。 たとえば、内側が外側より大きくなってはいけません。 ここではランダムな値は機能しません。 実際のサイズのセットが必要になります。」

脅威の深刻さを考慮すると、ボット軽減対策を再評価する時期が来ていることは明らかです。 ボット検出効率のリーダーである F5 が役立ちます。 ボット緩和効果の実際の状態、見逃しているボット、ビジネスにどれだけのコストがかかっているかを理解したい場合は、F5 が無料の脅威評価ボットのビジネス影響に関するコンサルティングを提供します。