ボット セキュリティとは何か：インフラストラクチャの保護

ボット セキュリティとは、オンライン コマースを促進したり、AlexaやSiriのようにパーソナル アシスタントとして機能したり、Webサイトの顧客サービスを自動化するチャットボットとして機能したりする有益なボットには影響を与えずに、悪質なボットから保護し、オンライン リソースの整合性と可用性を確保することです。

悪質なボットは、データを侵害したり、サービスを中断したり、さまざまな方法でビジネスに損害を与えたりすることで、デジタル エコシステムに重大な脅威をもたらします。

ボットは、システムに侵入し、個人情報、財務記録、知的財産などの機密性の高い情報を抜き出すようにプログラムできるため、認証情報を利用した攻撃に最もよく使用されるデジタル ツールでもあります。またボットは、データベースやストレージ システム内のデータを操作、改ざんできるため、経済的損失を引き起こしたり、記録の正確さを損なったりする可能性もあります。

ボットは、オンライン サービスやシステムを妨害するためにも使用されます。犯罪者が、接続された複数のデバイスから多数のボットに対して、Webサイト、サーバ、ネットワークに分散型サービス拒否（DDoS）攻撃で過剰な負荷をかけるよう命令することで、対象ユーザーはサービスにアクセスできなくなります。

さらに、ボット活動によって、ブランドの評判を傷つけたり、在庫を操作したり、金融詐欺につながるアカウント乗っ取り（ATO）を可能にしたりすることで、企業の経済的成功に重大な損害を与える可能性もあります。

サイバーセキュリティの観点で見ると、ボットには主に、悪質なボットと防御ボットの2つの種類があります。

サイバー犯罪者は、工夫を凝らし複雑で見つかりにくいさまざまな攻撃を開始するように悪質なボットをプログラムして、Web資産やアプリケーション全体の攻撃対象を悪用しようとします。これらのボットは人間の介入なしで動作するように設計されており、多くの場合、マルウェアの拡散、DDoS攻撃の実行、機密情報の盗難、詐欺行為の準備といったタスクを実行します。悪質なボットはネットワークに侵入したり、データの整合性を侵害したり、サービスを中断したりすることで、重大なサイバーセキュリティの脅威を引き起こします。その動作は、ソフトウェアの脆弱性の悪用からソーシャル エンジニアリング攻撃の実行まで多岐にわたりますが、最終的な目標は、損害や経済的損失を引き起こすこと、あるいはシステムや機密情報への不正アクセスを可能にすることです。

防御ボット管理とは、コンピュータ システム、ネットワーク、Webプラットフォームをさまざまなセキュリティの脅威や攻撃から保護するために設計された自動のプログラムとメカニズムを指します。このようなボットは、デジタル資産を保護し、情報の整合性、機密性、可用性を確保するために、さまざまな方法で動作します。

こうした自動防御には、シグネチャ検出、行動分析、ヒューリスティックを使用して既知のマルウェアに関連するパターンと動作を識別するウイルス対策ボットがあります。防御ボットは、ファイアウォール保護の一部としても使用され、データ パケットを分析し、事前定義されたセキュリティ ルールを適用することで、送受信されるネットワーク トラフィックを監視し、トラフィックを許可するかブロックするかを決定します。特にWeb Application Firewall（WAF）には行動分析が組み込まれており、機械学習による自動保護機能を提供する高度なボット管理と統合できます。

侵入検知・防御システム（IDPS）も防御ボットを採用しており、特定のIPアドレスのブロック、ファイアウォール ルールの変更、セキュリティ担当者への警告といった対応を自動化して、脅威インテリジェンスを活用することで、セキュリティ インシデントをプロアクティブに特定して防止します。また防御ボットは、DDoS攻撃に関連するパターンを特定し、サービスの可用性を維持するための対策を実装することにより、ボットネットに関連する悪質なトラフィックを選別して迂回させることもできます。これらのアクションには、ファイアウォール ルールを動的に更新して攻撃元からのトラフィックをブロックし、悪質なボットがネットワークにさらにアクセスできないようにすることなども含まれます。

ボット攻撃はさまざまな形で行われ、さまざまな種類の組織を標的にします。

• クレデンシャル スタッフィング：最も一般的なボット攻撃の1つがクレデンシャル スタッフィングであり、これはさまざまな不正行為に最もよく利用される手段であるアカウント乗っ取り（ATO）につながります。このサイバー犯罪の連続する2つの動きは、ユーザーの認証情報（通常はユーザー名とパスワードのペア）の盗難または収集から始まります。これらの情報は、さまざまなサイバー攻撃やその他のサイバー犯罪手法を介して盗まれる場合も、ダークWebマーケットプレイスで購入される場合もあります。攻撃者は、有効な認証情報を集めると、通常は、侵害された大量の認証情報を別のサイトのWebサイト ログイン フォームに対してテストし、大規模にクレデンシャル スタッフィング プロセスを開始します。消費者の約3分の2が複数のWebサイトで同じユーザー名とパスワードを使い回しているため、サイバー犯罪者や大量の自動化ボットがこれらの侵害された認証情報を簡単に悪用できるのです。ほとんどの場合、侵害された認証情報を使用して、他のサイトのアカウントにアクセスできてしまいます。攻撃者はアカウントを乗っ取ると、認証情報を変更して正当なアカウント所有者を締め出したり、資産を流出させたり、アカウントを悪用してさらなる不正行為に及んだりすることができます。
  
• コンテンツ スクレイピング：コンテンツ スクレイピングへのボットの使用には、正当なものと有害なものがあります。コンテンツ スクレイピングとは、データを他の場所で分析したり再利用したりするために、自動ボットを使用して対象となるWebサイトの大量のコンテンツを収集することです。コンテンツの収集は、価格の最適化や市場調査などの前向きな目的に使用される場合もありますが、価格操作や著作権で保護されたコンテンツの盗難など、悪質な目的に使用される場合もあります。さらに、高度なコンテンツ スクレイピング アクティビティは、サイトのパフォーマンスに影響を与え、正当なユーザーによるサイトへのアクセスを妨げる可能性があります。
• DDoS攻撃：DDoS攻撃の目標は、サイトのパフォーマンスを低下させることであり、犯罪者は複数のソースやボットネット（攻撃者の制御下にある侵害されたコンピュータまたはデバイスのネットワーク）から多数のボットを組織化します。攻撃者はこれらの複数のソースを調整して標的に対して同時に攻撃を開始するため、標的に過剰な負荷がかかり、使用不能になります。DDoS攻撃は深刻な結果をもたらし、オンライン サービスの可用性と整合性を損ない、重大な混乱を引き起こし、経済的損失、恐喝、評判の低下につながりかねません。
• 在庫の買い占め：転売ボット（購入ボットとも呼ばれる）は、オンラインの商品やサービスが販売された瞬間に大量に購入することを目的として使用されます。チェックアウト プロセスを瞬時に完了することで貴重な在庫を大量に入手し、その多くは二次市場でかなりの高額で転売されます。犯罪者はこれらのボットを使用して在庫や価格を操ることができ、人為的に希少性を生み出したり、在庫拒否や消費者の不満を引き起こしたりすることができます。
• 偽のアカウントの作成：サイバー犯罪者は、ボットを使用してアカウント作成プロセスを自動化し、偽のアカウントを使用して、製品レビューの操作、偽の情報の流布、マルウェアの拡散、インセンティブ プログラムや割引プログラムの悪用、スパムの作成と送信といった不正行為を行います。同様に、犯罪者が、金融機関を欺くためにクレジット カードやローンを申請するようにボットをプログラムする場合もあります。
• ギフト カードのクラッキング：攻撃者はボットを利用し、何百万ものギフト カード番号のバリエーションをチェックし、価値のあるカード番号を特定します。残高のあるカード番号を特定すると、正当な顧客が使用する前に、そのギフト カードを換金または売却します。旅行やホスピタリティ ロイヤルティのプログラムも、こうしたボット攻撃の標的となります。

ボット攻撃は、組織のネットワークに重大な悪影響を及ぼし、事業運営に重大な損害を与えかねません。

ボットはWebサイト、データベース、APIから体系的にデータを収集するようにプログラムできるため、データ盗難はボット攻撃で起こり得る結果の中で最も深刻なものの1つです。このデータには知的財産、企業秘密、その他の専有情報などが含まれ、競争上の優位性の喪失やブランドの評判の低下につながる可能性があります。顧客情報の盗難は、データ保護規制の遵守を損ない、罰金や法的措置につながりかねません。

ボット攻撃はサービスを中断することで組織に重大な損害を与え、経済的損失や顧客の信頼の低下につながります。ボット主導の攻撃が緩和されない場合の深刻な結果の1つがDDoSであり、犯罪者がボットネットに指示してネットワーク リソースに過剰な負荷をかけ、サービスの中断を引き起こします。

またサービスの中断は、クレデンシャル スタッフィングやアカウント乗っ取り攻撃によっても発生する可能性があり、その場合、正当な顧客がアカウントからロックアウトされたり、取引できなくなったりします。顧客が自分のアカウントにアクセスできないだけでなく、犯罪者が侵害されたアカウントを使用して不正取引を行う場合もあります。

悪質なボット攻撃から保護するためにセキュリティ ボット対策を設定するには、いくつかの重要な手順があります。

徹底した分析を行い、システムや業界に特有の潜在的なボットの脅威を特定します。IP分析などの手法を使用して、送信元IPアドレスに基づいて受信トラフィックの特性を調べます。これは、既知の悪質なIPアドレスや不審な動作に関連するパターンを特定したり、ボット トラフィックと正当なユーザーの行動を区別したりするのに役立ちます。ボットの活動に関連する既知の悪質なIPアドレスの拒否リストを管理します。

IPアドレスの地理的位置を分析して異常を検出します。通常とは異なる地域からトラフィックが突然、流入した場合は、ボットネットの存在を示している可能性があります。さらに、攻撃者が検出を回避するために、キャンペーンの分散インフラストラクチャの構築に多くの自律システム番号（ASN）が使用されていることが知られています。ユーザーエージェント分析を通じて、ユーザーエージェントのシグネチャを調べて、リクエストを行ったクライアントの種類を特定します。ボットは多くの場合、通常のパターンから逸脱した汎用ユーザーエージェントを使用したり、これを変更して使用したりするため、正当なユーザーと区別できます。

行動分析を使用して受信トラフィックを評価し、ボットの活動を示す可能性のあるパターンや異常を特定します。この方法は、人間の行動を模倣しようとする高度なボットに対して特に効果的です。ボットの多くは、正当なユーザーと比較してセッションが短く、バリエーションが少ない場合や、Webサイトやアプリケーションとのやり取りで、反復的、高速、または人間的でないパターンを示す場合があるため、ユーザー セッションの継続時間とフローを調べます。一部の高度な行動分析メカニズムは、マウスの動きとクリックを追跡して、人間の操作と自動化された操作を区別します。

WAFは、Webアプリケーションとインターネットの間の保護障壁として機能し、データとWebアプリケーションをさまざまなサイバー脅威から保護し、アプリケーションからのデータの不正流出を防止します。WAFには、悪質なボット トラフィックを検出して軽減し、Webスクレイピング、クレデンシャル スタッフィング、自動攻撃などの悪質な活動を防止する機能があります。またWAFには、定義された時間枠内で特定のIPアドレスからのリクエスト数を制限する、レート制限メカニズムやスロットル メカニズムもあり、DDoS攻撃の影響の軽減に役立ちます。さらに、WAFは、SQLインジェクション、クロスサイト スクリプティング（XSS）、クロスサイト リクエスト フォージェリ（CSRF）など、他の悪質な自動攻撃からWebアプリケーションやシステムを保護することもできます。

WAFの導入にはいくつかの方法があります。すべては、アプリケーションの導入場所、必要なサービス、管理方法、アーキテクチャに求める柔軟性とパフォーマンスのレベルによって異なります。WAFは、攻撃者が悪質なキャンペーンの手段をどのように変えようと、有効性とレジリエンスを維持できる特殊なボット管理と統合することもできます。適切なWAFと導入モードを選択するためのガイドについては、こちらをご覧ください。

セキュリティは、攻撃者のツール、手法、意図に関係なく、攻撃者が対策を回避しようとして攻撃手法を改良するのに適応する必要があり、これをログイン プロンプト、CAPTCHA、MFAでユーザーに不満を持たせずに実現しなければなりません。これには、Webアプリケーション、モバイル アプリケーション、APIインターフェースのオムニチャネル保護、リアルタイムの脅威インテリジェンス、AIによるレトロスペクティブ分析が含まれます。

複数のクラウドやアーキテクチャにわたる可視性と、耐久性のある難読化テレメトリを、集合的な防御ネットワークや高度に学習した機械学習モデルと組み合わせることで、ボット、自動攻撃、不正行為を検出して阻止する比類ない検出精度が得られます。これにより、攻撃者が攻撃手法を改良し、対策に適応しても、緩和策の効果を完全に維持し、最も高度なサイバー犯罪者や国家的攻撃者であっても、正当な顧客の不満を増すことなく阻止することができます。

効果的なボット セキュリティを維持するためのベスト プラクティス ガイドラインを以下にご紹介します。

• ボットのトラフィックをプロアクティブに監視し、脅威に迅速に対応する：定期的に監視することで、組織はWebトラフィックの通常の動作のベースラインを確立できます。パターンの逸脱や異常を早期に検出し、潜在的なボット活動を知らせることができます。早期に検出することで、ボットが重大な被害を引き起こす前に迅速に対応できます。また、脅威の状況は常に進化しており、新しいボット攻撃手法が定期的に出現しています。定期的に監視することで、セキュリティ チームは常に最新の傾向を把握し、新たな脅威が発生したときにそれを特定できます。リアルタイムのインテリジェンスと人が介在するAIを使用したレトロスペクティブ分析を組み合わせることで、防御対策担当者は対策を調整し、ツールの巧妙化を阻止して攻撃者を無力化できます。
• 不審なボット活動を示すリアルタイムのアラートを設定する：ログ記録およびアラート システムを使用して、不審な動作があればただちに通知を受け取れるようにします。ログを定期的に確認して、パターンと潜在的なセキュリティ インシデントを特定します。ボット関連の攻撃が発生した場合に取るべき手順をまとめた包括的なインシデント対応計画を策定します。組織がリスクを分析し、必要な保護策を採用できるよう、多くのベンダーが継続的な監視と脅威に関する定期的なブリーフィングを提供しています。
• セキュリティ パッチを適用するための体系的な実践方法を開発する：セキュリティ パッチとシステム アップデートを迅速に適用することで、組織は既知の脆弱性を標的とする悪質なボットによる悪用のリスクを軽減できます。また、システムに定期的にパッチを適用すると、攻撃対象が減少して、ボットが未公開の脆弱性を悪用することが難しくなり、ゼロデイ エクスプロイトに対する保護が強化されます。多くのボットは、ソフトウェアの脆弱性や弱点を悪用するのではなく、内在する脆弱性を標的にし、ログオン、アカウントの作成、パスワードのリセット機能などの重要なビジネス ロジックを悪用していることに注意しなければなりません。

悪質なボット攻撃がますます巧妙化、悪質化、危険化する中、ボット セキュリティも常に進化し、脅威とその緩和策の進化が止まることはないという認識の下で、サイバー犯罪者とセキュリティ チームの間で拡大し続ける熾烈な戦いにおいてレジリエンスが維持されています。

ボットの脅威を軽減する最善の方法は、変化する攻撃ベクトルに対処し、脅威が実行される前に脆弱性と脅威を特定して対応できるように、多層セキュリティ アプローチを採用することです。組織がボットの影響に対処できるようプロアクティブに備えることで、知的財産、顧客データ、重要なサービスを自動攻撃から保護することができます。

F5 Distributed Cloud Bot Defenseは、Webアプリケーション、モバイル アプリケーション、APIインターフェイスのオムニチャネル保護など、リアルタイムの監視とインテリジェンスを提供して、組織を自動攻撃から保護します。またDistributed Cloud Bot Defenseは、リアルタイムの脅威インテリジェンス、AIを活用したレトロスペクティブ分析、Security Operations Center（SOC）の継続的な監視により、最先端のサイバー攻撃を阻止するレジリエンスを備えたボット緩和対策を提供します。F5のソリューションは、攻撃者がどのように手段を変えても、攻撃対象がWebアプリケーションからAPIに変わっても、あるいはテレメトリのなりすましやヒューマンCAPTCHAソルバーを使用して自動化対策を回避しようとしても、その有効性を失いません。

F5はまた、高度なオンライン セキュリティのための多層的なDDoS対策も提供しています。これは、ネットワーク、プロトコル、アプリケーションを標的とした大規模攻撃をリアルタイムで検知して軽減する、クラウド提供型のマネージド サービスで、オンプレミスのハードウェア、ソフトウェア、ハイブリッド ソリューションでも同じ保護機能が提供されます。F5 Distributed Cloud DDoS Mitigationは、レイヤ3とレイヤ4のアプリケーション固有のボリューム型攻撃や高度なレイヤ7攻撃を、ネットワーク インフラストラクチャやアプリケーションに到達する前に防御します。