ボット(bot)攻撃対策の勘所
~攻撃の種類から対策方法まで解説~
本記事は、「ボットとは何か知りたい」、「ボットによる不正アクセスからWebサイトをもっと簡単かつ安全に守りたい」、「AWSを利用した場合のコストを削減したい」という方にヒントになる部分が必ずあると思いますので、ぜひ読んで頂けますと幸いです。
「ボット (bot) とは?」
高度化、多様化が進むなか改めて確認したいボットの定義
近年、急速に利用が拡大し、企業への導入も進むチャットボット。インターネット上で翻訳サービスを提供するもの、パーソナライズされたショッピングアシスタントの役割を担うものなど、新しいユーザーエクスペリエンスを提供するこうしたボットは、いわば善意のボット、良いボットといえるでしょう。
AIやディープラーニングなどの技術が進化したことで、「自動的に作動して情報の検索や検出を行うことを目的としたコンピュータプログラム」というボットの定義も、いささか古くなってきているのかもしれません。
良いボットには、チャットボットの他、さまざまなWeb サイトから情報を収集するクローラ、アクセスの多いサイトを検索ページの上位にリストアップするなどサーチエンジンの最適化を行うプログラム、人間に代わって特定の処理を行うタスクボットなどが含まれます。
近年普及が進むRPA(Robotic Process Automation)もタスクボットの一つです。
こうした良いボットに対して、悪いボットも存在します。悪いボットの多くは不正プログラムであり、C&Cサーバーから攻撃者がネットワークの感染環境を利用し、ウイルス感染のようにコンピューターを遠隔操作するというものです。不正利用を目的として競合他社の情報を取得するスクレイパボット、Web サイトに過剰アクセスしサービス停止を図るDDoS攻撃用のボット、マルウェア感染による不正送金を狙うフラウドボットなどは、いうまでもなく悪いボットでしょう。
ウイルスのように企業のシステムに攻撃を行うボット(bot)攻撃によって、企業は個人情報や会社情報の漏洩リスクと常に隣合わせです。企業はその脅威に対し対策を実施する必要があります。
必要なのは、良いボットの活動を阻害することなく、悪いボットを阻止することですが、さまざまなユーザーデバイスからの侵入、家庭用ルータやWebカメラなど外部のIoT機器デバイスからの侵入に加え、アンダーグラウンドのネットワークで入手したツールを使って、瞬間的に大量のインスタンスを作成したうえでDDoS攻撃を仕掛けるといったパターンもあり、ネットワーク監視・対応は困難になりつつあります。
F5がテスト用のWebサーバで実施した調査では、訪れるトラフィックの約3割がネットワークスキャナやHTTPライブラリなど、いわゆる不正ボットでした。ギャンブル系のサイトなど、金銭を取り扱うサイトでは、訪れるボットの50%以上が悪いボットだったという調査結果も公開されています。
それは「良いボット」か、「悪いボット」か?
正確に判断した上で対策が必要
Webアプリケーションセキュリティに関する研究やガイドラインの作成、脆弱性診断ツールなどの開発、知識継承や啓蒙のためのイベント開催等を行う OWASP(Open Web Application Security Project)によれば、悪いボットによるサーバー攻撃は、Webサイトのログイン画面でスタッフィングを繰り返してアクセス権を取得するクレデンシャルスタッフィング攻撃、ランダムな入力を行うことでクレジットカードのセキュリティコード(CVV2/CVC2)を取得しようとするカーディング、偵察ツールを利用した脆弱性スキャン、プレミア商品などの買い占めや転売などを目的としたスクレイピングなど、21種類に分類できるとされています。
こうした多種多様な悪いボットに対して、どのような対策を行えばいいのでしょうか。求められるのは、正規な人間によるアクセスなのか、良いボットなのか、悪いボットなのかを見極め、悪いボットからのアクセスだけを防ぐこと。
一般的にはアプリケーションにボットなのか人間なのかを判断するロジックを埋めこむセキュアコーディングや、新種のボットの通信を発見するパーソナルファイアウォールの導入、I Pブラックリストに基づいた通信の遮断などが有効とされていますが、日々進化するボットにアプリケーションごとに対応するためのコーディングは作業負荷の増大を招いてしまいます。また、プロキシを経由させるなどIPを頻繁に変更するボットも多く、ジオロケーションも広範囲にわたるため、IPアドレスベースの対策、国別情報による対策では、十分ではないと考えるべきだと言えるでしょう。
ボット(Bot)攻撃とは?
ボット攻撃の種類
IDパスワードリスト型攻撃
不正取得したIDとパスワードの組み合わせを利用してログイン試行しアカウントを乗っ取る不正アクセス。
フィッシング
マルウェアなどをフィッシングサイトからインストールさせてデバイスで常駐しSMSを傍受してワンタイムパスワードの不正取得などを行う。
ギフトカードクラッキング
残高があるオンラインギフトカードのカード番号の取得を狙ってカードの残高を表示するアプリケーションが狙われる。
スクレイピング
Webサイトのコンテンツの中から特定の情報だけを抽出・取集する。botが、Webサイトとまるで人間のユーザーであるかのように対話しながら行うのが特徴
Application DDOS Attack
競合他社などにダメージを与えるためにサービスの停止を引き起こすアクセスを行う行為。
買占め行為
時間に合わせて大量に購入できるようにツールやプログラムを利用して自動でリクエストを生成する攻撃。
基本対策:WAFによる対策
DDoS攻撃、SQLインジェクション、ブルートフォース攻撃などサイバー攻撃を防御するのがWAF(Webアプリケーションファイアーウォール)です。従来のファイアーウォールでは、IPアドレス、ポート番号による通信制御をしていましたが、WAFは、Webアプリケーションのレベルでアクセス管理をすることができます。
課題①:より包括的なアプローチが必要
WAFで対策が可能な基本機能以外にも、新しい脅威となる巧妙な自動化されたリクエスト(Botからのリクエスト)の脅威や、モバイルの活用範囲の拡大により新たな攻撃対象となっているWeb APIのセキュリティーに関して包括的な対策が必要になります。
課題②:IT側とビジネス側の双方の利害の対立
IT部門では認証などの本人確認を強化して不正アクセスを防ぐ施策を行いたいと思う一方で、ビジネス部門は複雑な登録作業や操作を行うと利便性が悪くなりユーザーの操作性が低くなることを懸念する場合が多く、双方の利害の対立が課題として挙げられます。そのためボット対策では操作の容易性も考慮しかつセキュリティーも担保した本人確認をどのように実装していくかが重要になります。
ボット(Bot)攻撃への対策
F5のボット攻撃対策ソリューションをご紹介
~Distributed Cloud Bot Defense~
F5が提供するボット攻撃対策ソリューションDistributed Cloud Bot Defenseでは、攻撃の検知精度が高く誤検知も最小限に抑えます。またボット検知のルールはF5が行うため運用に関するコスト、工数を最小化。幅広いプラットフォームとの連携しており既存環境に依存しない導入を可能とします。
導入のメリット
F5 Distributed Cloud Bot Defenseは、高いセキュリティ機能の実現はもちろん、優れた柔軟性により既存アプリケーションへの影響やユーザーの操作性への影響を最小限に導入が可能です。
リツールを繰り返す自動化アクセスを
お客様に代わって徹底的に
検知・ブロック
既存のアプリケーションへ
のわずかな変更で導入可能
トラフィック分析による
高度なBotによる
不正アクセスからの防御
ユーザ操作性への影響なし
PUMA North America と F5 Squash Bot、最新のレジェンダリー キックをご覧ください
スニーカーボットは新製品の発売を妨害し、顧客を失望させ、一度に何時間もサイトをダウンさせていました。 F5 Distributed Cloud Bot Defenseは、それらの攻撃者をシャットダウンしました。
製品・ソリューションに関する ご相談・お問い合わせ
