Eコマース/ゲーム/金融/チケット販売/ポイントサイトのセキュリティ担当なら知っておきたいボット対策
現在、詐欺が最も行われているのは、小売業で使われるWebチャンネルです。攻撃者は、これまでよりもインターネット上のアプリケーションを悪用しています。
エンタープライズの管理者は、詐欺を企てる攻撃からアプリケーションを守る事が急激に難しくなっていることを認識しています。
全ての攻撃の90%以上は、高度に洗練された自動ボットにより発生しています。
しかもそのボットは、シリコンバレー風なスタイルの仕組みの上で、違法なボット工場で設計・開発されているのです。しかも、それらのボットは広く素早く広範囲に配布されるように設計されています。ほとんどのサイバーセキュリティ専門家を凌ぐペースで広がってしまいます。”
Source :
2021 BOT Management Trends – ESG April 2021
F5が、実際に分析したデータをご紹介します。※全て実在するサイトのアクセスデータです。
流通業は91%のアクセスがビジネスには関係のないアクセス、航空会社のオンライチケットサイトでは79%が関係のないアクセスでした。アメリカの大手銀行のモバイルアプリのアクセスからは、64%が不要でした。(モバイルアプリからのアクセスでも不正アクセスが多いことが伺えました。)
想像しているよりも、多くの不正アクセスがあるなと感じたのではないでしょうか?そもそも、セキュリティ担当者であっても、担当しているWebサイトにどれぐらいの不正アクセスがきているのか把握するのは非常に難しいのです。
すでに流出している個人情報・クレジットカード情報を悪用し、不正な会員登録が行われています。セキュリティ部門で気付けなかった場合、正規アカウントとして注文を受け付けてしまいます。お客様からのクレームで初めて気付く事も多く、ログを解析する時間、外部の専門家への依頼、カスタマーサポート部門との煩雑な調整、ビジネス担当者からの信頼を失うなどの問題が起こります。
「人気のゲーム機器や数量限定の商品が発売と同時に売切れて、転売サイトに高額出品されてしまった。どうにかしてくれ!」と、セキュリティ担当者の責任を問われることが多くなってきました。行き過ぎた転売行為は社会的な問題にもなっており、カスタマーから怒りのクレームがくることも珍しくないのでサポート部門の問題としても切実です。
こうした買い占めbotはかなり一般的、スクリプト言語を使って、GUIでログインや購入、支払いなどができるなど高度化されており、セキュリティ部門とビジネス部門が連携した対応が急がれています。
データを他の場所で再利用するために、Botを使用してターゲットとなるサイトから大量のデータを収集する事が一般的です。スクレイピングは、リクエストのソース、目的、頻度に応じて、正当なものから悪質なものまでさまざまです。例えば、競合他社からの日々の価格スクレイピングはビジネス上不要なアクセスです。ビジネス部門からの要望により、主要なEコマースサイト、オンラインチケットサイト、SNS、金融情報の提供サイトなどは、スクレイピング対策をするのが一般的になってきました。
ECサイトのアカウントにひも付く「ポイント」、航空会社の「マイレージポイント」なども不正の標的になっています。クレジットカードの入出金の明細には気を付けていても、ポイント残高にまで気を配っている人はそう多くない。そこが不正アクセスする側の狙い目。ポイントを使って直接、商品を不正購入されることもあるが、乗っ取られた航空会社のアカウントの貯まったマイルに値段を付けて販売されていることもある。 “ポイントロンダリング”と呼ばれる手法。ポイントを別の共通ポイントに移行し、追跡を難しくした上で現金化するケースも多い。
オンラインサイトにとって、重要な課題となるのがシステムのレスポンススピード。遅くなればなるほどユーザが離れてしまい、サイトからの収益化を妨げます。インフラ管理者は常にシステム負荷を監視する必要があります。不正アクセスの増大により負荷が上がり、「ページ表示が遅い、システムダウン」を防ぐためには、サーバや回線などのインフラ増強に投資を強いられてしまいます。大量で不要な不正アクセスを処理するために投資するのは避けなければいけませんが、そもそもどのトラフィックが不正かを判断できないケースが多く、知らないうちに無駄なコストを強いられているケースも多くあります。
金融機関、クレジットカード会社等においては、不正なアカウントの開設、流出したクレジットカード情報を使っての申込みなど、さまざまな不正が起きています。
社内で蓄積されている審査ノウハウをつかう、アクセス元の端末を識別する、アクセスするロケーションを分析するなどの対応を迫られています。また、近年ではログインするときに二要素認証、画像を使ったCAPTCHA認証などの対策を実施していますが、簡単に突破されたり、過度の認証強化が使い勝手を下げてしまっており、効果的な対策が難しいのが実情です。
「いま使っているWAFで、ボットは止められないのか?」これは、多くのセキュリティ管理者が思い浮かべる疑問です。
WAFは、アプリケーションの脆弱性を狙ったリクエストを検知・ブロックするために用いられます。
一般的にWAFはブラックリストとホワイトリストの2タイプのポリシーを使います。
ブラックリストとは、不正なトラフィックをシグネチャとしてデータベース化しポリシーとして内部に保持し、パターンマッチングを行うことで脆弱性を狙った通信か否かを判別します。
ホワイトリストとは、アプリケーションにとって正しいリクエストの中身をポリシーとして保持します。例えば、アプリケーションで想定していないURLへのアクセス、想定を超えるデータサイズをPOSTされたときなどは、ホワイトリストのポリシーから逸脱するため遮断します。
一方、ボットからのリクエストは、アプリケーションの脆弱性を狙ったりするわけではなく、「通常の正規ユーザが行う操作に似せたリクエスト」を送信するのでWAFのポリシーから逸脱するわけではないので検知できません。
例えば、ボットが行う「流出したID/パスワードを使ってログインし、商品を購入するリクエスト。」 「悪意を持ちながら、会員登録するリクエスト。」「悪意を持ちながら、大量に特定商品を購入するトラフィック」等は、正規のトラフィックパターンとなんら変わりなく、WAFのポリシーでは正規なトラフィックとみなされます。
「これまで使ってきたCAPTCHAは、ボット対策として有効ではないのか?」 これは、多くのセキュリティ管理者が思い浮かべる疑問です。
CAPTCHA (キャプチャ) とはボットやマルウェアからのWebアプリの侵入を防ぐために開発され、今日でも多くのWebサイトでボットによるパスワードリスト型攻撃など自動化された攻撃を防ぐ目的で導入されています。
CAPTCHAは、文字を識別するようユーザに要求を出します。 ボットでは文字を識別できないように、文字は曲がって表示されます。 要求をパスするために、ユーザは歪曲された文字を読み、正しい文字列を入力し送信する必要があります。 人間は、様々なフォントタイプや筆跡などの文字を見て理解することに慣れているため、歪曲された文字でも解釈できます。一方、ボットのようなコンピュータープログラムには解釈できない為、CAPTCHAで人間なのかボットなのかを識別できるという考えに基づいています。
しかし、CAPTCHAを突破するサービスが普及しており、攻撃者にとっては手間なく突破できてしまうのが現実です。CAPTCHAを突破する方法として最もよく使用されている手段としてCAPTCHA解決サービスがあります。発展途上国などの人を低い賃金(1日に5000個ものCAPTCHAを解決しても、たった2ドルほどの報酬だと言われる)で活用し、人手を使って突破します。代表的なサービスとして、 DeathbyCAPTCHA・2Captchaなどがあります。
攻撃者はこのCAPTCHA解決サービスを購入し、APIを介してボットと連携し効率化し、簡単にCAPTCHAを突破しています。
また、あなたも一度でCAPTCHAを解決できず「めんどぐさい。。」と感じた経験がありますよね。CAPTCHAを導入することによって、ユーザ側の使い勝手を落としてしまうため、ユーザの離脱が増えることでサイトの売上減少につながるなどビジネス的にも得策ではありません。
ボットの自動化ツールが進化しており、高度に“人”が操作したものに近い形で送信されています。
識別するには、リクエストデータそのものから得られる情報ではなく、クライアントデバイスが生成するシグナル情報(マウスの動き、タイピングスピード、
ログインしてから購入するまでの時間、ユーザのロケーションなど)を多角的な視点から収集し、AIや機械学習を使って振る舞いを分析する技術を使う必要があります。
また、攻撃者は、一度 検知されるとしつこくそれを回避しようとするツールを開発するため、
新しいシグナル取得の開発やシグナル情報を利用した検知ルールを継続的に調整する必要があります。
ボット通信を止めるには、粘り強く、そのルールのメンテナンスが行える仕組みや運用を考える必要がありますので、自社内ではなくアウトソースするのが現実的なのです。
ボット
OS、ブラウザ
VPN利用
使用AS番号
Webglレンダリングサイクル
Webgl VM利用
デバイスID
タイムゾーン
環境のなりすまし
UserAgentの矛盾
アプリとの親和性
キーボード ショートカット
コピー & ペースト
タイピングパターン
自動入力の利用
スクリーンの利用
デバイスの活動
購入行為
ユーザジャーニーのプロファイル
ログイン活動
支払い行動
アカウント変更
図1. 人間か、ボットか?ML/AIによる推論
ボットを識別するにはクライアントの「ふるまい」をデータ化・収集し、分析する仕組みが必要です。
具体的には、クライアントのネットワーク環境、ロケーション・タイムゾーン、ログイン・購入・サインアウトまでの一連の流れ(固有のテレメトリー情報。上記の図参照)を収集し、AI/MLの技術が用いて分析します。
例えば、人がキーボードで文字を入力するとき、キーを打つタイミング、間隔は不規則になりますが、自動化されたボットプログラムの場合は規則性があります。マウスの挙動も、ボットの場合は人間と比べて軌跡が直線的だったりと違いが出ます(参考:図1)
そうした動きの特徴から、ボットなのか、正規のユーザなのかを判別します。
F5 Distributed Cloud Bot Defenseで、99%の攻撃をブロックします。そして、詐欺そのもの、詐欺による損害を減らすことができます。
ユーザに良質なデジタル体験をしてもらうことで、あなたのビジネスへの信頼をより強いものに変えてくれます。
eコマースやオンラインショップで多発しているクレデンシャルスタッフィング攻撃。F5 Distributed Cloud Bot Defenseは、なぜ「なりすまし」を検出し、お客様のアプリケーションを保護することができるのか。解説動画を是非ご覧ください。
不正なボットを特定し自動化された攻撃から、Webアプリケーションを守ってくれのが、 F5 Distributed Cloud Bot Defenseです。
JavaScriptとAPIコールを利用し、クライアントから収集したテレメトリー情報をF5がSaaS形式で提供しているボット識別(AI/MLを利用)に送信し、ボットによる不正なアクセスかどうかを判断します。
この仕組みは、ユーザが管理しているトラフィック管理ソリューションの仕組みとF5のSaaSを自在に組み合わせて利用します。組み合わせることができるトラフィック管理製品は、F5 BIG-IP、F5 NGINX(予定)、Cloudflare、Salesforceです。
中でもF5 BIG-IP製品との連携はF5が提供するiAppテンプレートを用いて簡素化されており、簡単かつ柔軟にご利用いただけます。一旦、F5 Distributed Cloud Bot Defenseとあなたの環境を統合してしまえば、アクセスを可視化し、どのアクセスが必要のない自動化され悪意のあるボットトラフィックかを識別し、排除することができます。
ボット検知のルールのメンテナンスはF5で行いますので、お客さまの運用負荷を下げることができます。
他社ソリューションの場合、検知ルールのメンテナンスはユーザ自身で行うか、プロフェッショナルサービスを利用した有償によるメンテナンスが必要となります。
ボットプログラムは絶えず進化しているため、不正なリクエストパターンをユーザ自身で分析して、検知ルールをメンテナンスして運用するのは現実的ではありません。
また、設定も簡単なのでユーザで導入でき、かつダッシュボードを確認することで検知状況が簡単に把握できます。
F5は、これまで多くのお客様を保護していた経験から自動化されたボットトラフィックの分析や傾向についてのノウハウを貯めています。
検知の精度の高さを左右するのは、クライアントデバイスから収集するテレメトリー情報を収集・分析し、ルールを追加し運用し続けることができるかにかかっています。F5では、必要に応じて新しいシグナル情報を追加してルールをメンテナンスしています。
こうした地道な運用により「正規のアクセスを止めてしまう」、あるいは「不正なアクセスを通過させてしまう」という誤検知を少なくすることを実現しています。
既存の環境に依存しないように、幅広いプラットフォームと連携しています。ユーザが管理しているF5 BIG-IP, F5 NGINX(予定)、Salesforce Commerce Cloud、CloudFlareなど幅広い環境向けに連携できるように努力しています。今後も、継続的連携可能なプラットフォームを拡張予定です。
業種:小売業 (スーパーマーケット 家庭用品 家具 アパレル ベビー用品 プライベートブランド)
売上規模:5兆円
従業員数:20万人
オンライン売上:2,500億円
採用サービス: Bot Defense (Enterprise版)、Account Protection
<ポイント>
・2018年末クリスマスシーズンに発生したCredential Stuffing攻撃対策のためにF5 Bot Defenseを採用
・リツールを繰り返す自動攻撃の制御に加え、人による手動攻撃制御のためAccount Protectionを追加
・新しい攻撃を常時監視、ルールのカスタマイズ、誤検知調整を迅速に行うF5の運用体制に大満足
・「SPM(ダッシュボード)を特に気に入っている。可視性があり、対策効果がわかりやすい。」
- 年間数千万件発生する巧妙な攻撃から顧客の個人情報を保護 -