ボットの台頭(ダン・ウッズ Q&A パート 2)
嘘を広めたり、ソーシャルメディアのユーザーを操作したり、世界的なビジネスを混乱させたりと、ボットはますますホットな話題になっています。
F5 のグローバル インテリジェンス責任者である Dan Woods 氏との Q&A の第 2 部では、ボットの動作、注意すべきリスク、組織が進化する脅威に適応する方法について検討します。 (パート1へのリンク)
ボットとは何ですか? なぜ潜在的に危険なのでしょうか?
ボットはタスクを自動化するコードスニペットです。 ギフトカードの残高を確認することがその一例です。
なぜこんなことをするのでしょうか? そうです、悪意のある人物がギフト カードに保存されている金額を盗むために必要なのは、16 桁のカード番号と PIN だけです。 上記のボットの修正版を使用して、何百万、何十億ものカード番号と PIN のペアの残高を確認することができます。 残高のあるカード番号と PIN のペアが見つかった場合、それを第三者に販売できます。 ギフトカードの正当な所有者は、使用しようとするまで残高が盗まれたことに気付きません。
ボットは保険会社のウェブサイトをスクレイピングするためにも使用されています。 生命保険の見積もりを希望する場合は、年齢、居住地、職業などを尋ねるプロセスを経る必要があります。 競合他社や第三者はボットを使用して同じワークフローをナビゲートし、毎回異なる回答を提供することができます。 これにより、保険会社の価格設定アルゴリズムをリバースエンジニアリングすることが可能になります。
最も大きな問題の 1 つは、ダーク ウェブや企業での侵害により漏洩したユーザー名とパスワードを悪意のあるボットが使用して、他の企業のログイン アプリケーションに対して試行することです。 消費者はユーザー名とパスワードを再利用する傾向があるため、これらの攻撃では通常、試行されたアカウントの 0.1 ~ 3.0% 以上が攻撃対象となります。 したがって、悪意のある人物が何億ものユーザー名とパスワードの組み合わせを試行すると、最終的には数千万のアカウントが侵害されることになります。
その他の破壊的な例としては、ボットが期間限定のスニーカーやコンサートのチケットを発売から 30 秒以内に大量に購入し、二次市場で高値で転売するといったことが挙げられます。 あるいは、企業がオンライン アカウントを開設すると無料のコーヒーなどの価値のあるものを提供する場合、ボットは何千ものアカウントを作成し、何千杯もの無料のコーヒーを楽しむことができる可能性があります。 あるいは、犯罪組織がマネーロンダリングを行うために、多くのオンラインアカウントを必要とするのかもしれません。
すべてのボットは悪いのでしょうか?
すべてのボットが悪いわけではありません。 たとえば、Googlebot は検索を可能にするために数十億の Web サイトをスクレイピングしてインデックスを作成します。 Kayak やその他のオンライン旅行代理店は、多くの旅行会社の航空運賃やホテル料金を収集し、顧客に最もお得な料金を提供しています。
ボットがソーシャルメディア企業に与える影響はどうでしょうか?
数年前、あるソーシャル メディア企業は、自社の Web アプリケーションやモバイル アプリケーションに対して活動しているボットをより深く理解するために F5 と契約しました。 インラインでクライアント側のシグナル(ボットの識別に役立つシグナル)を展開したところ、ログインの 90% 以上がボット関連であることが判明しました。 ログイン成功率の高さと顧客との話し合いに基づき、これらのアカウントはスイートハート詐欺に関連していることが判明しました。 残念ながら、一部のソーシャル メディア企業は、ボット トラフィックに関する真実を知ることに興味がありません。真実を知ると、DAU や株価/評価に悪影響が出るからです。
ボットはどのようにして世論に影響を与え、ソーシャル メディア ユーザーを操作できるのでしょうか?
悪意のある人物が何百万もの Twitter、TikTok、Facebook、Instagram のアカウントをプログラムで制御した場合、どのような影響力を発揮できるか想像してみてください。 まず、大量のニュースやコンテンツを拡散して世論に影響を与えることができるようになります。
過去 6 ~ 7 年間、インライン化前のインセンティブ、手段、および有効な対策の欠如を目にしたときはいつでも、インライン化後に期待した自動化が常に観察されました。 政治や国家の関係者がソーシャル メディア プラットフォームを利用して世論や選挙にまで影響を与えていることに、私は疑いの余地はありません。
誰もが影響を受けやすい。 他の人よりも多くあります。 コメディアンがジョークを言って、あなたが笑わなかったとしても、他の人はみんな笑っていたら、そのジョークが本当に面白いと信じ始めるかもしれません。 これが、シットコムで笑いトラックが使われた理由です。 感受性が強い人ほど、仲間からのプレッシャーに基づいて意見を変える可能性が高くなります。たとえその仲間が実際にはボットであってもです。
なぜ企業はボットの問題を過小評価するのでしょうか?
多くのボットは詐欺により損失を増加させます。 しかし、被害はそれだけではありません。ボットの量によっては、トランザクション数に基づいて課金される CDN や不正ツールに関連するコストも増加する可能性があります。 さらに、レイテンシーに悪影響を及ぼし、正当な顧客のユーザー エクスペリエンスを損なう可能性があります。 歪んだ指標は企業の支出や意思決定にも悪影響を及ぼす可能性があります。
ほとんどの企業は真実を知りたいと思っています。 F5 を利用する人は真実を知ることになりますが、DIY プロジェクトとしてボットを検出しようとする人は、いくつかの理由から、ほとんどの場合、問題の大きさを過小評価しています。
まず、ボットは現在、数十万、あるいは数百万もの IP アドレスを使用しています。 セキュリティ チームは通常、最もノイズの多い上位数百または数千の IP を特定できます。 ただし、ボットが数回しか使用しない IP のロングテールは見逃してしまいます。 第二に、ボットからの攻撃は時間の経過とともに徐々に現れることが多いため、認識が難しくなり、有機的な成長と混同されやすくなります。 F5 と連携した後、組織は結果に衝撃を受け、信じられないと感じることがよくありますが、データを見るとすぐに信じるようになります。
組織は、サイト上のボットの問題を軽減するために何をすべきでしょうか?
2 つの点: クライアント側の信号 (ユーザー、ユーザー エージェント、デバイス、ネットワークから) を収集する必要があり、2 段階の防御が必要です。
クライアント側のシグナルの例には、キーストロークやマウスのクリック/移動のタイミング、プラグイン、フォント、画面の使用率、コアの数、ユーザーエージェントが浮動小数点演算を実行する方法や絵文字をレンダリングする方法などがあります。
何百、何千もの信号は必要ありません。 偽装が非常に困難な、数十個の高品質信号だけが必要です。 これらのシグナルは通常、Web およびモバイル ブラウザーの JavaScript と、ネイティブ アプリと一緒にインストールされた SDK を使用して収集されます。Web 上で攻撃者が攻撃を緩和すると、攻撃者はモバイル API への攻撃に移行します。JavaScript と SDK も、リバース エンジニアリングを極めて困難にするために十分に強化する必要があります。
それでは、防御の2つの段階を見てみましょう。
最初の段階はほぼリアルタイム (10 ミリ秒未満) で、単一のトランザクションに関連付けられた信号を活用します。 望ましくないボットであることが示された場合は、軽減措置を講じてください。 シグナルがトランザクションが人間からのものであることを示している場合は、通常の処理のために送信元に渡します。 この最初の段階ではほぼすべてのボットを識別しますが、ツールの再構築(攻撃者が攻撃が緩和されていることに気づき、対抗手段を克服するためにボットを改良することを決定した場合)には対応できません。
組織が第 2 段階の防御を必要とするのは、再編成のためです。 最初の段階はほぼリアルタイムですが、2 番目の段階は遡及的です。 これは、AI/ML モデルが集計トランザクション (過去 30 秒、1 分、1 時間、1 日、数日などに到着したすべてのトランザクション) に対して動作する場所です。 それでも、組織は AI/ML だけに頼ってツールの再構築を行うことはできません。 誤検知を排除するために、AI/ML システムによって発せられたアラートを人間が確認する必要があります。 AI/ML モデルが正しく学習していることを確認します。 組織が第 2 段階で不要なボット トラフィックを発見した場合、正当な顧客からのトラフィックに影響を与えずに、新たに発見されたボット トラフィックを軽減するために、リアルタイム防御を更新できる必要があります。
F5 は、AI/ML と人間の両方の防御段階をマネージド サービスとして提供します。 ボットとの戦いは決して DIY プロジェクトであってはなりません。
ボットの脅威はさらに悪化するのでしょうか?
定量化することは不可能ですが、ボットの問題は過去 6 ~ 7 年で確実に増加しています。 この間、悪意のある迷惑ボットが事実上あらゆる業種の企業に対して自動化攻撃を開始するのを目にしてきました。 すべてのユースケースを見たと思ったら、新しいユースケースが現れます。 ボールから目を離すなんて絶対に許されません!