ボットセキュリティとは何ですか? インフラストラクチャの保護

ボット セキュリティとは、オンライン コマースを促進したり、Alexa や Siri などのパーソナル アシスタントとして機能したり、Web サイトで顧客サービスを自動化するチャットボットとして機能する良質のボットに影響を与えることなく、悪意のあるボットから保護し、オンライン リソースの整合性と可用性を確保する方法です。

悪意のあるボットは、データを侵害し、サービスを妨害し、さまざまな方法でビジネスに損害を与えることで、デジタルエコシステムに重大な脅威をもたらします。 

ボットはシステムに侵入し、個人データ、財務記録、知的財産などの機密情報を盗み出すようにプログラムできます。ボットは、資格情報ベースの攻撃に使用される主要なデジタル ツールです。 ボットはデータベースやストレージ システム内のデータを操作または変更する可能性があり、金銭的な損失や不正確な記録につながる可能性があります。 

ボットはオンライン サービスやシステムを混乱させるためにも使用されます。 犯罪者は、接続された複数のデバイスから大量のボットを誘導して、分散型サービス拒否 (DDoS) 攻撃で Web サイト、サーバー、またはネットワークを圧倒し、対象ユーザーがサービスにアクセスできないようにすることができます。

ボットの活動は、ブランドの評判を傷つけ、在庫を操作し、金融詐欺につながるアカウント乗っ取り (ATO) を可能にすることで、企業の経済的成功に深刻な損害を与える可能性もあります。

サイバーセキュリティの観点では、ボットには主に悪意のあるボットと防御的なボットの 2 種類があります。

サイバー犯罪者は、悪意のあるボットをプログラムして、Web プロパティやアプリケーション全体の攻撃対象領域を悪用しようとする、さまざまな創造的、複雑、かつステルス的な攻撃を開始します。 これらのボットは、人間の介入なしに動作するように設計されており、マルウェアの拡散、DDoS 攻撃の実行、機密情報の盗難、詐欺行為への関与などのタスクを実行することがよくあります。 悪意のあるボットはネットワークに侵入し、データの整合性を損ない、サービスを妨害する可能性があり、重大なサイバーセキュリティの脅威をもたらします。 彼らの行為は、ソフトウェアの脆弱性を悪用することからソーシャル エンジニアリング攻撃の実行まで多岐にわたり、最終的な目的は、危害、金銭的損失、またはシステムや機密情報への不正アクセスを引き起こすことです。

防御ボット制御は、コンピュータ システム、ネットワーク、Web プラットフォームをさまざまなセキュリティの脅威や攻撃から保護するために設計された自動化されたプログラムとメカニズムの別名です。 これらのボットはさまざまな方法で動作し、デジタル資産を保護し、情報の整合性、機密性、可用性を確保します。

これらの防御自動化には、シグネチャベースの検出、動作分析、ヒューリスティックを使用して既知のマルウェアに関連するパターンと動作を識別するウイルス対策ボットが含まれます。 防御ボットはファイアウォール保護の一部としても使用され、データ パケットを分析して、トラフィックを許可するかブロックするかを決定する事前定義されたセキュリティ ルールを適用することにより、受信および送信ネットワーク トラフィックを監視します。 特に、Web アプリケーション ファイアウォール (WAF) には動作分析が組み込まれており、機械学習による自動保護を提供する高度なボット管理コントロールと統合できます。 

侵入検知および防止システム (IDPS)も防御ボットを採用し、特定の IP アドレスのブロック、ファイアウォール ルールの変更、セキュリティ担当者への警告など、応答を自動化し、脅威インテリジェンスを活用することで、セキュリティ インシデントを積極的に特定して防止します。 防御ボットは、DDoS 攻撃に関連するパターンを識別し、サービスの可用性を維持するための対策を実施することで、ボットネットに関連する悪意のあるトラフィックをフィルタリングして迂回させることもできます。 これらのアクションには、ファイアウォール ルールを動的に更新して攻撃元からのトラフィックをブロックし、悪意のあるボットがネットワークにさらにアクセスするのを防ぐことが含まれる場合があります。

ボット攻撃はさまざまな形をとり、さまざまな種類の組織を標的とする可能性があります。 

• クレデンシャルスタッフィング。 ボット攻撃の最も一般的な形態の 1 つは、クレデンシャル スタッフィングです。これは、さまざまな種類の詐欺の主なベクトルであるアカウント乗っ取り (ATO)につながります。 このサイバー犯罪のワンツーパンチは、ユーザー認証情報（通常はユーザー名とパスワードのペア）の盗難または収集から始まります。 これらは、さまざまなサイバー攻撃やサイバー犯罪の手法によって盗まれたり、ダークウェブのマーケットプレイスで購入されたりする可能性があります。 攻撃者が有効な認証情報を大量に収集すると、侵害された認証情報を大量に別のサイトの Web サイトのログイン フォームに対してテストすることで、多くの場合は大規模な認証情報の詰め込みプロセスを開始できます。 消費者の約 3 分の 2 が複数の Web サイトで同じユーザー名とパスワードを再利用しているため、侵害された認証情報はサイバー犯罪者やその自動ボットの軍団によって簡単に悪用されます。侵害された認証情報の多くは、他のサイトのアカウントへのアクセスにも使用されます。 攻撃者がアカウントを乗っ取ると、資格情報を変更して正当なアカウント所有者を締め出し、資産を流出させ、アカウントを使用してさらなる詐欺行為を犯す可能性があります。
  
• コンテンツスクレイピング。 コンテンツスクレイピングにボットを使用すると、正当な影響と有害な影響の両方が生じます。 コンテンツ スクレイピングでは、自動化されたボットを使用して対象の Web サイトから大量のコンテンツを収集し、そのデータを分析したり、他の場所で再利用したりします。 コンテンツ収集は、価格の最適化や市場調査などの有益な目的に使用できますが、価格操作や著作権で保護されたコンテンツの盗難など、悪意を持って使用される可能性もあります。 さらに、コンテンツ スクレイピング アクティビティのレベルが高いと、サイトのパフォーマンスに影響が及び、正当なユーザーがサイトにアクセスできなくなる可能性もあります。
• DDoS攻撃。 DDoS 攻撃の本来の目的は、サイトのパフォーマンスを低下させることです。DDoS 攻撃では、犯罪者が複数のソースから大量のボットを組織したり、ボットネット (攻撃者の制御下にある侵害されたコンピューターやデバイスのネットワーク) を組織したりします。 攻撃者はこれらの複数のソースを調整して、ターゲットに対して同時に攻撃を開始し、ターゲットが過負荷状態になり、使用不能になります。 DDoS 攻撃は深刻な結果をもたらす可能性があり、オンライン サービスの可用性と整合性が損なわれ、重大な混乱が生じ、金銭的損失、恐喝、評判の失墜につながる可能性があります。
• 在庫の買いだめ。 購入ボットとも呼ばれる再販ボットは、オンライン商品やサービスが販売開始と同時に大量に購入するために導入されます。 チェックアウトのプロセスを瞬時に完了することで、犯罪者は貴重な在庫を大量に掌握し、通常は二次市場で大幅な値上げをして転売します。 これらのボットにより、犯罪者は在庫や価格をコントロールできるようになり、人為的な品不足、在庫の拒否、消費者の不満につながります。  
• 偽のアカウントの作成。 サイバー犯罪者はボットを使用してアカウント作成プロセスを自動化し、偽のアカウントを使用して、製品レビューへの影響、虚偽の情報の配布、マルウェアの拡散、インセンティブまたは割引プログラムの悪用、スパムの作成と送信などの不正行為を実行します。 同様に、犯罪者はボットをプログラムしてクレジットカードやローンを申請し、金融機関を欺くこともできます。
• ギフトカードのクラッキング。 攻撃者はボットを展開して、何百万ものギフトカード番号のバリエーションをチェックし、価値のあるカード番号を特定します。 攻撃者は残高のあるカード番号を特定すると、正当な顧客がギフトカードを使用する前に、ギフトカードを換金または販売します。 旅行やホテルのロイヤルティ プログラムも、こうしたボット ベースの攻撃の標的となっています。

ボット攻撃は組織のネットワークに重大な悪影響を及ぼし、業務運営に重大な損害を与える可能性があります。 

ボットは Web サイト、データベース、または API から体系的にデータを収集するようにプログラムできるため、データの盗難はボット攻撃の最も深刻な潜在的結果の 1 つです。 このデータには、競争上の優位性の喪失やブランドの評判の毀損につながる可能性のある知的財産、企業秘密、その他の専有情報が含まれる場合があります。 顧客情報の盗難は、データ保護規制への準拠を危うくし、罰金や法的措置につながる可能性もあります。 

ボット攻撃は、サービスを中断させることで組織に重大な損害を与え、金銭的損失や顧客の信頼の失墜につながる可能性があります。 ボットによる攻撃が緩和されない場合の深刻な結果の 1 つは、犯罪者がボットネットを誘導してネットワーク リソースを圧倒し、サービスの中断を引き起こす DDoS です。 

正当な顧客がアカウントから締め出され、取引ができなくなる場合、クレデンシャルスタッフィング攻撃やアカウント乗っ取り攻撃によってもサービスが中断される可能性があります。 顧客が自分のアカウントにアクセスできなくなるだけでなく、侵害されたアカウントを管理している犯罪者がそのアカウントを使用して不正な取引を行う可能性もあります。 

悪意のあるボット攻撃から保護するためのセキュリティ ボット防御を設定するには、いくつかの重要な手順が必要です。 

徹底的な分析を実施して、システムや業界に固有の潜在的なボットの脅威を特定します。 IP 分析などの手法を使用して、送信元 IP アドレスに基づいて着信トラフィックの特性を調べます。 これにより、既知の悪意のある IP アドレスや疑わしい動作に関連するパターンを識別し、ボット トラフィックと正当なユーザー アクティビティを区別できるようになります。 ボットアクティビティに関連する既知の悪意のある IP アドレスの拒否リストを維持します。 

IP アドレスの地理的位置を分析して異常を検出します。通常とは異なる地域からのトラフィックの突然の流入はボットネットを示している可能性があります。 さらに、多くの自律システム番号 (ASN) は、攻撃者が検出を回避するためにキャンペーン用の分散インフラストラクチャを構築するために使用されていることが知られています。 ユーザー エージェント分析を通じて、ユーザー エージェント署名を調べて、要求を行っているクライアントの種類を識別します。 ボットは、一般的なパターンから逸脱した汎用または修正されたユーザーエージェントを使用することが多いため、本物のユーザーと区別できます。 

動作分析を使用して受信トラフィックを評価し、ボットのアクティビティを示す可能性のあるパターンや異常を特定します。 この方法は、人間の行動を模倣しようとする高度なボットに対して特に効果的です。 ボットは正規のユーザーに比べてセッションが短く、変化に乏しい場合が多く、Web サイトやアプリケーションとのやり取りにおいて反復的、迅速、または人間らしくないパターンを示すことがあるため、ユーザー セッションの期間とフローを調べます。 一部の高度な動作分析メカニズムは、マウスの動きとクリックを追跡して、人間による操作と自動化された操作を区別します。

WAF は、Web アプリケーションとインターネットの間の保護バリアとして機能し、データと Web アプリケーションをさまざまなサイバー脅威から保護し、不正なデータがアプリから流出するのを防ぎます。WAF には、悪意のあるボット トラフィックを検出して軽減する機能や、Web スクレイピング、クレデンシャル スタッフィング、自動攻撃などの悪意のあるアクティビティを防ぐ機能が含まれています。 WAF には、定義された時間枠内で特定の IP アドレスからのリクエストの数を制限するレート制限およびスロットリング メカニズムも含まれており、DDoS 攻撃の影響を軽減するのに役立ちます。 WAF は、SQL インジェクション、クロスサイト スクリプティング (XSS)、クロスサイト リクエスト フォージェリ (CSRF) などの悪意のある自動攻撃から Web アプリケーションやシステムを保護することもできます。

WAF はさまざまな方法で導入できます。それはすべて、アプリケーションの導入場所、必要なサービス、管理方法、必要なアーキテクチャの柔軟性とパフォーマンスのレベルによって決まります。 WAF は、攻撃者が悪意のあるキャンペーンをどのように展開するかに関係なく、有効性と回復力を維持する特殊なボット管理コントロールと統合することもできます。  以下に、最適な WAF と展開モードを選択するためのガイドを示します。

セキュリティは、攻撃者のツール、手法、または意図に関係なく、ログインプロンプト、CAPTCHA、および MFA でユーザーを苛立たせることなく、対策を回避しようとする攻撃者の再編成に適応する必要があります。 これには、Web アプリケーション、モバイル アプリケーション、API インターフェースのオムニチャネル保護、リアルタイムの脅威インテリジェンス、AI を活用した遡及分析が含まれます。

クラウドとアーキテクチャ全体の可視性と、耐久性があり難読化されたテレメトリを、集合的な防御ネットワークと高度に訓練された機械学習モデルと組み合わせることで、ボット、自動攻撃、詐欺を検出して阻止するための比類のない精度が実現します。 これにより、攻撃者が対策を再考し、適応しても、緩和策の有効性は完全に維持され、実際の顧客に迷惑をかけることなく、最も高度なサイバー犯罪者や国家主体さえも阻止できるようになります。

以下は、効果的なボット セキュリティを維持するためのベスト プラクティス ガイドラインです。

• ボット トラフィックを積極的に監視し、脅威に迅速に対応します。 定期的な監視により、組織は Web トラフィックの正常な動作のベースラインを確立できます。 パターンの逸脱や異常を早期に検出し、ボットの潜在的な活動を知らせることができます。 早期検出により、ボットが重大な被害を引き起こす前に迅速な対応が可能になります。 さらに、脅威の状況は常に進化しており、新しいボット攻撃手法が定期的に登場しています。 定期的な監視により、セキュリティ チームは最新の傾向を把握し、新たな脅威が発生したときにそれを特定することができます。 リアルタイムのインテリジェンスと人間が開発した AI を使用した遡及的な分析を組み合わせることで、防御側は対策を調整し、再編成の取り組みを阻止して攻撃者を無力化することができます。 
• 疑わしいボットのアクティビティに対してリアルタイムアラートを設定します。 ログ記録および警告システムを使用して、疑わしい動作に関する通知を即座に受け取ります。 定期的にログを確認して、パターンと潜在的なセキュリティ インシデントを特定します。 ボット関連の攻撃が発生した場合に取るべき手順を概説した包括的なインシデント対応計画を策定します。 多くのベンダーは、組織がリスクを分析し、必要な保護を実施できるように、継続的な監視と定期的な脅威ブリーフィングを提供しています。 
• セキュリティ パッチ適用のための体系的なプラクティスを開発します。 セキュリティ パッチとシステム アップデートを迅速に適用することで、組織は既知の脆弱性を狙う悪意のあるボットによる悪用リスクを軽減できます。 システムを定期的にパッチ適用すると、攻撃対象領域が縮小され、ボットが未公開の脆弱性を悪用することが困難になり、ゼロデイ攻撃に対する保護が強化されます。 多くのボットはソフトウェアの脆弱性や弱点を悪用するのではなく、固有の脆弱性を標的とし、ログオン、アカウント作成、パスワードリセット機能などの重要なビジネス ロジックを悪用することに注意することが重要です。 

悪意のあるボット攻撃がますます巧妙化し、悪質で危険なものになるにつれ、ボット セキュリティも進化を続け、サイバー犯罪者とセキュリティ チームの間で拡大し続ける軍拡競争で先頭に立ち、回復力を維持しています。脅威 (および緩和策) の進化が止まることはないという認識のもとで。 

ボットの脅威を軽減する最善の方法は、階層化されたセキュリティ アプローチを採用して、変化する攻撃ベクトルを管理し、脆弱性や脅威が実行される前に特定して対処することです。 ボットの影響に対処するために組織を積極的に準備することで、自動化された攻撃から知的財産、顧客データ、重要なサービスを保護することができます。

F5 Distributed Cloud Bot Defense は、Web アプリケーション、モバイル アプリケーション、API インターフェイスのオムニチャネル保護を含む、自動化された攻撃から組織を保護するためのリアルタイムの監視とインテリジェンスを提供します。 Distributed Cloud Bot Defense は、リアルタイムの脅威インテリジェンス、AI による遡及分析、継続的なセキュリティ オペレーション センター (SOC) 監視を使用して、最も高度なサイバー攻撃を阻止する回復力を備えたボット緩和を実現します。 F5 ソリューションは、攻撃者がどのようなツールを変更しても、攻撃が Web アプリから API に移行するか、テレメトリを偽装したり人間の CAPTCHA ソルバーを使用したりして自動化対策を回避しようとするかに関係なく、有効性を維持します。

F5 は、大規模なネットワーク、プロトコル、アプリケーションを標的とした攻撃をリアルタイムで検出して軽減する、管理されたクラウド配信型の軽減サービスとして、高度なオンライン セキュリティを実現する多層 DDoS 保護も提供しています。オンプレミスのハードウェア、ソフトウェア、ハイブリッド ソリューションでも同じ保護が利用できます。 F5 分散クラウド DDoS 緩和機能は、ボリューム型およびアプリケーション固有のレイヤー 3-4 攻撃と高度なレイヤー 7 攻撃がネットワーク インフラストラクチャやアプリケーションに到達する前に防御します。