年間収益が 500 億ドルを超える世界トップ 5 の宅配業者 (「プロバイダー」) は、アカウントの乗っ取りから顧客を保護し、不正なアカウント作成を防止したいと考えていました。
プロバイダーは、Web およびモバイルapplications上の顧客ログインをクレデンシャル スタッフィング攻撃から保護したいと考えていました。 クレデンシャル スタッフィングは、犯罪者が第三者から盗んだ認証情報をログインapplicationsで大量にテストし、アカウント乗っ取りを実行する攻撃です。 攻撃者は盗まれた資格情報の膨大なリストを入手し、ユーザーがパスワードを再利用するため、通常、リストの約 0.1%~2% がターゲット サイトで有効であることに気づきます。
8 か月間にわたり、プロバイダーは、持続的な自動化トラフィックに加えて、大規模な自動化スパイクの波を 3 回経験しました。 場合によっては、攻撃トラフィックが 1 日で 100,000 POST を超え、正規のトラフィックの 50% 増加となりました。 同社は 2017 年秋にネイティブ モバイル API の主要なアップグレードもリリースしましたが、これが頻繁に攻撃者の標的となりました。
この攻撃はプロバイダーにとって大きな損失となり、プロバイダーは顧客から盗まれた資金だけでなく、アカウントにリンクされたクレジットカードを使用して行われた不正な取引に対するチャージバック料金も返済しなければならなかった。 クレデンシャル スタッフィング攻撃自体もプロバイダーにとってコストがかかりました。 顧客は、パッケージが見つからない、またはアカウントがロックされた(攻撃者によるログイン試行の失敗が多すぎるために発生)といった苦情をヘルプデスクに殺到しました。
プロバイダーはまた、不正なアカウント作成に基づく 2 つの異なるスキームで課題に直面しました。 最初の計画では、犯罪者は裕福な地域の郵便番号の住所を使用して偽のアカウントをプログラム的に作成し、公開されている個人データを使用して知識ベースの認証の質問に正しく答えました。 その後、プロバイダーの無料サービスを利用して荷物を追跡し、荷物が発送されたときに通知を受け取りました。 これにより、窃盗犯は荷物を追跡し、輸送を傍受することができ、その多くには転売可能な商品が含まれていた。
2 番目の手口では、攻撃者は偽のアカウントを作成し、盗んだクレジットカードをそのアカウントに添付しました。 その後、彼らは偽のアカウントを使って配送ラベルを購入し、違法なマーケットプレイスで配送割引や荷物転送などのサービスを宣伝した。 クレジットカード盗難の被害者が詐欺行為に気付いた場合、配送業者は配送料を返金し、場合によってはクレジットカード発行会社にチャージバック手数料を支払わなければなりません。
プロバイダーはまず、これらの課題に対処するために独自のソリューションを構築しようとしました。 同社は、Webapplicationファイアウォール、ロード バランサ、分析ツールを組み合わせて、ヘルプ デスク チケットと顧客の苦情を関連付け、パスワードのリセットを強制することで問題を解決しようとしました。 この DIY アプローチは自動化された攻撃を軽減するのに効果的ではなく、詐欺行為は続きました。
プロバイダーは、自力で問題を解決できなかったため、F5 Distributed Cloud Bot Defense に目を向け、Web とモバイルの両方のログインおよびアカウント作成applications全体にソリューションを導入することを決定しました。
一般的な分散クラウド ボット防御の展開には、監視モードと緩和モードの 2 つの段階があります。 監視モードでは、F5 はapplicationへのすべての受信リクエストを分析して、防御をカスタマイズし、自動化されたトラフィックにフラグを設定します。 緩和モードでは、F5 は自動化の性質とプロバイダーのニーズに基づいてプログラムによるアクションを実行します。
Distributed Cloud Bot Defense が監視モードに入るとすぐに、プロバイダーはログイン トラフィックの全体的な性質をすぐに確認して理解できるようになりました。 図 1 に示すように、このサービスは、監視モード中に、ログインapplication上の正当な人間のトラフィック (緑) と望ましくない自動化 (赤) を区別しました。
Distributed Cloud Bot Defense は、自動化されたトラフィックのソースに関する洞察を含む、高度な脅威インテリジェンス レポートもプロバイダーに提供しました。 たとえば、サービスでは、自動化されたアクティビティの半分が無害であると特定されましたが、プロバイダーはそれについて以前は認識していませんでした。
さらに、観察モード中に、Distributed Cloud Bot Defense は、グラフの 1、2、3 とラベル付けされた 3 つの個別の自動化キャンペーンを特定しました。 これらのグループは、観察期間全体を通じて自動化されたトランザクションのほぼ半分を占めていました。 攻撃グループが、トラフィックをルーティングするための新しいプロキシを利用したり、別の種類のブラウザを模倣したりするなど、ツールを変更して Distributed Cloud Bot Defense を回避しようとした場合でも、サービスは他のシグナルに基づいて攻撃グループを識別できます。
F5 社は各キャンペーンを詳細に調査しました。 図 2 は、プロバイダーに提供されるキャンペーン #2 の重点的なビューです。 このキャンペーンは、25,000 を超える IP アドレスから開始された、高度に分散されたクレデンシャル スタッフィング攻撃でした。 この攻撃は、3日間にわたるキャンペーン中の全トラフィックの50%以上を占めました。 このキャンペーンでは、攻撃者がログインフローを超えたワークフローを操作しようとした点でも注目に値します。
約 6 か月の観察期間の後、プロバイダーは Distributed Cloud Bot Defense を軽減モードに移行しました。 このサービスは、クレデンシャル スタッフィング攻撃を即座にブロックし、数千件のアカウント乗っ取りを防止しました。 プロバイダーは、F5 が消費者のログインおよびアカウント作成applicationsを保護することで、詐欺による損失を年間少なくとも 350 万ドル節約できると見積もっています。
* F5 では、キャンペーンを、数百の独自のシグナルによって識別される、同じソースから発生する自動化されたリクエストのグループと定義しています。
Distributed Cloud Bot Defense が自社の Web サイトやモバイル アプリでの消費者ログインの保護に成功したことから、プロバイダーは導入を拡大し、ビジネス ログイン、配送、支払い、追跡サービスなどのビジネスapplicationsだけでなく、ビジネス顧客の新規アカウント登録も保護しています。
プロバイダーは F5 とも連携して、消費者ログインapplicationで自動化を使用して製品を効率的に出荷しているビジネス カスタマーからの正当な (無害な) 自動化を効率的に許可します。