BLOG

今こそボット対策を見直す時です

サムネール
Published February 10, 2023

もしあなたがセキュリティの専門家だとしても、ボットの緩和問題が解決されたと断定するのは早計かもしれません。

ボットは多大な金銭的被害をもたらします。クレデンシャル スタッフィング ボットはアカウント乗っ取りにつながり、不正転売ボットは製品発売や期間限定発売に大惨事を引き起こし、スクレイパー ボットはパフォーマンスを低下させてインフラストラクチャ コストを増大させ、ギフト カードクラッキング ボットは口座の残高を枯渇させて顧客を絶望のどん底に突き落とします。その影響の規模もさることながら、ボット攻撃は犯罪者にとってもうかる商売なので、オンライン ビジネスに対して攻撃が仕掛けられる可能性は100%に近いと言ってよいでしょう。その影響度と確率の高さゆえ、有効なセキュリティ戦略が必須であることは明らかです。しかしながら、最近のトップニュースでも話題になっているように、攻撃者は相変わらず、広く展開されているボット対策をくぐりぬける方法を編み出しています。そろそろ、ボット対策を見直す時期に来ているのではないでしょうか。

2023年1月24日、Ticketmasterの親会社であるLive Nationの社長のJoe Berchtold氏は、米国上院司法委員会において、歌手テイラー・スウィフトの次回ツアーのチケット販売で発生した取り扱いミスの原因は転売ボットであると証言し、「結果的にお客様に大変なご迷惑をお掛けしたことは非常に残念です」と述べました。

また、2023年1月にNortonのパスワード マネージャーを使用している数千人のユーザーに対して、あるグループがパスワード ボールトに保管されている個人情報に許可なくアクセスしたという通知が送られたことをCNETが報告しました。Nortonの親会社であるGen Digitalは、このセキュリティ インシデントをボット駆動型クレデンシャル スタッフィング攻撃に起因するとしています。この攻撃は、ログインの失敗回数が異常に高くなったときに、Gen DigitalのIDS(侵入検知システム)から警告が発せられて検知されました。

Ticketmasterはボットの緩和対策に投資しました。Gen Digitalもボット対策を整備したのでしょう。しかし、ボットがセキュリティ被害を引き起こしたことに変わりはなく、マスコミから叩かれただけでなくチケットは入手できず、機密性が損なわれました。この事からある明白な疑問が生じます。ボット対策ソリューションが市場に出回ってから何年も経つのに、多くのボット対策ソリューションが悪質なボットを緩和できないのはなぜなのでしょうか。

いまだにCAPTCHAを利用している組織であれば、答えは明白です。CAPTCHAは、実際の顧客の満足度とeコマースのコンバージョン率を下げるだけで、実際には使いものになりません。CAPTCHA解決サービスをWebで検索してみてください。かなりの数のサービスが安価で迅速に提供されていることでしょう。あるオープン ソース ライブラリの作成者は、CAPTCHAを簡単に突破できるようにすることを自分の使命としました。

「CAPTCHAは今のままでは未来はありません。CAPTCHAで困っているのはロボットよりもむしろ人間です。ということは、まったく役に立っていないということです。この考察に対して自由な一個人として私ができることは、この不条理を証明することかもしれません。どのサイトにもあるreCAPTCHAを突破するのに必要なのはたった1行のコードを使用したロボット用のプラグインだなんて。」

WAFベースのIP拒否リストを使用してボットを軽減しようとしている組織の場合、このタスクは同様に望みがありません。ボット検知の回避を目的とした数千万ものレジデンシャルIPアドレスをボット作成者に提供するサービスが存在します。このようなサービスはローテーション レジデンシャル プロキシとして宣伝されています。具体的には、ボットはhttp要求をプロキシに送信します。これは、多くのコーポレート ブラウザがフォワード プロキシ経由でリクエストを送信するのとよく似ています。次にサービスは、リクエストをWebサイトまたはAPIに送信するために使用するパブリックIPアドレスをローテーションし続けます。これまで、ボットは、広く知られて特定しやすいクラウド サービスからのデータ センタ プロキシを使用することが一般的でした。しかし、この新しいプロキシ サービスでは、顧客と同じ地域のレジデンシャルIPアドレスを使用します。それぞれのIPアドレスは、ISPによるNAT処理によって、ボットまたは正当な顧客のいずれかを同時に表現する場合があるため、実際の顧客を一人も離脱させることなく、これらすべてのIPアドレスをブロックすることは不可能です。

ZenRowsScrapFlyScrapingBeeなどの新しい商業サービスにより、WebスクレイピングはAPIの呼び出しと同じくらい簡単になりました。ボット対策の迂回はこれらのサービスが元凶です。このAPIベース サービスがスクレイピング中心なのに対し(米国と欧州では合法)、犯罪者は、クレデンシャル スタッフィングなどのさらに悪辣なボット攻撃を実行するダーク ウェブ上の同種のサービスにアクセスします。

商業サービスに加えて、オープン ソース プロジェクトの中には、なんとかしてボットを迂回しようとするものもあります。Puppeteer(人気のnode.js自動化/テスト ツール)のステルス プラグインを使用して、Puppeteerは検出を回避しています。開発者のアクティブ グループはプロジェクトをGitHubに公開しており、有効なボット対策が知られるようになるたびにアップデートを発行しています。そのドキュメントによれば、「この始まったばかりのいたちごっこは急速にペースを上げているため、クイック テストとイテレーションに対応するために、可能な限りプラグインの自由度を維持しています」としています。同様のライブラとしては、Python開発者を対象としたundetected-chromedriverがあります。これらのプロジェクトの目的は、オープン ソースの精神に則り、アプリケーションの自動化に従事する開発者のためにWebを開かれたものにすることなのですが、残念なことに、犯罪者によってやすやすと悪用されています。

オープン ソース プロジェクトや商業サービスの開発に携わる組織が増える中、ボット対策の突破に関わる開発者は学習し、情報を共有しています。このような情報の中には、検出ツールのJavaScriptの難読化を解除し、検出サービスに転送されるデータがこれらのツールでどのようにパッケージングされているのかを解釈するための手順を読者に紹介しているものもあります。これらの開発者は、クライアントサイド コードをリバース エンジニアリングすることで、検出ツールの仕組みを探り出しているのです。たとえば、ZenRowsの開発者は、ウィンドウのサイズ変更について学んだ知識やボット検出サービスによって矛盾を捕捉する方法を共有しています。

「センサー データ例のイメージを見ると、ウィンドウ サイズが送信されていることがわかります。ほとんどのデータ ポイント、つまり、実際の画面サイズ、使用可能サイズ、内側のサイズ、および外側のサイズは互いに関連性があります。たとえば、内側のサイズが外側のサイズよりも大きくなることはありません。ランダム値はここでは意味がありません。実際のサイズ セットが必要になるのです。」

この脅威の重大さを考えると、ボット緩和対策を見直す時期が来ていることは明白です。ボット検出の有効性の確認は、実績のあるF5にお任せください。お客様のボット緩和対策がどの程度機能しているのか、どのボットが見過ごされているのか、お客様のビジネスにどの程度損害を与えているのか、真相を明らかにするには、F5が無料で提供している脅威評価ボットがビジネスに与える影響の診断をご利用ください。