年間200億ドル超の収益を上げるカナダの5大銀行の一つ(以下、「同行」)は、数か月にわたってWebおよびモバイル用のログイン アプリケーションを狙った自動化攻撃に悩まされていました。*
攻撃者は、カナダと米国のWebサイト、モバイル アプリ、OFX APIエンドポイントなど、考えられるあらゆるチャネルに対してクレデンシャル スタッフィング攻撃を仕掛けてきました。アカウント乗っ取りの不正行為による損失が生じるだけでなく、大量の攻撃によって同行のインフラストラクチャに大きな負担がかかっていました。カナダと米国のWebサイトが何度も停止し、顧客が自分のアカウントにアクセスできない事態が生じていました。このようなサービス停止は、同行の経営陣にとって容認できないことでした。そこで、セキュリティ チームはソリューションを探すことにしました。
自動化攻撃を緩和するために、同行はまずCDNで提供されるボット緩和ツール(以下、「ベンダー」)を導入しました。ベンダーは短期的には有効でしたが、長期的な効果を上げることはできませんでした。ベンダーでは、攻撃を阻止するためにルールベースのシステムを利用していました。しかし、攻撃者は数時間のうちに戦術を変え、そのルールを回避するようになったため、ツールを手動で設定せざるを得ませんでした。
同行のインシデント対応チームは、攻撃者の監視と新しいルールの設定に四六時中忙殺され、疲労困憊していました。攻撃者とのいたちごっこは数か月に及び、同行はより高性能のソリューションを探すことを決断し、F5に連絡したのです。
*「5大銀行」とはカナダの大手銀行の上位5行のことであり、他国の「4大銀行」に相当します。
セキュリティ チームは、ベンダーのソリューションを利用し続けながら、Distributed Cloud Bot Defenseの評価を行って、両ソリューションの有効性とサービス品質を比較対照することにしました。この評価のために、同行はカナダのWebおよびモバイル用のログイン アプリケーションにDistributed Cloud Bot Defenseを導入しました。
Distributed Cloud Bot Defenseの導入には、観察モードと緩和モードの2段階があります。観察モードでは、F5は防御機能をカスタマイズし、お客様にとって最善の結果を保証するために、アプリケーションが受信するすべてのリクエストを分析します。人間による正当なトラフィックに影響がないことをF5とお客様が確認した後、F5が緩和モードを有効にします。
観察モードのDistributed Cloud Bot Defenseにより、ログイン試行のほぼ10回に1回が悪質なものであることが判明しました。同行は、このサービスの検知能力と、定期的なブリーフィングの際にインテリジェンス チームが提供したインサイトのレベルにたちまち好印象を持ってくれました。
Distributed Cloud Bot Defenseは、悪質なログイン トラフィックと正当なログイン トラフィックを区別するだけでなく、リクエストをさまざまな攻撃グループ(「キャンペーン」)に分類して分析することができます。例えば、攻撃グループが攻撃方法の変更(ソフトウェアの更新や新しいプロキシの利用など)によって迂回しようとしても、このサービスは他の数百ものシグナルに基づいて引き続き攻撃グループを正しく識別します。
導入後の最初の1週間で、Distributed Cloud Bot Defenseは4種類のキャンペーンを特定し、それぞれのクレデンシャル スタッフィング活動を追跡しました。
観察モードの開始から5週間後、同行は突然、前代未聞の大規模なクレデンシャル スタッフィング キャンペーンの攻撃を受け、トラフィック量がそれまでの攻撃の5倍にも膨れ上がりました。トラフィック量がそれ以上増えれば、インフラストラクチャの能力を超え、カナダのWebサイト全体がダウンしてしまうため、同行では不安を募らせていました。
既存のベンダーから十分な支援を得られなかったため、同行のCISO(情報セキュリティ最高責任者)は自らF5に連絡して対処を要請しました。それは、観察モードから緩和モードへの移行を予定より数週間前倒しして、組織を弱体化させる攻撃を止めてほしいという依頼でした。F5プロフェッショナル サービス チームが出動し、数時間後には同行のカナダのサイトにDistributed Cloud Bot Defenseが緩和モードで設定および導入されました。
Distributed Cloud Bot Defenseが緩和モードになるとすぐ、上のグラフでトラフィックが黄色から赤色に変化しているように、攻撃が緩和されました。大量の自動化トラフィックが同行のオリジン サーバーに到達するのをこのサービスが完全に阻止したことで、同行のインシデント対応チームはトラフィックを安定させ、サービスの可用性を確保することができました。
F5は、Distributed Cloud Bot DefenseサービスとThreat Intelligenceチームを通じて、そのベンダーよりも優れていることを証明し、困難な状況においてピンチヒッターを務めました。同行は、Distributed Cloud Bot Defenseの有効性だけでなく、F5チームが大規模な攻撃の真っ只中でも導入をやり遂げた気概と能力を高く評価しました。
F5がカナダのログイン アプリケーションの防御に成功したことを受けて、同行はDistributed Cloud Bot Defenseの使用の拡大に向けて、次のような重要なステップを進める予定です。