そのボットは敵か味方か? ボット対策の勘所を解説

~ボットの定義からコスト削減まで~

本記事は、「ボットとは何か知りたい」、「ボットによる不正アクセスからWebサイトをもっと簡単かつ安全に守りたい」、「AWSを利用した場合のコストを削減したい」という方にヒントになる部分が必ずあると思いますので、ぜひ読んで頂けますと幸いです。

「ボットとは?」
高度化、多様化が進むなか改めて確認したいボットの定義

近年、急速に利用が拡大し、企業への導入も進むチャットボット。インターネット上で翻訳サービスを提供するもの、パーソナライズされたショッピングアシスタントの役割を担うものなど、新しいユーザーエクスペリエンスを提供するこうしたボットは、いわば善意のボット、良いボットといえるでしょう。

AIやディープラーニングなどの技術が進化したことで、「自動的に作動して情報の検索や検出を行うことを目的としたコンピュータプログラム」というボットの定義も、いささか古くなってきているのかもしれません。

良いボットには、チャットボットの他、さまざまなWeb サイトから情報を収集するクローラ、アクセスの多いサイトを検索ページの上位にリストアップするなどサーチエンジンの最適化を行うプログラム、人間に代わって特定の処理を行うタスクボットなどが含まれます。

近年普及が進むRPA(Robotic Process Automation)もタスクボットの一つです。

file

こうした良いボットに対して、悪いボットも存在します。悪いボットの多くは不正プログラムであり、C&Cサーバーから攻撃者がネットワークの感染環境を利用し、ウイルス感染のようにコンピューターを遠隔操作するというものです。不正利用を目的として競合他社の情報を取得するスクレイパボット、Web サイトに過剰アクセスしサービス停止を図るDDoS攻撃用のボット、マルウェア感染による不正送金を狙うフラウドボットなどは、いうまでもなく悪いボットでしょう。

必要なのは、良いボットの活動を阻害することなく、悪いボットを阻止することですが、さまざまなユーザーデバイスからの侵入、家庭用ルータやWebカメラなど外部のIoT機器デバイスからの侵入に加え、アンダーグラウンドのネットワークで入手したツールを使って、瞬間的に大量のインスタンスを作成したうえでDDoS攻撃を仕掛けるといったパターンもあり、ネットワーク監視・対応は困難になりつつあります。

F5がテスト用のWebサーバで実施した調査では、訪れるトラフィックの約3割がネットワークスキャナやHTTPライブラリなど、いわゆる不正ボットでした。ギャンブル系のサイトなど、金銭を取り扱うサイトでは、訪れるボットの50%以上が悪いボットだったという調査結果も公開されています。

file

それは「良いボット」か、「悪いボット」か?
正確に判断した上で対策が必要

Webアプリケーションセキュリティに関する研究やガイドラインの作成、脆弱性診断ツールなどの開発、知識継承や啓蒙のためのイベント開催等を行う OWASP(Open Web Application Security Project)によれば、悪いボットによるサーバー攻撃は、Webサイトのログイン画面でスタッフィングを繰り返してアクセス権を取得するクレデンシャルスタッフィング攻撃、ランダムな入力を行うことでクレジットカードのセキュリティコード(CVV2/CVC2)を取得しようとするカーディング、偵察ツールを利用した脆弱性スキャン、プレミア商品などの買い占めや転売などを目的としたスクレイピングなど、21種類に分類できるとされています。

 

こうした多種多様な悪いボットに対して、どのような対策を行えばいいのでしょうか。求められるのは、正規な人間によるアクセスなのか、良いボットなのか、悪いボットなのかを見極め、悪いボットをからのアクセスだけを防ぐこと。

一般的にはアプリケーションにボットなのか人間なのかを判断するロジックを埋めこむセキュアコーディングや、新種のボットの通信を発見するパーソナルファイアウォールの導入、I Pブラックリスト基づいた通信の遮断などが有効とされていますが、日々進化するボットにアプリケーションごとに対応するためのコーディングは作業負荷の増大を招いてしまいます。また、プロキシを経由させるなどIPを頻繁に変更するボットも多く、ジオロケーションも広範囲にわたるため、IPアドレスベースの対策、国別情報による対策では、十分ではないと考えるべきだと言えるでしょう。

WAFで不要なトラフィックを排除、
合わせて、AWSのコスト削減にも期待

期待されるのが、WAFを使ったアプローチです。一般的なWAFは、SQLインジェクションやクロスサイトスクリプティングなど、アプリケーションレイヤーに対する攻撃を防ぐものですが、F5製品では、F5 Advanced WAFとして、振る舞いやパターンに基づくシグネチャーチェック、正規のブラウザによるアクセスかどうかを判断するJavaScriptチャレンジ、ボットの行動をフィンガープリントとして保存することで高精度な判定を可能にするフィンガープリンティング機能などを提供し、正確なボット検知を実現しています。

また、WAFによるボット対策には、コスト面でのメリットも存在します。アマゾン・ウェブ・サービス(AWS)などのパブリック・クラウドは、レスポンスの通信量に対して課金する仕組みになっているものが多く、全くサービスを生まない不正トラフィックを遮断することは、直接的なコスト削減につながるからです。

悪いボットによる不要なトラフィックを排除することで、アプリケーションパフォーマンスを最大化できるだけでなく、コスト面でのメリットも実現するF5 Advanced WAF。クラウドへのシフトが進むなか、ネットワークセキュリティと運用コストというトレードオフの関係になりがちなテーマを解決する一つの手法として、検討してみてはいかがでしょうか。

記事は、以上になります。最後まで、お読みいただきありがとうございます。

さらに、ボット対策に詳しくなりたい方向に資料をダウンロードできる様にしてありますので、興味のある方はご確認ください。

file

ダウンロード資料

file

不正ボット対策

・ボットの定義。良いボットと悪いボットとは

・業界別サイトの、良いボット、悪いボットの割合などどの業界が、悪いボットに狙われているか一目瞭然です。

・ボット被害の実態やその攻撃手法
どれぐらいのアカウントが漏洩しているか 、悪いボットがどんな攻撃を仕掛けてくるのか?などなど

・一般的なボット対策の限界とこれからのボット対策
今のボット対策の課題とF5が推奨するソリューションの紹介

・クラウドコストの削減

リソース

用語集

ボット管理・緩和・対策とは

詳細はこちら ›

 

ブログ

ボット対策ベンダーに聞くべき(追加の)10の質問

詳細はこちら ›

 

自動化された攻撃に対するボット軽減対策

ソリューション

自動化された攻撃に対するボット軽減対策

詳細はこちら ›

 

ボットと悪用を抑制

ソリューション

ボットと悪用を抑制

詳細はこちら ›

 

F5 Distributed Cloud Bot Defense

製品紹介

F5 Distributed Cloud Bot Defense

詳細はこちら ›

 

BOT対策ならF5 Distributed Cloud Bot Defense

ソリューション

BOT対策ならF5 Distributed Cloud Bot Defense

詳細はこちら ›

 

関連情報

file

ボット対策/管理

file

F5のWAFソリューション Advanced WAF

file

SSRF対策~パブリッククラウドは本当に安全なのか?

WAFとは~初心者でも分かる概要と仕組み

お役立ち情報が満載!WAF特集

おすすめ記事

file

あなたの会社のWebセキュリティは本当に大丈夫?

F5のWAFはガートナーの2017年版マジック・クアドランドのWEBアプリケーション要請分野でリーダーに選ばれています。

file

SSL可視化でセキュリティ対策~常時SSL化の落し穴

Webサイトを常時 SSL化するにあたり、インフラ管理者が押さえておかなければならない知識や注意点と対策について紹介します。

file

製品・ソリューションに関する ご相談・お問い合わせ

file

~インフラの力を伸ばす~ 資料ダウンロード