ボット対策の勘所を理解～ボットの定義からコスト削減まで～

本記事は、「ボットとは何か知りたい」、「ボットによる不正アクセスからWebサイトをもっと簡単かつ安全に守りたい」、「AWSを利用した場合のコストを削減したい」という方にヒントになる部分が必ずあると思いますので、ぜひ読んで頂けますと幸いです。

「ボットとは？」
高度化、多様化が進むなか改めて確認したいボットの定義

近年、急速に利用が拡大し、企業への導入も進むチャットボット。インターネット上で翻訳サービスを提供するもの、パーソナライズされたショッピングアシスタントの役割を担うものなど、新しいユーザーエクスペリエンスを提供するこうしたボットは、いわば善意のボット、良いボットといえるでしょう。

AIやディープラーニングなどの技術が進化したことで、「自動的に作動して情報の検索や検出を行うことを目的としたコンピュータプログラム」というボットの定義も、いささか古くなってきているのかもしれません。

良いボットには、チャットボットの他、さまざまなWeb サイトから情報を収集するクローラ、アクセスの多いサイトを検索ページの上位にリストアップするなどサーチエンジンの最適化を行うプログラム、人間に代わって特定の処理を行うタスクボットなどが含まれます。

近年普及が進むRPA（Robotic Process Automation）もタスクボットの一つです。

こうした良いボットに対して、悪いボットも存在します。悪いボットの多くは不正プログラムであり、C&Cサーバーから攻撃者がネットワークの感染環境を利用し、ウイルス感染のようにコンピューターを遠隔操作するというものです。不正利用を目的として競合他社の情報を取得するスクレイパボット、Web サイトに過剰アクセスしサービス停止を図るDDoS攻撃用のボット、マルウェア感染による不正送金を狙うフラウドボットなどは、いうまでもなく悪いボットでしょう。

必要なのは、良いボットの活動を阻害することなく、悪いボットを阻止することですが、さまざまなユーザーデバイスからの侵入、家庭用ルータやWebカメラなど外部のIoT機器デバイスからの侵入に加え、アンダーグラウンドのネットワークで入手したツールを使って、瞬間的に大量のインスタンスを作成したうえでDDoS攻撃を仕掛けるといったパターンもあり、ネットワーク監視・対応は困難になりつつあります。

F5がテスト用のWebサーバで実施した調査では、訪れるトラフィックの約3割がネットワークスキャナやHTTPライブラリなど、いわゆる不正ボットでした。ギャンブル系のサイトなど、金銭を取り扱うサイトでは、訪れるボットの50％以上が悪いボットだったという調査結果も公開されています。

それは「良いボット」か、「悪いボット」か？
正確に判断した上で対策が必要

Webアプリケーションセキュリティに関する研究やガイドラインの作成、脆弱性診断ツールなどの開発、知識継承や啓蒙のためのイベント開催等を行う OWASP（Open Web Application Security Project）によれば、悪いボットによるサーバー攻撃は、Webサイトのログイン画面でスタッフィングを繰り返してアクセス権を取得するクレデンシャルスタッフィング攻撃、ランダムな入力を行うことでクレジットカードのセキュリティコード（CVV2/CVC2）を取得しようとするカーディング、偵察ツールを利用した脆弱性スキャン、プレミア商品などの買い占めや転売などを目的としたスクレイピングなど、21種類に分類できるとされています。

こうした多種多様な悪いボットに対して、どのような対策を行えばいいのでしょうか。求められるのは、正規な人間によるアクセスなのか、良いボットなのか、悪いボットなのかを見極め、悪いボットをからのアクセスだけを防ぐこと。

一般的にはアプリケーションにボットなのか人間なのかを判断するロジックを埋めこむセキュアコーディングや、新種のボットの通信を発見するパーソナルファイアウォールの導入、I Pブラックリスト基づいた通信の遮断などが有効とされていますが、日々進化するボットにアプリケーションごとに対応するためのコーディングは作業負荷の増大を招いてしまいます。また、プロキシを経由させるなどIPを頻繁に変更するボットも多く、ジオロケーションも広範囲にわたるため、IPアドレスベースの対策、国別情報による対策では、十分ではないと考えるべきだと言えるでしょう。

WAFで不要なトラフィックを排除、
合わせて、AWSのコスト削減にも期待

期待されるのが、WAFを使ったアプローチです。一般的なWAFは、SQLインジェクションやクロスサイトスクリプティングなど、アプリケーションレイヤーに対する攻撃を防ぐものですが、F5製品では、F5 Advanced WAFとして、振る舞いやパターンに基づくシグネチャーチェック、正規のブラウザによるアクセスかどうかを判断するJavaScriptチャレンジ、ボットの行動をフィンガープリントとして保存することで高精度な判定を可能にするフィンガープリンティング機能などを提供し、正確なボット検知を実現しています。

また、WAFによるボット対策には、コスト面でのメリットも存在します。アマゾン・ウェブ・サービス（AWS）などのパブリック・クラウドは、レスポンスの通信量に対して課金する仕組みになっているものが多く、全くサービスを生まない不正トラフィックを遮断することは、直接的なコスト削減につながるからです。

悪いボットによる不要なトラフィックを排除することで、アプリケーションパフォーマンスを最大化できるだけでなく、コスト面でのメリットも実現するF5 Advanced WAF。クラウドへのシフトが進むなか、ネットワークセキュリティと運用コストというトレードオフの関係になりがちなテーマを解決する一つの手法として、検討してみてはいかがでしょうか。

記事は、以上になります。最後まで、お読みいただきありがとうございます。

さらに、ボット対策に詳しくなりたい方向に資料をダウンロードできる様にしてありますので、興味のある方はご確認ください。