そのボットは敵か味方か? ボット対策の勘所を解説

~ボットの定義からコスト削減まで~

本記事は、「ボットとは何か知りたい」、「ボットからWebサイトをもっと簡単かつ安全に守りたい」、「AWSのコストを削減したい」という方にヒントになる部分が必ずあると思いますので、ぜひ読んで頂けますと幸いです。

「ボットとは?」
高度化、多様化が進むなか改めて確認したいボットの定義

近年、急速に利用が拡大し、企業への導入も進むチャットボット。インターネット上で翻訳サービスを提供するもの、パーソナライズされたショッピングアシスタントの役割を担うものなど、新しいユーザーエクスペリエンスを提供するこうしたボットは、いわば善意のボット、良いボットといえるでしょう。

AIやディープラーニングなどの技術が進化したことで、「自動的に作動して情報の検索や検出を行うことを目的としたコンピュータプログラム」というボットの定義も、いささか古くなってきているのかもしれません。

良いボットには、チャットボットの他、さまざまなWeb サイトから情報を収集するクローラ、アクセスの多いサイトを検索ページの上位にリストアップするなどサーチエンジンの最適化を行うプログラム、人間に代わって特定の処理を行うタスクボットなどが含まれます。

近年普及が進むRPA(Robotic Process Automation)もタスクボットの一つです。

file

こうした良いボットに対して、悪いボットも存在します。不正利用を目的として競合他社の情報を取得するスクレイパボット、Web サイトに過剰アクセスしサービス停止を図るDDoS攻撃用のボット、マルウェアによる不正送金を狙うフラウドボットなどは、いうまでもなく悪いボットでしょう。

必要なのは、良いボットの活動を阻害することなく、悪いボットを阻止することですが、さまざまなユーザーデバイスからの侵入、家庭用ルータやWebカメラなどのIoTのデバイスからの侵入に加え、アンダーグラウンドのネットワークで入手したツールを使って、瞬間的に大量のインスタンスを作成したうえでDDoS攻撃を仕掛けるといったパターンもあり、対応は困難になりつつあります。

F5がテスト用のWebサーバで実施した調査では、訪れるトラフィックの約3割がネットワークスキャナやHTTPライブラリなど、いわゆる不正ボットでした。ギャンブル系のサイトなど、金銭を取り扱うサイトでは、訪れるボットの50%以上が悪いボットだったという調査結果も公開されています。

file

それは「良いボット」か、「悪いボット」か?
正確に判断した上で対策が必要

Webアプリケーションセキュリティに関する研究やガイドラインの作成、脆弱性診断ツールなどの開発、知識継承や啓蒙のためのイベント開催等を行う OWASP(Open Web Application Security Project)によれば、悪いボットは、Webサイトのログイン画面でスタッフィングを繰り返してアクセス権を取得するクレデンシャルスタッフィング攻撃、ランダムな入力を行うことでクレジットカードのセキュリティコード(CVV2/CVC2)を取得しようとするカーディング、偵察ツールを利用した脆弱性スキャン、プレミア商品などの買い占めや転売などを目的としたスクレイピングなど、21種類に分類できるとされています。

 

こうした多種多様な悪いボットに対して、どのような対策を行えばいいのでしょうか。求められるのは、正規な人間によるアクセスなのか、良いボットなのか、悪いボットなのかを見極め、悪いボットをからのアクセスだけを防ぐこと。

一般的にはアプリケーションにボットなのか人間なのかを判断するロジックを埋めこむセキュアコーディングや、I Pブラックリスト基づいた通信の遮断などが有効とされていますが、日々進化するボットにアプリケーションごとに対応するためのコーディングは作業負荷の増大を招いてしまいます。また、プロキシを経由させるなどIPを頻繁に変更するボットも多く、ジオロケーションも広範囲にわたるため、IPアドレスベースの対策、国別情報による対策では、十分ではないと考えるべきだと言えるでしょう。

WAFで不要なトラフィックを排除、
合わせて、AWSのコスト削減にも期待

期待されるのが、WAFを使ったアプローチです。一般的なWAFは、SQLインジェクションやクロスサイトスクリプティングなど、アプリケーションレイヤーに対する攻撃を防ぐものですが、F5では、F5 Advanced WAFとして、振る舞いやパターンに基づくシグネチャーチェック、正規のブラウザによるアクセスかどうかを判断するJavaScriptチャレンジ、ボットの行動をフィンガープリントとして保存することで高精度な判定を可能にするフィンガープリンティング機能などを提供し、正確なボット検知を実現しています。

また、WAFによるボット対策には、コスト面でのメリットも存在します。アマゾン・ウェブ・サービス(AWS)などのパブリック・クラウドは、レスポンスの通信量に対して課金する仕組みになっているものが多く、全くサービスを生まない不正トラフィックを遮断することは、直接的なコスト削減につながるからです。

悪いボットによる不要なトラフィックを排除することで、アプリケーションパフォーマンスを最大化できるだけでなく、コスト面でのメリットも実現するF5 Advanced WAF。クラウドへのシフトが進むなか、セキュリティと運用コストというトレードオフの関係になりがちなテーマを解決する一つの手法として、検討してみてはいかがでしょうか。

記事は、以上になります。最後まで、お読みいただきありがとうございます。

さらに、ボット対策に詳しくなりたい方向に資料をダウンロードできる様にしてありますので、興味のある方はご確認ください。

file

ダウンロード資料

file

不正ボット対策

・ボットの定義。良いボットと悪いボットとは

・業界別サイトの、良いボット、悪いボットの割合などどの業界が、悪いボットに狙われているか一目瞭然です。

・ボット被害の実態やその攻撃手法
どれぐらいのアカウントが漏洩しているか 、悪いボットがどんな攻撃を仕掛けてくるのか?などなど

・一般的なボット対策の限界とこれからのボット対策
今のボット対策の課題とF5が推奨するソリューションの紹介

・クラウドコストの削減

関連情報

file

F5のWAFソリューション Advanced WAF

file

SSRF対策~パブリッククラウドは本当に安全なのか?

file

お役立ち情報が満載!WAF特集

おすすめ記事

file

あなたの会社のWebセキュリティは本当に大丈夫?

F5のWAFはガートナーの2017年版マジック・クアドランドのWEBアプリケーション要請分野でリーダーに選ばれています。

file

SSL可視化でセキュリティ対策~常時SSL化の落し穴

Webサイトを常時 SSL化するにあたり、インフラ管理者が押さえておかなければならない知識や注意点と対策について紹介します。

file

製品・ソリューションに関する ご相談・お問い合わせ

file

~インフラの力を伸ばす~ 資料ダウンロード