Cisco Japan Blog

組織が増加するBot攻撃に対応できない理由

1 min read



最近、日本ではセキュリティインシデントの話題に事欠きません。特に不正ログイン、不正送金系のトピックは耳に新しく、対策を急務とされている企業も多くあります。本記事はそういったインシデントの背景に潜むBotについて解説しています。

過去のWebinarでもBotについて解説していますので、ご興味のある方は是非レコーディングをご覧ください。

本記事は Radware ブログ記事の抄訳です

自動攻撃の増加に伴い、Botマネジメントの必要性が高まりつつあります。初期のBotは、小規模なスクレイピングやスパムに用途が限られていました。現在では、様相が大きく変わり、アカウントの乗っ取りやDDoS攻撃、APIの悪用、特定のコンテンツや価格情報を対象とするスクレイピング、その他様々な事象にBotが使われるようになっています。Gartnerは、「アプリケーションセキュリティのハイプ・サイクル:2018年」で、Botマネジメントを「効果大」のカテゴリーに位置づけ、「『過度な期待』」のピーク期」にあるとしています。

では、Botによる深刻な脅威に対し、企業がBotソリューションを採用しているかといえば、そうではありません。依然、企業の多くは導入に否定的です。こうした企業は、社内のリソースやソリューションでBotを抑制しようとしていますが、これがかえって危険に晒される結果となっています。ShieldSquareのセキュリティ調査チームがまとめたレポート「Development of In-house Bot Management Solutions and their Pitfalls」(社内Botマネジメントの開発とその落とし穴)によれば、社内リソースによるBotマネジメントでは、効果があるどころか害の方が大きいことが分かっています。

悪意のあるBotトラフィックが実際には22.39%あったのに対して、高度な社内Botマネジメントを使っても、「検出率」は11.54%どまりでした。また、これらの社内ソリューションは、悪意のあるBotのほとんどを検出できなかったばかりか、「検出」した11.54%のほぼ半数が誤検出でした。

 

図1. 社内Bot管理ソリューションで検出されたBotの割合と実際の不良Botの割合

社内のBotマネジメントがうまく機能しないのはなぜでしょうか。その理由を詳しく検証する前に、重要な要素をいくつか確認しておきましょう。

悪意のあるBotの半数以上は発信元が米国

下の図2に示すように、悪意のあるBotは56.4%が米国発です(2019年第1四半期)。Bot使用者は、米国がビジネスの中心地であり、発信元を米国にすれば、地域に基づくトラフィックのフィルタリングを逃れられることを理解しています。

たとえば、社内リソースを活用してBotを抑制している企業の多くは、自社がビジネスを展開していない国をブロックする場合が少なくありません。また、ロシアなどの国をブロックしている場合もありますが、これは悪意のあるBotの大半はロシア発だろうと考えてのことです。ところが、実際には逆です。2019年第1四半期をみると、ロシア発の不正Botは、全体のわずか2.6%でした。

図2: 悪性Botの国別送信元

図2: 悪性Botの国別送信元

現在は、サイバー攻撃者が高度なテクノロジーを活用し、無数のIPアドレスを調べ上げて、地域に基づくトラフィックのフィルタリングを回避しています。Botの発信地が地理的に多様化すると、IPアドレスあるいは地域に基づくフィルタリングを応用したソリューションは役に立たなくなります。サイト訪問者の意図を理解しなければ、検出によって疑わしい訪問者を捕らえることはできません。

悪性Botの3分の1は人間の挙動を模倣する

2019年第1四半期だけでも、悪意のあるBotの37%が「ヒューマンライク」でした。ヒューマンライクなBotは、人間の挙動(マウスの動きやキー入力)を真似て、既存のセキュリティシステムをかいくぐります(図3に示す第3世代と第4世代の悪性Botがこれにあたります)。

図3. 世代別悪性Bot

図3. 世代別悪性Bot

巧妙なBotは、多数のIPアドレスまたはデバイスIDに分散しており、無作為のIPアドレスを接続に使用し、検出を回避します。こういったステルス型の検出回避活動は、さらにエスカレートしています。これらの巧妙なBotに仕込まれているプログラムは、Botを止めようとするあなたの対策すら理解してしまいます。無作為のIPアドレスを使う以外に、地理的な場所も悪用できることを知っています。悪意のあるBotは、さまざまなユーザーエージェントの組み合わせを使って、社内のセキュリティ対策を回避します。

社内ソリューションは、種類の異なるさまざまなBotを可視化できていないことが、うまく機能しない原因となっています。これらのソリューションは、社内のリソースから収集されたデータに基づいて動作しており、脅威に関するグローバルなインテリジェンスが不足しています。Botマネジメントはニッチな分野であり、悪名高いサイバー犯罪者の後手に回らないようにするには、総合的な理解と継続的な調査が必要です。

さまざまな業界の企業が、悪意のあるBotに遭遇すると、初めの段階として、社内ソリューションを導入して抑制を図ろうとします。ところが、社内ソリューションは巧妙なBotのパターンを認識できない場合が多く、失望することになります。

Botを管理するには

チャレンジ/レスポンス認証を導入する

チャレンジ/レスポンス認証は、第1世代のBotをフィルタリングするのに役立ちます。チャレンジ/レスポンス方式を採用している認証にはさまざまな種類があり、最も広く用いられているのがCAPTCHAです。ただし、チャレンジ/レスポンス認証は、古いユーザーエージェントやブラウザー、それに初歩的な自動スクリプトのフィルタリングには役立ちますが、人間の挙動を模倣するような、巧妙なBotは阻止できません。

APIに厳密な認証メカニズムを実装する

APIの普及に伴い、保護が不十分なAPIに対するBot攻撃が増加しています。通常、APIは認証ステータスのみを検証し、ユーザーの信頼性は確認しません。攻撃者は、セッションのハイジャックやアカウントアグリゲーションなど、さまざまな方法でこのような弱点を悪用し、正規のAPI呼び出しを装います。APIに厳密な認証メカニズムを実装すれば、セキュリティ侵害の防止に役立ちます。

ログインの失敗やトラフィックの急増を監視する

サイバー攻撃者は、ログインページでクレデンシャル(資格情報)のスタッフィングやクラック攻撃を実行するために不正Botを利用します。この手法は、多数の資格情報や、ユーザーIDとパスワードの組み合わせを次々と変えて試行するため、ログインの失敗回数が増加します。  また、ウェブサイトに悪意のあるBotが存在すると、トラフィックが突然増加します。ログインの失敗やトラフィックの急増を監視しておけば、悪意のあるBotがウェブアプリに侵入する前に、先制的な措置を講じることができます。

 専用のBotソリューションを導入する

上記で述べた対策などの社内ソリューションは、基本的な保護にはなっても、ビジネスに欠かせないコンテンツやユーザーアカウント、その他の機密データの安全性は確保できません。現在では、巧妙な第3世代および第4世代のBotが、悪意のあるBotによるトラフィックの37%を占めるまでになっています。これらは多数のIPアドレスに分散して潜り込み、多岐にわたる方法でビジネスに攻撃を仕掛けてきます。低ボリュームや低速の攻撃を行うこともあれば、大規模な分散攻撃を行ってダウンタイムを引き起こすこともあります。専用のBotソリューションは、こういった巧妙な自動アクティビティのリアルタイムによる検出と抑制に活躍します。

Authors

和田 一寿

Radware Japan

Japan CTO, SE Director

コメントを書く