RSS

2017/12/06

[第3回]ボットとはの基礎知識~企業がとるべきボット対策のススメ

Category:

Tag:


blog bot3

 

第1回では、「ボットとは?」「ボットの最新動向」について触れました。>>ブログはこちら

第2回では、「ボットへの対抗策」「これまでのボット対抗技術」について触れました。>>ブログはこちら

最終回の本稿では、最新ボットへの対抗技術、そして今後企業が取るべきボット対策について紹介します。

 

 

最新のボット対抗技術

 

既存のWAFは、すべてのリクエストを個別リクエストと認識し、リクエストに特定の文字列があるかどうかのシグニチャチェックをするのが一般的です。そのため、定義されたシグニチャがなかったり、これを迂回する攻撃に対しては防御できないという欠点がありました。

 

一方で、クラウド型WAFはこのようなシグニチャ以外にも既存の接続パターンや評判 (IPレピュテーション)および接続するクライアント・ブラウザのパターンなどクラウドが持つビックデータの長所を最大限に活かして収集・分析した情報を総合的に解釈してこれに対応するため、知能化された攻撃にでも先制対応できる特徴があります。

 

またブラウザに保存されるcookieのようにブラウザごとに独特なFingerprintを利用してクライアントを認識するため、1つの公認IPを共有するNAT環境でも私設IPアドレスのみ認識してブロックすることができます。

 

 

– JavaScriptチャレンジ/JS Challenge 

大抵のボットは、目的を素早く遂行することを優先するため、ブラウザ上で動くcookieやJavaScriptなどの複雑で重たい機能は実行しません。

 

botmanager1

 

このような特徴を利用してウェブサーバがレスポンスする際に、WAFでは「3+5=?」のような簡単な計算をするJavaScriptを挿入してレスポンスをし、正常ブラウザはJavaScriptを実行してその結果を次のリクエストの際にcookieにて自動的に返します。しかし、ボットはJavaScriptを実行しないためレスポンスすることはありません。

 

blog bot3_3

 

JSチャレンジでパスできなかったクライアントは、悪性ボットと判断されて、それ以降の接続はブロックされます。実際にこの機能はHTTP Get フラッドのようなDDoS 攻撃を防御する際にも使われており、誤検知のない安定した技術として知られています。この機能だけでも80%を超えるボットを検知してブロックすることができます。

 

これを迂回できる進化型ボット(advanced bot)は、次に紹介するデバイス・フィンガープリント・チャレンジ(DFC)とヒューマン・インタラクション・チャレンジ(HIC) 技術で対応することができます。

 

 

– デバイス・フィンガープリント・チャレンジ/DFC

ブラウザやプラグインなど一般的なユーザのクライアント環境はそれぞれ異なりますが、ボットが頻繁に変わることはなく、特にボットネットを形成した場合、各ボットには共通した特徴がある点を利用して正常ブラウザとボットを区分する技術があります。

 

botmanager2

 

つまり、ウェブサーバに接続するブラウザ別にWAFで認識できる複数の値を組み合わせて、それぞれを区分する “デバイス・フィンガープリント”値を生成し、これを利用してフィンガープリント値と比較して対応する技術です。これもJavascriptを利用しています。

 

blog bot3_4

 

Fingerprintは、ブラウザから得る約40のパラメータ項目を組み合わせて ( http://browserspy.dk/ に接続するとさまざまなテストが可能)hash値を作成します。ここでは簡単に偽造できるユーザエージェントではなく、クライアントに設置されているフォントリスト、プラグイン、画面サイズや方向、解像度など、偽造が難しいさまざまな情報が使われます。この時、正常ブラウザであればこれらの情報を提供することができますが、情報を全く提供できなかったり、ビヘイビア分析(行動分析)の結果により、悪性ボットと認識されるクライアントをブロックすることができます。

 

このDigital Fingerprint技術はサイバー犯罪の分析でも一部使い始められており、今後も持続的に発展してゆく技術です。

 

 

– ヒューマン・インタラクション・チャレンジ/HIC

人が接続をする場合、ウェブサイトに接続した後にマウスを利用して画面を移動し、特定リンクをクリックしたりキーボードを利用して単語を入力します。モバイルなら指やペンを利用して画面をスクロールしてタッチすることでウェブサイトとの相互作用を図ります。

 

blog bot3_6

 

しかし自動化されたソフトウェアのボットは事前条件に従ってアクションがプログラミングされており自動的にプログラムが実行されるため、このようなイベント(一連の行動)はありません。従って、複数回のHTTPリクエストがあったにも関わらずイベントが検知されない場合には、悪性ボットと判断してブロックすることができます。

 

また、ボット対抗策において必ず必要な事前作業として、業務に必要な良性ボットは事前に把握して許可しておくことです。モニタリングやパフォーマンス測定のために内部で接続する場合は、事前にホワイトリストへ IPを登録しておくことで悪性ボットとして検知/ブロックされないようにします。また、GoogleやBing、Yahooなど検索エンジンのクローリングも正常な接続のため許可しておく必要がありますが、ユーザエージェントだけでなく接続IPもチェックして許可すると誤検知を抑えることができます。

 

 

結論

 

昨今の自動化ボットは、主にDDoS攻撃や無作為な入力によるログイン侵害などに利用されている認識はあったものの、それほど広く認知されていませんでした。

 

しかし、本ブログの最初に言及した「ボットトラフィックレポート」を見ると、ボットが占める比率がインターネットトラフィック全体の1/3を占めるほどに拡大しており、その数は持続的に増加しています。いまやボットはブラウザと大差ないほど類似してきており、今後ますます複雑化・高度化した戦いになることは疑いようがなく、対応の難しさにこれからも頭を悩ませることになるでしょう。

 

結論として、いつ・何時、深刻な問題に陥るか分からない悪性ボットを事前に検知・ブロックするサービスの導入を急ぐべきです。

 

実際にCDNetworksのセキュリティプロダクトを利用しているお客様の場合、このサービスを導入してから全体トラフィックの54%を超えるリクエストが、自動化ボットであることが分かり、ブロックすることでウェブパフォーマンスを改善しています。

 

botmanager4

 

結果として、ホームページ内のデジタルコンテンツのセキュリティ強化を図ることができるだけでなく、悪性ボットから発生するトラフィックを半分に減らすことによって、不要なコストとリソースを節約することができ、ユーザがより安定的にウェブサービスを利用できるようになりました。

 

この数年間、ボットは多くのセキュリティプロダクト、ひいてはキャプチャを迂回するなど進展し続けてきたことから、これからも運営者が気づかない間にウェブサイトの大切なコンテンツを悪用される事体が発生する可能性があります。

 

botmanager5

 

槍と盾の戦いのように、攻撃者が新しい技術で武装して悪意的な試みを行うのであれば、これに対応した技術で対抗する必要があるでしょう。

 

 

==================================

「クラウド・セキュリティ・ボットマネージャ」を12月1日に発売

==================================

 

CDNetworksは、急増するボットによるサイバー攻撃を未然に検知して防ぐことのできるクラウド型のボット攻撃防御対策「クラウド・セキュリティ・ボットマネージャ」を提供開始いたしました。

 

クラウド・セキュリティ・ボットマネージャは、 グローバルなCDNプラットフォームと統合されたクラウド型のボット防御対策です。急増するボットによるサイバー攻撃を未然に検知しブロックする多彩な機能を搭載しており、ウェブセキュリティの強化を図るとともに、パフォーマンスと可用性の高いウェブ配信を実現します。また、ボットによる未知の攻撃(ゼロデイ)の検知にも役立ち、より広範囲でさまざまなタイプの攻撃からウェブサイトを保護し、サービス継続性を保つことでユーザエクスペリエンスを向上します。

 

>>プレスリリースはこちら

>>クラウド・セキュリティ・ボットマネージャ

 

クラウド・セキュリティのその他のプロダクトについては、以下よりご覧いただけます。

>>クラウド・セキュリティ DDoS

>>クラウド・セキュリティ WAF

 

 

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

 

>> お問い合わせはこちら

>> プロダクト詳細はこちら

>> 資料ダウンロードや導入事例などはこちら

 

株式会社シーディーネットワークス・ジャパン TEL:03-5909-3373(営業部)

 

PAGE TOP