RSS

2019/05/24

【イベントレポート:その1】Security Days Spring 2019 Tokyo 講演ダイジェスト

Category:

 

SECDays1     SECDays2

本記事は、2019年3月8日に開催された「Security Days Spring 2019 Tokyo」の開催レポートを全2回にわたってお届けします。

 

第1回(本記事)

第2回

 

当日は会期最終日ということもあり、多くのお客様にご聴講を頂き、おかげさまで大盛況となりました。
お忙しい中にもかかわらず、当社講演にご来場いただいた皆様には厚く御礼申し上げます。誠にありがとうございました。

 

本講演では、BAD BOTを利用した攻撃手法、迷惑アクセス行為や攻撃パターンのデモンストレーションなど、攻撃者の視点から見たBOT攻撃について解説し、BOT対策への理解を深めていただくための講演をさせていただきました。

 

本稿では、講演の一部内容をダイジェスト版としてご案内いたします。

 

なお、記事の末尾には、講演資料のダウンロードリンクを設置しています。あわせてご利用ください。

 

 

=======================

< CDNetworks講演 >

「知らずのうちに悪さをする迷惑ボットによるアクセスの実態と対処法」

 

 

BOTとは?

 

BOTは、GOOD BOTとBAD BOTが存在します。
皆さまのWebサイトにアクセスし、ビジネスインパクトを与える動作をするのがBAD BOTです。

(クリックで拡大)
SECDays3

 

今や、Webアクセスの半数以上はBOTによるものと言われており、今後もこの割合はますます増加する一方です。CDNetworksを含めた各社が提供しているBOT対策ツールやサービスの活用は、こうしたBOTからのアクセスを可視化して攻撃を検知/ブロックし、お客様サーバへの負荷を軽減します。

 

(クリックで拡大)
SECDays4

 

ここで、BAD BOTの行為がビジネスに与えるインパクトについて事例を紹介します。気づかないうちに大きなインパクトを与える事態になっているかもしれませんので、担当者は注視しておくべきでしょう。

 

・航空会社の例
キャンペーンで発売された航空券をBOTが先占したり買い占めたりしてしまい、一般の利用者が購入しようとしても、既に満席表示で予約が取れない

 

・ホテルサイトの例
宿泊予約をBOTが大量に行い、キャンセル料発生直前や、支払い期限前に全キャンセルするような行為を繰り返される

 

・ECサイトの例
競合サイトによる価格やコンテンツの定期的なチェックなどにより、BOTからのアクセスが増加してサーバへの負荷が増加する

 

(クリックで拡大)
SECDays5

 

 

BAD BOTについて

 

BAD BOTをJavaScriptに対処”できるBOT”と”できないBOT”に独自の見解で区分けしてみました。

 

(クリックで拡大)
SECDays6

 

 

JavaScriptに対処できないBAD BOTについて

 

これは、悪意のある攻撃系に多くみられ、比較的軽い処理でアクセスを遮断することができます。遮断方法は、プロセスの途中にJavaScript処理を挟むことで、これに対処できなかったクライアントをBAD BOTと判断します。

 

では、BOTを簡単に作成できるツールを利用して、実際に自分でBAD BOTを作ってみましょう。

 

(ここでデモンスとレーションを行いました。)
GitHubで公開されているサンプルを利用して作成したBOTをご紹介しました。

 

(クリックで拡大)
SECDays7

 

ただし、自分で作成すると、それがGOOD BOTなのかBAD BOTなのかの判別がなかなか難しく、

そこで各社のBOT対策サービス(BOT Manager)を活用することで、この判別が容易にできるようになります。

 

では次に、基本的なBOT Managerの仕組みについてご説明します。
なお、サービスの詳細は各社により少々異なりますが、ここではCDNetworksの仕組みをベースにお話しします。

 

(クリックで拡大)
SECDays8

 

まず、BOT Managerによる防御フローについてです。

 

① JavaScriptを処理できるか否かを判断します
② 1回目のアクセスでBOT Managerを介してお客様のサーバにリクエストが届きます
③ リクエストに応じてWebページをそのまま返します
④ BOT ManagerがJavaScriptのソースコードを挿入して返します(JavaScriptには2+3=?
のような計算処理をして答えを戻しなさいと書かれています。処理の方法は各社により異なります)
⑤ 戻したデータが正しければ通し、正しくなければブロック(Webサーバに接続させない)します

 

 

JavaScriptに対処できるBAD BOTについて

 

JavaScriptに対処できるBOTは、迷惑系のアクセスに多く見られます。

 

特にオンライン予約サイトでは、JavaScriptを使用するWebサイトが大半のため、攻撃者はSelenium系のツールを用いてJavaScriptに対処できるBOTを作成しています。また、迷惑アクセスの標的にされやすい興行チケット購入サイト用のBOT作成ツールが、ソフトウェアパッケージとしてネット上で販売されていたりします。

 

(クリックで拡大)
SECDays9

 

ここでSelenium系のBOT作成ツールの一般的な操作手順をご紹介します。

 

① まず、ターゲットとするWebサイトにおける閲覧動作を記憶します
② 次に記憶された閲覧動作の各プロセスを調整し、スケジュールを作成します
③ 最後にBOTを使ってスケジュールを実行します

 

(クリックで拡大)
SECDays10

 

(ここでデモンストレーションを行いました)
チケット販売サイトに簡単に仕掛けられてしまうBAD BOTの操作例をご紹介しました。

 

BOTは日々高度化しています。従来は不可能だったキャプチャの解読機能が備わったものも出てきており、BOT対策サービスやソフトを容易に突破してしまうBOTも徐々に増えつつあるのが実情です。

 

 

≫≫≫  第1回はここまで、第2回に続く・・・

 

 

CDNetworksのクラウド型セキュリティサービス

 

CDNetowkrsでは、クラウド型のWebセキュリティサービスを提供しています。CDNでセキュリティ対策を行うメリットは、グローバルに豊富なキャパシティを有するCDNの配信プラットフォームをセキュリティ対策にも利用できることです。つまり、「Webパフォーマンスの向上」と「Webセキュリティの強化」のいいとこ取りができる点が大きなメリットと言えます。


CDNetworksでは、下記3つのサービスをお客様に提供しています。

 

■クラウド・セキュリティ・ボットマネージャ >>こちら

急増するボット攻撃を未然に検知しブロックする多彩な機能を搭載し、未知の攻撃(ゼロデイ)検知にも有効です。より広範囲でさまざまなタイプのボット攻撃からWebサイトを保護します。

 

■クラウド・セキュリティ WAF >>こちら

豊富なシグネチャに対応し、動的ルールやボット管理機能による未知の攻撃(ゼロデイ)にも対応するなど、さまざまな脆弱性を検知・ブロックしてアプリケーション層への攻撃を防御します。

 

■クラウド・セキュリティ DDoS >>こちら

昨今発生しているDDoS攻撃のほぼすべてに対応し、ネットワークレイヤ3/4のすべての攻撃のほか、アプリケーションレイヤ7の攻撃にも対応します。

 

ご興味のあるお客さまは、お気軽にお問い合わせください。

 

==================================

■サービス導入に関するお問い合わせ、トライアル申込はこちら >>お問い合わせフォーム

■セキュリティ脆弱性診断はこちら >>お申込みフォーム

■サービス資料のダウンロードはこちら >>資料ダウンロード

■サービス導入事例やホワイトペーパーのダウンロードはこちら >>資料ダウンロード

==================================

 

☟講演資料はこちらよりダウンロードいただけます。

SecurityDaysSpring2019_event-material

【お問い合わせ】
株式会社シーディーネットワークス・ジャパン TEL 03-5909-3373 (営業部)

 

PAGE TOP