第1回では、「ボットとは」と題してボットの最新動向について触れました。(記事はこちら)、第2回では、「ボットへの対抗策」と題してこれまでのボット対抗技について触れました。(記事はこちら)、最終回の本稿では、最新ボットへの対抗技術、そして今後企業が取るべきボット対策について紹介します。
最新のボット対抗技術
既存のWAFは、すべてのリクエストを個別リクエストと認識し、リクエストに特定の文字列があるかどうかのシグニチャチェックをするのが一般的です。そのため、定義されたシグニチャがなかったり、これを迂回する攻撃に対しては防御できないという欠点がありました。
一方で、クラウド型WAFはこのようなシグニチャ以外にも既存の接続パターンや評判 (IPレピュテーション)および接続するクライアント・ブラウザのパターンなどクラウドが持つビックデータの長所を最大限に活かして収集・分析した情報を総合的に解釈してこれに対応するため、知能化された攻撃にでも先制対応できる特徴があります。
またブラウザに保存されるcookieのようにブラウザごとに独特なFingerprintを利用してクライアントを認識するため、1つの公認IPを共有するNAT環境でも私設IPアドレスのみ認識してブロックすることができます。
– JavaScriptチャレンジ/JS Challenge
大抵のボットは、目的を素早く遂行することを優先するため、ブラウザ上で動くcookieやJavaScriptなどの複雑で重たい機能は実行しません。
このような特徴を利用してWebサーバがレスポンスする際に、WAFでは「3+5=?」のような簡単な計算をするJavaScriptを挿入してレスポンスをし、正常ブラウザはJavaScriptを実行してその結果を次のリクエストの際にcookieにて自動的に返します。しかし、ボットはJavaScriptを実行しないためレスポンスすることはありません。
JSチャレンジでパスできなかったクライアントは、悪性ボットと判断されて、それ以降の接続はブロックされます。実際にこの機能はHTTP Get フラッドのようなDDoS 攻撃を防御する際にも使われており、誤検知のない安定した技術として知られています。この機能だけでも80%を超えるボットを検知してブロックすることができます。
これを迂回できる進化型ボット(advanced bot)は、次に紹介するデバイス・フィンガープリント・チャレンジ(DFC)とヒューマン・インタラクション・チャレンジ(HIC) 技術で対応することができます。
– デバイス・フィンガープリント・チャレンジ/DFC
ブラウザやプラグインなど一般的なユーザのクライアント環境はそれぞれ異なりますが、ボットが頻繁に変わることはなく、特にボットネットを形成した場合、各ボットには共通した特徴がある点を利用して正常ブラウザとボットを区分する技術があります。
つまり、Webサーバに接続するブラウザ別にWAFで認識できる複数の値を組み合わせて、それぞれを区分する “デバイス・フィンガープリント”値を生成し、これを利用してフィンガープリント値と比較して対応する技術です。これもJavascriptを利用しています。
Fingerprintは、ブラウザから得る約40のパラメータ項目を組み合わせて ( http://browserspy.dk/ に接続するとさまざまなテストが可能)hash値を作成します。ここでは簡単に偽造できるユーザエージェントではなく、クライアントに設置されているフォントリスト、プラグイン、画面サイズや方向、解像度など、偽造が難しいさまざまな情報が使われます。この時、正常ブラウザであればこれらの情報を提供することができますが、情報を全く提供できなかったり、ビヘイビア分析(行動分析)の結果により、悪性ボットと認識されるクライアントをブロックすることができます。
このDigital Fingerprint技術はサイバー犯罪の分析でも一部使い始められており、今後も持続的に発展してゆく技術です。
– ヒューマン・インタラクション・チャレンジ/HIC
人が接続をする場合、Webサイトに接続した後にマウスを利用して画面を移動し、特定リンクをクリックしたりキーボードを利用して単語を入力します。モバイルなら指やペンを利用して画面をスクロールしてタッチすることでウェブサイトとの相互作用を図ります。
しかし自動化されたソフトウェアのボットは事前条件に従ってアクションがプログラミングされており自動的にプログラムが実行されるため、このようなイベント(一連の行動)はありません。従って、複数回のHTTPリクエストがあったにも関わらずイベントが検知されない場合には、悪性ボットと判断してブロックすることができます。
また、ボット対抗策において必ず必要な事前作業として、業務に必要な良性ボットは事前に把握して許可しておくことです。モニタリングやパフォーマンス測定のために内部で接続する場合は、事前にホワイトリストへ IPを登録しておくことで悪性ボットとして検知/ブロックされないようにします。また、GoogleやBing、Yahooなど検索エンジンのクローリングも正常な接続のため許可しておく必要がありますが、ユーザエージェントだけでなく接続IPもチェックして許可すると誤検知を抑えることができます。
結論
昨今の自動化ボットは、主にDDoS攻撃や無作為な入力によるログイン侵害などに利用されている認識はあったものの、それほど広く認知されていませんでした。
しかし、本ブログの最初に言及した「ボットトラフィックレポート」を見ると、ボットが占める比率がインターネットトラフィック全体の1/3を占めるほどに拡大しており、その数は持続的に増加しています。いまやボットはブラウザと大差ないほど類似してきており、今後ますます複雑化・高度化した戦いになることは疑いようがなく、対応の難しさにこれからも頭を悩ませることになるでしょう。
結論として、いつ・何時、深刻な問題に陥るか分からない悪性ボットを事前に検知・ブロックするサービスの導入を急ぐべきです。
実際にCDNetworksのセキュリティプロダクトを利用しているお客様の場合、このサービスを導入してから全体トラフィックの54%を超えるリクエストが、自動化ボットであることが分かり、ブロックすることでWebパフォーマンスを改善しています。
結果として、ホームページ内のデジタルコンテンツのセキュリティ強化を図ることができるだけでなく、悪性ボットから発生するトラフィックを半分に減らすことによって、不要なコストとリソースを節約することができ、ユーザがより安定的にウェブサービスを利用できるようになりました。
この数年間、ボットは多くのセキュリティプロダクト、ひいてはキャプチャを迂回するなど進展し続けてきたことから、これからも運営者が気づかない間にWebサイトの大切なコンテンツを悪用される事体が発生する可能性があります。
槍と盾の戦いのように、攻撃者が新しい技術で武装して悪意的な試みを行うのであれば、これに対応した技術で対抗する必要があるでしょう。
CDNetworksのボット対策「Botシールド」
CDNetworksは、急増するボットによるサイバー攻撃を未然に検知して防ぐことのできるクラウド型のボット攻撃防御対策「Botシールド」を提供しています。
Botシールドは、 グローバルなCDNプラットフォームと統合されたクラウド型のボット防御対策です。急増するボットによるサイバー攻撃を未然に検知しブロックする多彩な機能を搭載しており、Webセキュリティの強化を図るとともに、パフォーマンスと可用性の高いWeb配信を実現します。また、ボットによる未知の攻撃(ゼロデイ)の検知にも役立ち、より広範囲でさまざまなタイプの攻撃からWebサイトを保護し、サービス継続性を保つことでユーザエクスペリエンスを向上します。Botシールドは、CDNetworksが提供中のWAF(ウェブ・アプリケーション・ファイアウォール)との組み合わせで利用することができます。
CDNetworksのクラウド型セキュリティサービスの詳細については、以下よりご覧いただけます。
・DDoS対策「フラッド・シールド」
・WAF対策「アプリケーション・シールド」
・Bot対策「Botシールド」
詳しく知りたい場合には、お気軽にお問い合わせください。
==================================
■お問い合わせはこちら >>お問い合わせフォーム
■その他資料のダウンロードはこちら >> 資料ダウンロード
==================================
☟CDNetworksでは、ホワイトペーパーを提供中です。是非ダウンロードしてご一読ください。
株式会社シーディーネットワークス・ジャパン TEL:03-5909-3373(営業部)
