新型コロナウイルス感染症の影響で経済活動がオンラインにシフトし、botによる自動攻撃が金融やEコマース、ゲームなどの業界を襲っている。bot対策は一筋縄にはいかない。日々botと戦う最前線の技術者に、攻撃傾向と対策ポイントを聞いた。
新型コロナウイルス感染症(COVID-19)の拡大に伴い、企業はさまざまな活動の場をオンラインに移している。それに便乗するかのように活発化しているのが、プログラムで機械的にWebサイトにアクセスする「bot」だ。
EC(Eコマース:電子商取引)サイトでの商品購入や、流出したIDとパスワードを用いた不正アクセスなど、さまざまな行為に及ぶbotは人のアクセスと区別を付けるのが困難になりつつある。高度化するbotにどう対策すればいいのか。さらにWebサイト、Webサービスごとに異なる要件に応じてどのようなチューニングが必要か。アカマイ・テクノロジーズ(以下、アカマイ)でさまざまな分野の顧客企業のbot対策を支援してきた担当者らが、最新の傾向と対策のポイントを語った。
エンジニアA氏:金融系の顧客を担当
エンジニアB氏:Eコマースをはじめとする幅広い業種の顧客を担当
エンジニアC氏:オンラインエンターテインメントや重要インフラ事業者の顧客を担当
エンジニアD氏:アカマイのセキュリティサービス全般を担当する技術者のマネジャー
中西一博氏:アカマイのプロダクト・マーケティング・マネージャー
※セキュリティ上の理由により、中西氏以外の座談会参加者の氏名は匿名にしています。
中西氏(以下、敬称略) COVID-19の影響でビジネスの主戦場がオンラインに大きくシフトする中で、botによるパスワードリスト型攻撃が増加していると感じています。私の手元で簡単に集計したところ、2020年1〜8月に国内で公表されたパスワードリスト型攻撃による被害は前年同期比40%増の14件に上り、対策の遅れによる被害の拡大を懸念しています。
実被害の傾向を見ると、成功実績がある攻撃手法や、換金手法が確立している分野・業界が狙われやすいようです。例えば、金銭と交換可能なポイントサービスの他、クレジットカード番号の下4桁や住所を含む個人情報プラスアルファの情報が狙われています。
現在、botによる不正ログインは巧妙で、ログインしているのが一般人なのかbotなのかを見分けるのは非常に困難です。特に厄介なのが、検出を避けるために時間をかけて低頻度で複数のIPアドレスから攻撃する「Low & Slow」です。ある金融機関を狙った攻撃では、攻撃者は4万個ものIPアドレスから1時間当たり174回のペースでログインを試みていました。つまり、1つのIPアドレスからは10日に一度しかアクセスがありません。担当する日本のお客さま企業への、このようなbotを実際観測したことはありますか。
A氏(以下、敬称略) Low & Slowは日常的に見られます。私が担当する金融業界を狙うbotは、金融サービスのトップページやログインページだけでなく、パスワードリセットページなど複数のURLを狙うケースが多い印象です。最近、国内でも起きている金融系サービスの不正送金事件でも、こういったログイン試行で集められた情報の断片が使われているのかもしれません。
B氏(以下、敬称略) COVID-19の影響で経済が停滞する中、「情報を盗んで金銭を稼ごう」と考える攻撃者が多くなったと感じます。以前は海外のIPアドレスからの攻撃が主でしたが、最近は日本国内からの攻撃も目立つようになってきました。
C氏(以下、敬称略) コロナ禍で外出が制限される中、オンラインの通販や娯楽を楽しむ人が増えました。トラフィックが増加したオンラインサービスではbotの検出件数も増えているようです。botの大半は単純なものですが、中には攻撃対象のWebサイトをよく調べ、サイト構成や脆弱(ぜいじゃく)な本人確認の仕組みを突いた攻撃を仕掛けるものがあります。
中西 Webサイトの管理者以上に詳しく調べていますよね。守る側でもログインだけでなく、購買や決済での画面遷移の他、他社サービスとの連携やパスワードリセットなどの例外処理が狙われないかどうかなども考慮して、細かくbot検知の網を張らないと被害を防げなくなっています。
中西 アカマイが提供するBot Manager Premier(BMP)は、振る舞い検出をはじめとするさまざまな技術を組み合わせ、パスワードリスト型攻撃や不正ログインといった危険性のある行為に及ぶbotを検出するサービスです(図1)。
BMPの特長は製品の能力だけでなく、細かくbotを検出する技術支援サービスだと考えています。botの特性を捉え、ノウハウを持った専門エンジニアがお客さまと確認しながら設定を追加します。継続的にPDCA(計画、実行、評価、改善)のサイクルを回すことで、検出を回避しようとするbotの行動をあぶり出します(図2)。実際どのような作業を実施していますか。
A アカマイは製品をまずモニタリングモードで導入した後に「何を検出したか」をお客さまと確認し、設定を細かく調整します。同じbotでもお客さまによって扱いは違います。「これは攻撃だから正検知扱いにしてください」「誤検知として除外してください」という具合です。検出漏れ以上に、フォールスポジティブ(誤検知)に気を使うお客さまも多くいらっしゃいます。FinTech(金融とITの融合)事業者が開発したbotがアクセス過多で銀行のシステムにダメージを与える場合は、FinTech企業に私たちから連絡し、金融のお客さまとの間を取り持ったりもします。
中西 もう少し踏み込んだサービスもありますよね。
A Bot Managerの検出内容をアカマイのSOCC(セキュリティオペレーションコントロールセンター)が24時間365日体制で監視し、検出した高度なbotの情報をプロアクティブにお客さまに報告して緊急対処するサービスも用意しています。botのフルタイム監視まで提供しているところはなかなかないと思います。
中西 具体的にBMPでどんなチューニングが必要になるのでしょうか。
A 業種によってもチューニングのポイントや方法は違います。金融業界の場合、初期設定でも検出できる不正ログインbotが多い一方で、パスワードリセットページなどのページのチューニングに手間を掛けています。コンテンツの改ざんチェックを自動化しているお客さまには、それをbotとして検出しないように除外処理もしています。
B 各種のチケット購入サイトをはじめECサイトは、企業間連携やエンドユーザーの動線も複雑で、多様なトラフィックが流入するので、botの正誤判定のチューニングが欠かせません。
中西 ECサイトの買い占めbotなど、BMPの標準搭載のルールだけでもかなりの部分は対処できるケースもあると聞いていますが、単純なbotも多いのでしょうか。
C ほとんどのbotは単純なスクリプトベースだと思います。体感ですが、標準搭載のルールで検出可能なものが9割を占めているのではないでしょうか。ただし残る1割に不正ログインなどの攻撃でシステムの要所を突破されると、ビジネスに大きなダメージを与えてしまいます。
B ECサイトは巣ごもり需要の高まりで利用が増え、botが人気商品を大量に自動購入する動きもありました。Webサイトがアクセス過多で落ちないように、botを防ぐBMPや正規利用者の大量のアクセスに優先順位を与えて効率的にさばく「Cloudlet Visitor Prioritization」といったサービスでサーバの負荷を軽減し、ビジネスを継続する仕組みを提供しています。
中西 Webサイトを落とすほどbotがアクセスしているのですね。
B はい。不正ログインだけでなく、買い占めbotも国内外を問わず増えている印象です。もはや「アクセス元は海外か国内か」という先入観を持たずに対処する必要があります。
C ある社会インフラ系企業のお客さまは、botに不正ログインされてポイントを奪われる直接の金銭的被害や契約者情報の漏えい防止策としてbot対策を取っています。そこで他社ツールを採用していたのですが、検出を擦り抜けられてしまうため、BMPを検討いただいています。PoC(概念実証)で事前にBMPの能力を検証していただくケースも多くありますね。
中西 無料で使えるbot検出ツールもありますが、検出漏れやフォールスポジティブが課題と聞きますね。BMPの検討段階のPoCや事前のチューニングには相当時間をかけますか。
C ケース・バイ・ケースですね。担当するゲーム会社のお客さまが、商品の不正な大量購入を防ぐためBMPを導入しました。緊急導入でしたが、お客さま自身が技術に詳しく、われわれもサポートリソースをしっかり投入したことで、2週間という短納期で導入が実現しました。導入後もトラブルなく稼働しています。
中西 アカマイの強みは、BMPだけでなくCDN(コンテンツデリバリーネットワーク)やWAF(Webアプリケーションファイアウォール)といったサービスを同時に提案できることですが、実際、対策の現場ではどうですか。
B 実はCDNが基盤になっているメリットがとても大きいのです。botによるWebサーバへの負荷を下げるだけなら、bot検出後のアクションで分散Webキャッシュだけで応答できますし、ベストエフォートで運用しているWebサーバに誘導するケースも多いです。
A 金融機関はこれまで、業界コミュニティーなどが共有する過去に攻撃を実行したIPアドレスのリストに基づいてbotをブロックすることが多かったのですが、「リストのメンテナンスが大変」という話が聞こえ始めています。そうした課題に対して、アカマイのビッグデータ分析でリスクの高いIPアドレスからのアクセスを自動でブロックできる「Client Reputation」やWAFをBMPと組み合わせる運用が有用だと評価を頂いています。
中西 最後にアカマイのセキュリティサービス部門のマネジャーから一言お願いします。
D氏 アカマイは世界中のエッジサーバを基盤としてさまざまなサービスを提供する「Akamai Intelligent Edge Platform」を通じてBMPを提供し、WAFやWebスキミング対策などの多層防御の実現も支援しています。複数Webサイトの運用やグループ企業全体にまたがる同一レベルのセキュリティ対策にも有効です。今後も製品の拡充や機能拡張を進めますが、サービスチームは、蓄積した豊富なノウハウを生かし、多様なセキュリティの課題を解決に導くテーラーメイドのサービスを提供していきます。お客さまが守りたい資産やWebサイト構成を踏まえたチューニングをお手伝いします。
提供:アカマイ・テクノロジーズ合同会社
アイティメディア営業企画/制作:TechTargetジャパン編集部/掲載内容有効期限:2020年11月2日
ITmediaはアイティメディア株式会社の登録商標です。
アカマイの中西一博氏
