ブログに戻る

フォロー&ご登録

目安となるシグナル : 有益なボットトラフィックと悪質なボットトラフィックの見分け方

Brendon Macaraeg

Senior Director of Product Marketing, Fastly

ボットは悪いものとみなされがちですが、すべてが害を与えるために構築されているわけではありません。端的に言えば、ボットは人間の介入なしにタスクを実行するために使用されるもので、Web トラフィック全体の40%以上を占めています。

ボットの中には、検索エンジンのクローラーや Web サイトの健全性をモニタリングする無害なものもありますが、アカウントの乗っ取りや API の侵害を目的とする悪意のあるものもあります。私たちはこれらの悪意のあるボットをキャッチできるようにする必要がありますが、良いボットを許可し、悪いボットをブロックするためには、どのように見分ければよいのでしょうか?

悪質なボットはコードを繰り返し実行し、自動化された Web トラフィックを生成します。これらのボットは、リテーラーや銀行をはじめとするあらゆる企業が貴重な個人情報や財務データを保管するシステムのログインページや取引を行う Web ページに対して大量の Web リクエストを送信し、Web アプリケーションや API を通じて侵入します。以下では、攻撃者が不正な目的でボットを使用する3つのシナリオと、悪質なボットの特定に役立つトラフィックのシグナルについてご紹介します。

コンテンツスクレイピング

Web スクレイピングボットは Web サイトから自動でデータを収集し、コピーします。無害な検索エンジンクローラーのふりをしてコンテンツをスキャンするこの悪質なボットは、Web サイト所有者が知らない間に承諾なしにコンテンツを盗み出します。

攻撃者はこのコンテンツをさまざまな悪用方法で再利用することができます。彼らは、著作権で保護されたテレビ番組や有料のニュース記事を公開したり、ブログ記事を複製して SEO の価値やオーガニックトラフィックを盗んだりします。また、スクレイピングされたコンテンツを利用して、競争上の優位性を得るために製品の価格情報や在庫データを収集したり、連絡先情報をまとめて販売対象として他の企業に売り込んだりすることも知られています。

在庫スクレイピングボットは商品ページを訪問し、検索を実行することでサイトのデータを収集します。これらのボットは、SANS などさまざまなソースが公開している既知の悪質な IP アドレス範囲と照らし合わせることで特定できます。また、Fastly の次世代 WAF (旧 Signal Sciences) では、悪質であることが確認されている送信元からの疑わしいトラフィックを検出する独自の技術 Network Learning Exchange によって、既知の IP アドレスによる後続の攻撃からお客様を守ることが可能です。

アカウント乗っ取り

セキュリティが侵害されると多くの場合、ダークウェブ上にユーザー認証情報のデータダンプが発生します。攻撃者は盗まれたユーザー名とパスワードを購入し、自動ボットを使って大手リテーラーや金融機関の Web サイトの認証フローでこれらの組み合わせを高速にテストすることができます。このプロセスは「クレデンシャルスタッフィング」として知られています。有効な認証情報が見つかると、他の Web サイトでそれらの情報を利用してアカウントを乗っ取り、正当なユーザーを締め出します。また、攻撃者はこうしたアカウントから個人を特定できる情報 (PII) や支払方法を取得し、さらなる不正を働く可能性もあります。

ここで大切なのは、重要な認証イベントをモニタリングすることです。これには、アカウント作成やログインといった ATO の試行が発生するポイントの可視化が必要です。特定の期間における「通常」または想定されるリクエス数を定義することで、異常な数値を見分ける基準を定めます。次に、ログイン試行やパスワードリセットなどの認証イベントにおけるリクエスト数が想定されたしきい値を超過した場合、関係者に向けてアラートを発信し、これらの異常なリクエストを自動的にブロックすることでアプリや API エンドポイントへの過負荷を防ぐことができます。Web リクエストの傾向をモニタリングすることで、DevOps やセキュリティチームがリクエスト急増の原因となる悪意のある行動を迅速に特定することも可能になります。

API の悪用

最先端の Web やモバイルアプリケーションの中核的な存在である API は格好の攻撃対象であり、攻撃者は正当な API ユーザーを装って API に攻撃をしかけます。Gartner の調査によると、2022年までに企業の Web アプリケーションのデータ漏えいにおいて API が最も一般的な攻撃領域になると予測しています。API の保護が戦略的なセキュリティ計画に欠かせないのは明らかです。

企業の事業運営において、API はさまざまなデータを処理します。自動ボットは PII やクレジットカード番号といった機密データを抽出するため、API を悪用します。たとえば攻撃者は公開されている API に対してボットを使用し、XFF ヘッダー情報を偽装してアカウント乗っ取り攻撃を実行します。

悪意のあるリクエストを検出・ブロックすることは、攻撃者による API の悪用やサービス停止、データ漏えい、アカウントロックアウトの発生を防ぐ上で重要です。API の悪用を防ぐには、攻撃者がどこでどのようにアプリケーションにおける認証イベントなどのビジネスロジックを操作しようとしているのかを可視化する必要があります。こうしたリアルタイムのインサイトを可視化するためには、API の機能によって異なるアプリケーションの重要なトランザクションイベントを計測し、モニタリングする必要があります。

たとえば、ギフトカードのクラッキングは、ユーザーがギフトカードの残高を確認するための API に対して、ボット操作者が有効なギフトカード番号を取得するためにブルートフォース攻撃を仕掛ける際に発生します。ギフトカード API に対する異常なリクエスト数や同一 IP からの大量の失敗は、ブルートフォース攻撃を受けている可能性があることを示します。

ボットによるスキャルピング行為は、割引や限定版アイテムを購入するため、購入フローに対して行われます。詐欺師は不正に入手したクレジットやプリペイドカードを使って商品を購入し、大量にまたは割増価格にて転売します。このタイプのボットを特定するには、同一 IP アドレスによる「カートへ追加」行為の異常な増加が指標になります。

ボット対策の鍵

Web アプリや API の保護において可視性は重要ですが、悪質なボットによるトラフィックを阻止するにはそれだけでは不十分です。アプリケーションや API エンドポイントをターゲットとしたトラフィックに関する正確な分析情報に加え、アプリケーションや API で人間以外による動作を検出し、防止することができる高度なレート制限も必要です。

ユーザーエージェント、パス、メソッド、スキーム、ポストまたはクエリパラメーター、リクエスト Cookie など、アプリや API の悪用を防ぐためにアプリケーション固有のルールを迅速に確立できるソリューションをご検討ください。こうしたシグナルが作動すると、Web リクエストのブロック、チームへのアラート、その他の適切なアクションが自動的に実行されます。