今すぐチャットを開始

Limelightの担当者とチャット

LIMELIGHT WAF
ADVANCED BOT MANAGER

TECH BRIEF

BAD BOT からサイトを守り、GOOD BOT を有効に活用

現代において、Botはインターネット上のトラフィックの大きな部分を占めていますが、それらのBotの半分以上が悪意を持ったBotです。これらの犯罪的Botは、サイトの脆弱性を探し、脆弱なマシンに感染してそれをコントロール下に置き、DoS攻撃を引き起こし、データを盗み、 詐欺を働きます。しかし一方で、検索エンジンやデジタルアシスタント、その他の有益なBotが無ければ、インターネットは停止してしまうで しょう。Limelight WAF Advanced Bot Managerは、正規のBotトラフィックを管理しながら、悪質なBotトラフィックを排除することによっ て、収益を生むWebトラフィックを維持するために最大限の可用性を実現し、Webインフラストラクチャのセキュリティを確保します。

課題: インターネットBOTの急増

今やBotは、圧倒的な勢いでインターネットを席巻しています。Statistaの調査1 によると、ウェブサイトへの訪問の実に半分以上が自動化されたスクリプトで、人間にとっては退屈で時間のかかる反復作業をBotが代行しています。

BAD BOT

悪意を持ったBotは、様々な方法で被害をもたらします。最も一般的な攻撃には以下が含まれます:

偵察

悪意を持ったBotは多くの場合、最初は「偵察ミッション」を担います。これは脆弱性を持ち保護されていないコンピュータを探し出す活動で、それによって攻撃対象を探します。Botは対象マシンを調べ、どのブラウザを使っているか、どのようなサードパーティアプリを使っているかを調べ、マシン環境と脆弱性を把握します。

脆弱なマシンに感染して遠隔操作

悪意のあるBotが脆弱なコンピュータリソースを見つけると、そのマシンに感染してインターネット上のコマンド&コントロールシステム(CnC)と通信を行います。CnCシステムは乗っ取ったコンピュータリソースに指令を出し、様々な自動化タスクを実行させます。こうしてBotに乗っ取られた大量のデバイスをひとまとめにし、指令を出して遠隔操作するのがBotネットです。 乗っ取られてBotネットに組み込まれやすいコンピュータリソースのタイプとしては、家庭用インターネットルーター、ネットワーク機能付きデジカメ、その他の無線LAN対応の家庭用インターネットデバイスなどがあげられます

DoS/DDoS攻撃

BotやBotネットは、多くの場合ネットワークレイヤーでのサービス無効化攻撃(DoS)、および分散型サービス無効化攻撃(DDoS)に使われます。これらの攻撃は、大量のアクセスをウェブサイトに集中させてサイトのパフォーマンスを低下させたり、サイトをダウンさせたりします。「Oct 2017 Neustar Cyber Security Insights Report」2によると、2017年には組織の90%がDDoS攻撃に関連する何らかの活動を認識したということで、76%は複数の攻撃と闘わなければならなかったということです。

レイヤー 7 でのDDoS攻撃

レイヤー 7でのDDoS攻撃は、アプリケーションレイヤーを狙った攻撃です。Botは本物のユーザーとそっくりなリクエストを送ります。これらの攻撃は、サイトが過負荷に陥り応答しなくなるまで気づかないことが多いため、注意が必要です。

スパムBot攻撃

Botがメールアドレスを集め、そのアドレスへ向けて膨大な量のスパムメールを配信します。あるいは、ユーザー名とパスワードを収集して、それらのクレデンシャルを使ってアカウントを乗っ取り、マルウェアの配信に利用します。

インジェクション攻撃

クロスサイトスクリプティングのようなインジェクション攻撃は、信頼されているウェブサイトに悪意のあるスクリプトを埋め込み、被害者のブラウザにスクリプトを送り込みます。

窃取

ひとたびBotがホストマシンに感染すると、クレジットカード番号や銀行の認証情報などの個人の機密情報が盗まれ、ハッカーへ 向けて送信されてしまいます。これらの攻撃はブランドの評判にも傷を付けます。

パスワードの類推

Botはブルートフォース攻撃(総当たり攻撃)にも使われます。これは、よく使われるユーザー名/パスワードの組み合わせを何千回も自動的に繰り返してそのサイトでの正しい組み合わせを見つけ出す攻撃で、ウェブサイトに侵入して大損害を与えます。

クリック詐欺

サイバー詐欺師達は、インターネット広告を自動クリックして、人間が見てもいないのに広告費を水増しして請求します。 Business Insider3 によると、その金額は2017年には164億ドルに達しており、Association of National Advertisers4 が2016年の被害額として見積もった72億ドルから倍増しています。

ウェブスクレイピング

これはコンテンツパブリッシャーとEコマースサイトを狙った攻撃で、ウェブスクレイピングBotがコンテンツを盗み、それらを無断で再配布します。(例)オンライン小売業者は商品の価格や在庫の有無を表示し、顧客に情報を提供して購入を促すために商品レビュー、特製写真、製品詳細を掲載していますが、ウェブスクレイピングによって競合する業者がコンテンツをまるごと盗み出し、価格を低く設定して顧客を集める。

カート放棄

ショッピングカートに商品を入れたまま、それを放置してしまうBotもあります。正規のユーザーは、Botがカートに入れた商品にアクセスできず、購入することができません。これにより、正確な売上げや商品の人気動向を把握できなくなり、間違った意志決定をしてしまうことになります。

GOOD BOT

悪意のあるBotが多くを占めるとはいえ、インターネットにとって重要な働きをしているBotが多いのも事実です。これは、Botをただブロックすれば良いというわけではないことを示しています。セキュリティソリューションはBad Botをブロックし、Good Botの活動は許可しなけ ればなりません。Good Botには以下が含まれます:

  • ■ ウェブサイトをクロールしてリンクをチェックし、コンテンツを収集してインデックスをアップデートする検索エンジンBot
  • ■ ウェブサイトをクロールして情報を収集するコマーシャルエンタープライズBot
  • ■ データやRSSフィードを収集してウェブサイトに表示するためのフィード収集Bot
  • ■ ウェブサイトの様々なパフォーマンス指標を監視するモニタリングBot

 

BOTの悪質化

Botを見つけ出すことだけが、ウェブサイトのオーナーにとっての課題というわけではありません。まず最初に、ウェブサーバーにはGood BotとBad Botを見分ける保護指標が必要です。たとえば、サーバーはショッピングBotと通信する必要がありますが、そのBotは顧客のクレ ジットカード番号やその他の個人情報を盗み出すための偽物かも知れません。万一顧客が自分の情報が漏れたことに気づけば、そのブラ ンドは深刻な影響を受けるでしょう。

ソリューション: LIMELIGHT WAF ADVANCED BOT MANAGER

Limelight WAF Advanced Bot Managerは、Bad BotをブロックしGood Botを活用することで、Eコマースなどのサイトで売上げに繋がるト ラフィックをサポートし、サイトを安全に運用し続けることができるようにします。パフォーマンスに影響を与えずにWebアプリケーションを保護するために、Bot管理ポリシーを常に監視・最適化することで、最高の顧客体験を提供します。

多層防御の重要なコンポーネント

Limelight WAF Advanced Bot Managerは、サイバー攻撃からウェブサイトを守るための多層防御基盤を提供するLimelight Cloud Security Serviceアーキテクチャの重要なコンポーネントです。ライムライトの包括的なソリューションは以下を含んでいます

  • ■ ジオロケーション、IPホワイト/ブラックリストなどのアクセス制御機能を持ち、SSLを使った膨大なトラフィックに対応できるグローバルな コンテンツデリバリーネットワーク(CDN)
  • ■ 最大級のDDoS攻撃にも対応でき、影響を緩和するDDoS Attack Interceptor
  • ■ アプリケーションとウェブインフラを保護するためのBot ManagerとAPIセキュリティを含むWeb Application Firewall(WAF)

包括的なBOT検出と管理機能

すべての悪意あるトラフィックを、ひとつのソリューションで検知することはできません。そのためLimelight Cloud Security Serviceには包括的なツール群が含まれており、Bot検出を広範な多層防御戦略の一部として位置づけています。

BOTの識別

Botは自動化されたスクリプトです。多くのBot防御の手法は、コンテンツへのアクセスを要求しているのが人間かどうかを見極めるところから始まります。

CAPTCHA

簡単な質問ではスクリプトに答えられてしまうため、セキュリティの専門家達はもっと洗練された質問方法を編み出しました。そのひとつがCAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)です。Captchaは、写真、文字列、 数字などのイメージを表示し、それが何かを理解した上で答えを入力して貰うことで、入力者が人間かどうかを見極めようとするもので す。Captchaでよく使われるのは、たとえば12枚の写真を表示し、その中で自動車が写っている写真だけを何枚かクリックさせる、というものです。答えが合っていれば、それは人間だと推定できます。

 

Captchaのメリットは、実装が簡単で迅速に行え、シンプルなスクリプトベースのBot(HTTP Post Floodやランダムな偽アカウントを作成するBot)を阻止できることです。多くのユーザーがこの手法に慣れているということもあります。

 

この安全策を回避する方法のひとつが「Captcha as a Service」です。これは、BotがCaptchaの質問を検知すると、それを人間のチームに転送して質問に答えて貰えるサービスで、これによってBotはCaptchaを突破できます。Captchaのもうひとつの弱点は、ユーザーに余計な操作を要求することで顧客体験を損ねてしまうことです。

インタラクションによる識別

顧客体験を向上させるために、インタラクションによる識別が開発されました。これは、サイト上での様々な行動を解析することで、アクセスしているのが人間かBotかを識別しようとするものです。システムはマウスの動き、サイト上のボタンのどこをクリックしているか、 サイト上でどれくらいの時間滞在しているかなどの行動を監視し、Botか人間かを見極めます。たとえば、Botは検索ボックスのまったく同じピクセルを毎回正確にクリックするなど、人間ではできない操作を行うのです。

技術による識別

JavaScriptによる識別とデバイスフィンガープリンティングは、ユーザーの操作やウェブサイトの動作に影響を与えずにBotと人間を識別できます。これらのソリューションはページのレイテンシやロード時間に影響を与えません。

JAVASCRIPT CHALLENEGES

JavaScriptは「クライアントサイド」のプログラミング言語で、本来は静的なウェブページを対話型のページにすることができます。たとえば、JavaScriptを使って入力フォームへの入力に間違いが無いかを入力中にチェックすることができ、ユーザーは送信前に間違いを訂正することができます。通常のウェブブラウザはJavaScriptを読み込み、解釈して実行することができます。しかし、Botは通常 JavaScriptには対応していません。JavaScriptによる検証は、ブラウザでJavaScriptが動作しているかどうかをチェックすることで、もし動作していなければ、疑わしいと判断します。

デバイスフィンガープリンティング

デバイスフィンガープリンティングは、ウェブサイトにリクエストを送ってきたデバイスについての50種類以上の属性を収集してそのデ バイス固有のハッシュを生成します。通常のデバイスでは、ブラウザとそのバージョン、OSとバージョン、その他の利用中のソフトウェア など、環境は様々ですから、ハッシュが同じデバイスはまったく無いか、あっても極少数です。

 

一方でほとんどのBotはブラウザ(とその属性)を模倣しており、同じスクリプトを数百~数千のマシンで実行します。同じハッシュを持つデバイスが100、500あるいはそれ以上同時にアクセスしてきた場合、それらのデバイスはどこかのCnCサーバーによってコントロールされていると考えられます。デバイスフィンガープリンティングは、同じスクリプトを使っている大量のマシンを特定できます。

BOT管理のベストプラクティス

インタラクションベース(Captcha、行動パターン)やマシンベース(JavaScript、デバイスフィンガープリンティング、トラフィックシェイピ ング)を含む多様なBot検出メカニズムは、Bad BotとGood Botを見分けるための最適な方法です。

防御機能

トラフィックシェイピング

膨大なリクエストがサイトに集中すると、正規のトラフィックが通過できなくなります。トラフィックシェイピング(IPレート制限とも呼ばれます)は、リクエストがどこからどれくらい来ているのかを観測し、正規のトラフィックが通過できるようにするためにはどのリクエストを制限すべきかを解析します。IPレート制限はDoS攻撃やスパムメール攻撃を阻止するためにも使われます。

ホワイトリスティング

ホワイトリストを作成し、既知のGood Botについては識別無しでWAFを通過できるようにします。ホワイトリストに載っているBotは高速に、何回でもサイトにアクセスできます。

BOT MANAGER の導入

Limelight WAF Advanced Bot ManagerはBotトラフィックの管理だけで無く、ソリューションの導入・配備・管理を簡素化するための機能も提供します。これはクラウド上でホストされている柔軟なソリューションで、IT部門がハードウェアおよびソフトウェアを管理する手間が省けます。継続的な監視とBot管理ポリシーの最適化機能により、パフォーマンスに影響を与えることなくウェブアプリケーションを守るためのセキュリティプロファイルを最適に保つことができます。Bot攻撃をセキュリティ担当者にリアルタイムに伝えるダッシュボード、レポー ト、解析およびアラートにより、問題への迅速な対処が可能です。

導入のメリット

Limelight WAF Advanced Bot Manager には、以下のメリットがあります:

ブランドの保護

セキュリティ侵害を受けたブランドの評判は、長期にわたって深刻な影響を受けます。コンシューマの40%以上が、直近に侵害を受けたサイトへのアクセスは控えると答えています。Bad Botを識別してブロックし、顧客デー タを侵害から守るためにウェブアプリケーションセキュリティを強化して、ブランドのレピュテーションを保護します。

顧客の再訪率を向上

コンシューマは、高速にレスポンスを返すウェブサイトに対して高いエンゲージメントを維持します。リソースを食い潰すBotをブロックして顧客体験を向上させ、最も高速なオンライン体験を提供することで、顧客の再訪問を促します。

進化するセキュリティ上の脅威から保護

Bot管理ポリシーの継続的監視と最適化により、新しく勢いのある脅威からウェブアプリケー ションを守るために、理想的なセキュリティプロファイルを維持します。

ORCHESTRATE PLATFORMについて

Limelight Orchestrate Platformは、現代の視聴者が望むエクスペリエンスを提供するための速度、機能、安定性を併せ持った世界規模の プライベートネットワーク上に構築されています。この業界をリードするプラットフォームには、コンテンツ配信、ウェブ高速化、オリジンストレージ、ビデオ管理、クラウドセキュリティ、そしてサポートサービスが含まれています。世界規模のプライベートネットワークと先進的ソフトウェア、そしてエキスパートサービスというユニークな組み合わせは他のCDNを凌駕し、ワークフローを改善してエンドユーザーのエクスペリエンスを第一に考える「Experience First」を実現します。

 

 

1https://www.statista.com/statistics/670782/bot-traffic-share/

 

2https://hello.neustar.biz/201710-Security-Solutions-Siteprotect-DDoS-2H2017-Report-LP.html?_ga=2.130337871.1706057714.1516066955-63506487.1514564653

 

3http://www.businessinsider.com/thepartnership-msix-and-adloox-ad-fraud-2017-2017-3?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed:%20typepad/alleyinsider/silicon_alley_insider%20%28Silicon%20Alley%20Insider%29&utm_term=BII%20List%20DMedia%20ALL

 

4http://adage.com/article/digital/ana-report-7-2-billion-lost-ad-fraud-2015/302201/