10の質問で見極める!Bot攻撃に対抗する正しい不正ログイン対策とは
高度化するBot攻撃
昨今、リスト型攻撃が頻発しており、また高度化してきています。Botによるトラフィックと正常なトラフィックが酷似しているため、従来型の対策(画像認証やIPレート制限、WAF機能)では対策が不十分になっています。
対策製品を導入する必要があるのか?対策する場合には、どのような項目を考慮し、検討すべきなのか。検討されるソリューションがご使用の環境に適しているかどうかを判断するのにあたって参考にしていただきたい重要な10の質問をご紹介します。
正しい対策を見極めるための10の質問
1. 攻撃者の新しい攻撃手法に対して、どのように対応できるか
攻撃者は自分の攻撃手法に対して、何かしらの対策が講じられると、それを回避するために手法やツールを変更してきます。攻撃者が必ずと言っていいほどツールを作り直すため、パスワードリスト型攻撃の被害企業は、Botの対策をすることはモグラたたきをするようなものだと表現しています。次々と新たな攻撃手法が出現する中、現行の対策、もしくは現在導入済みのソリューションがどのように対抗することができるのかを公開アプリケーションのセキュリティ担当者様は把握しておくことはとても重要です。
2. お使いのBot対策はユーザに追加の操作を課していませんか
画像認証や二要素認証は、ユーザの満足度を低下させます。画像認証の人的失敗率はおおよそ15%~50%(CAPTCHAの種類により異なります)あると言われています。ECサイトなどの場合は、カートの放棄率が高くなり、ユーザの満足度が低下していることが分かっています。企業としての目標はあくまでもユーザの顧客満足度をいかに高めるかについて検討する必要があります。そのため、追加の認証手段を極力使用しないよう意識し、その上で強固なセキュリティ対策を実行する必要があります。
3. 過検知と誤検知をどのように対処しますか
ここで言う過検知とは、実際のユーザの通信をBotとして検知することを意味しています。また、誤検知とは、Botの通信を正規ユーザと認識し、通過させてしまうことを指しています。Bot対策を行う上では、いずれも発生する可能性があります。過検知や誤検知は一切ないと主張するベンダーは疑うべきかもしれません。重要な点は、ベンダーが過検知や誤検知についてすぐに対応し、対処ができるようになっているのかをしっかり考慮する必要がある点にあります。
4. 攻撃者がBot対策を回避した場合、すぐに対応できますか
Bot対策を回避する高度な攻撃者は数多く存在しています。回避されてしまった場合、アカウントの乗っ取りや買い占め被害などが実際に起きるまで攻撃に気付けないかもしれません。その場合は、ベンダーに連絡し、修正に向けベンダーと協力する必要があります。このプロセスがどのように進められるのか確認することも必要です。
5. 手動不正(人手による攻撃)をどのように対処しますか
攻撃者によっては、自動化通信(Bot)が検知されてしまうと、詐欺を行っているチームを雇い、実際のブラウザーに対し手動でID/PW入力する"手動不正"を実施するケースが増えてきています。この人手を活用したアプローチに対してソリューションによっては、不正と検出することができない場合があります。一方で中長期見据えた不正ログイン対策検討を行う上では重要な検討事項の1つとして挙げられます。
6. ユーザの環境に特化した設定になっていますか
ベンダーはすべてのユーザに対してカスタムの検知と対策を用意する必要があります。複数のユーザで同じ設定を実施している場合、攻撃が成功してしまうと、他のサイトにも同様の攻撃を実施される恐れがあります。ユーザの環境に特化した防御設定となっていれば、攻撃者が1つのサイトで対策を回避することができるツールを再構築した場合にも、その手法を他社のサイトで活用し侵入することはできません。
7. 攻撃者がBot対策を回避した場合でも、後から攻撃内容を可視化できますか
攻撃者がBot対策を回避しても、Bot対策ソリューションが攻撃されていることに気づかず、可視性を失うケースがあります。例えば、お客様がIPベースでの対策を講じていた場合、攻撃者がBot対策を回避すると、どのような攻撃を受けているのか把握できなくなる、もしくは攻撃に気づかなくなります。
10,000回のログインが行われた際に、人間にとって適切な範囲内の行動分析があり、すべてのログインが問題ないように見えたとしても、後から、10,000個すべてが同じ動作をしたことが判明した場合、これはログインが自動化されていたことを意味し、事後であっても、このようなケースを検出できなければなりません。
8. クライアントの情報を取得していますか
取得している場合、どのように取得しているのでしょうか。端末ごとにエンドポイントソフトウェアをインストールする必要があるのか、また、インストールのためのコストや規模はどれくらいのものになるのでしょうか。エンドポイントソフトウェアをインストールしない場合、一般的なユーザのIPになりすました攻撃や、root化されたモバイル端末からの攻撃をどのように特定するのでしょうか。
9. IPのブラックリストやIPレピュテーション情報に依存していませんか
F5 Shape Securityの調査によると、Botを使用した攻撃では平均2.2回しかIPアドレスを再利用していません。また、多くの場合、1日~1週間に1回しか使用されていません。そのため、IPレートによるブラックリストは役に立たなくなっています。IPアドレス以外に100以上ものクライアントの端末情報があります。粗雑なIPブラックリストに頼るのではなく、クライアントの端末情報を有効に活用していることが重要となります。
10. どのくらい迅速に、設定変更などに対応できますか
攻撃者が現在のBot対策を回避するために攻撃用のツールを変更する場合、ベンダーはどのくらいの速さでBot対策のルールを変更できるのでしょうか。また、攻撃者が高度な攻撃を永続的に行う場合、Bot対策ソリューションで都度設定変更などが必要になる可能性がありますが、その際に追加料金は発生するのでしょうか。また、これらの対応にどのくらい時間を要するのでしょうか。
この他にも、導入形態や価格体系など製品選定の際に考慮すべき点は多々あるかと思いますが、不正ログイン対策を検討される際には、上記のポイントをぜひ確認してみてください。
Bot対策の課題を解決するShape Security
マクニカネットワークスでは、上記の10のポイントをカバーしているソリューションとして、F5 Shape Securityを取り扱っています。Shape Securityの無償PoCを通して、人間に模倣しているBotによるアクセスがどの程度あるのかを可視化することができるますので、気になる方はお問い合わせいただければと思います。
悪性Botについてより詳しく知りたい方は、下記のホワイトペーパーをぜひダウンロードください。
■Shape Securityホワイトペーパー
1) 悪性Botによる脅威 ~増加するBotの検知回避の実態とその対策について~
2) 悪性Botを活用した6つの攻撃手法
3) ECを狙う買い占めBot商品が欲しくても買えない!?転売屋が活用しているBot
■Shape Securityオンデマンド動画
1) CAPTCHAの回避方法について ~実演デモと解説~
2) 増え続けるパスワードリスト型攻撃!~実演デモと解説~【近日公開予定】
*1引用元:Shape Security Blog
https://blog.shapesecurity.com/2019/06/09/10-questions-to-ask-a-bot-mitigation-vendor/
- ▼セミナー案内・ブログ更新情報 配信登録
