ネット上のゾンビ、悪性ボットを遮断する方法とは？ - ペンタPRO：ペンタセキュリティが提供するセキュリティ情報まとめサイト

ネット上のゾンビ、悪性ボットを遮断する方法とは？

「ゾンビ」という言葉に、どのようなイメージを思い浮かばれますか。映画では油断している主人公の後ろから現れたり、群れを作って襲ってくる姿がよく登場します。また、意思を自分で操れなかったり、あるいは意思自体を持たない形で描かれることが多いです。無論現実には存在しない加工の存在ですが、実は現実にもゾンビと同じようなものが存在します。インターネット上の「ボット」です。

善悪両面を兼ね持つボット

「ボット（bot）」とは、インターネット上で予め決められた行動を自動で遂行するアプリケーション・ソフトウェアです。その影響力は壮大で、現在世界のWebサイトに対するトラフィックの半数以上がボットによるものだと思われています。またよく間違われがちですが、全てのボットが悪いわけではありません。むしろ大半が無害なものであり、Webサイトやそれに対するトラフィックの分析に役立つなど、様々な役割を果たしています。代表的なものとしては「Googlebot」を挙げることができます。

しかし、ハッカーは通称「悪性ボット」と呼ばれるボットを情報の奪取に悪用しています。自動的にメールアドレスを収集したり、DDoS攻撃に利用するのです。特にDDoS攻撃に利用される悪性ボットの場合、トロイの木馬等のウイルスにより管理者権限を奪取されたデバイスから集団で稼働される「ボットネット」という形に発展することがあります。この場合に利用されるPCのことを「ゾンビコンピュータ」とも呼びます。

悪性ボットによる被害: 情報流出からデバイスの麻痺まで

悪性ボットにより発生する代表的な被害としては「DDoS攻撃による被害」を挙げることができます。DDoS攻撃とは、多数のデバイスをリモート制御し特定のWebサイトに接続させ過負荷を起こす手口です。この際、デバイスにはPCのみではなくIoT機器などインターネットに接続された全てのものが含まれます。ハッカーは単にサーバを麻痺させるだけでなく、攻撃を止める対価を求める場合もあります。また、あらかじめ感染させたデバイスで悪性ボットを起動し再度ウイルスを展開して、そこから再び悪性ボットを起動するサイクルを作る場合もあります。ボットネットが容易に構築される可能性があるので、さらなる注意が必要です。

悪性ボットは個人の認証情報を得るためにも活用されます。代表的な手口としてはブルートフォースアタック（総当たり攻撃、Brute-force Attack）とクレデンシャル・スタッフィング（Credential Stuffing）を挙げることができます。ブルートフォースアタックとは、全ての可能な組み合わせを入力して認証情報を手に入れる方法です。一方クレデンシャル・スタッフィングはハッカーがあらかじめ確保しておいた認証情報を利用し、他のサイトへのログインを試みる手口です。ハッカーは両方の手口において、そのプロセスを自動化するため悪性ボットを利用するのです。

その他にも、一部の悪性ボットは競合他社の活動及び価格情報等を追跡するため使用されます。Webサイトの機能に直接影響を及ぼすわけではありませんが、トラフィックの分析や広告に対するクリック数の集計を妨害し競合優位を得る、という不当な利益をもたらします。

悪性ボットを遮断する方法

トラフィック状況をモニタリングする

悪性ボットを遮断するためまず取るべき対策は「常に動向を把握すること」です。Google Analytics等を通じWebサイトのトラフィック状況を確認することができますが、急にページの閲覧数や離脱率が増加した場合、悪性ボットの存在を疑う必要があります。その他にも平均セッション時間が急に変化したり、特定のポイントでトラフィックが急増した場合にも注意するべきでしょう。

認証機能を強化する

認証機能を強化することにより、悪性ボットを利用した不正ログインを防止できます。CAPTCHAや文字認証が代表的な強化例であり、実際多数のサイトに導入されています。しかし、精密に組み立てられた悪性ボットをすべて識別できるとは言い難い部分があり、サイトのユーザに不便を与える可能性があります。多要素認証（MFA）、ワンタイムパスワード（OTP）や生体認証など追加的な情報を要する認証方式を導入することも考慮すべきでしょう。

ログイン履歴をモニタリングする

クレデンシャル・スタッフィングなどのため悪性ボットが使用される場合、必然的にログイン失敗回数が増加します。そのため常にログイン履歴をモニタリングし、怪しい動向が確認された場合にはさらに注意を注ぐ必要があります。また、繰り返しログインを試みることを未然に防ぐ設定が必要になります。

悪性ボットを防ぐソリューションの導入

セキュリティソリューションを導入することで悪性ボットを遮断することができます。認証方式に関するソリューション以外にも、DDoS攻撃を遮断するソリューションが必要となるでしょう。代表的なものとしてはWebアプリケーション・ファイアーウォール（WAF）を挙げることができます。Webアプリケーションに対する怪しいアクセスを事前に検知・遮断するだけではなく、情報流出やWebサイトに対する攻撃に対処します。最近には急速に高度化している攻撃に対応するため、従来のシグネチャー型WAFから一層進化したロジックベース基盤のWAFも注目されています。

最後に

悪性ボットはインターネット上で最も多くみられる脅威です。WebサイトからIoTに至るまで様々なビジネスエリアにインターネットが導入された今、悪性ボットはもはや企業にとっても見過ごせない存在となりました。特にボットを利用したDDoS攻撃により、多数の企業が被害を受けています。そこでペンタセキュリティは知能的に脅威を検知するWAF「WAPPLES」と「Cloudbric」を通じ、企業の安全なオンラインビジネスを補助しています。詳しい情報を、下のリンクからご確認ください。