ボット対策 ― その意味、検知・事例

ボット対策を理解する

ボット対策とは、機械的なボット攻撃の危険を下げ、サイト、アプリ、そして貴社の顧客に悪影響を及ぼさないようにすることを意味します。このため、偽の顧客と本物の顧客を区別し、害のあるボットと無害なボットを見極め、悪質な活動を管理することが重要となります。また、単に遮断するだけではなく、事前にボット攻撃に対する防御策を講じ、不審なトラフィックを迂回させる方法も取られます。

ボット対策の一環として、ボット攻撃から守るルールを維持するためにテクノロジーが導入されています。これは、正当なトラフィックを計測する仕組みを整え、攻撃が始まる前に危険なボットの行動を察知することを含みます。悪質なボットは、サイト、アプリ、APIに影響を及ぼす前に、ボット対策システムによって排除されます。

‍

ボットの種類

• スパイダーボット

ウェブクローラーやクモ、時にはバグボットとも呼ばれるこれらのボットは、ハイパーリンクを辿ってウェブを巡回し、ウェブデータを取得、整理します。クローラーはHTMLだけでなく、JavaScript、CSS、画像なども読み込み、サイトのコンテンツを扱います。そのため、ページや画像の多い大規模なサイトでは、robots.txtファイルでクローラーの動きを誘導することがあります。

• スカルピングボット

偽のチケットなどを利用して、スカルピングボットは希少なコレクターズアイテム、ライブの入場券、限定発売の靴などの人気商品を狙います。ボットが在庫を消費すると、ネット上の詐欺師がそれらの商品を高値で転売サイトやダークウェブで再販します。

• クレデンシャルスタッフィングボット

盗まれたユーザー名とパスワードのリストを用いて、クレデンシャルスタッフィングボットは人気サイトへのログインを試みます。認証情報が有効である場合、悪意ある攻撃者は顧客のアカウントに不正にアクセスし、架空のクレジットカード情報で偽の注文を行ったり、虚偽のレビューを投稿したり、ギフト券やロイヤルティポイントを奪ったりする可能性があります。また、これらの認証情報はダークウェブで他の犯罪者に譲渡されることもあります。

• カード詐欺ボット

チェックアウトシステムやページ上で、カード詐欺ボットは盗まれたクレジットカードやデビットカードの情報を試します。オンラインショップで小額の購入を試みることで、カードが有効かどうかを確認し、カード番号が認証されると、成功した場合に備えて一時的に情報を保持します。詐欺師は通常、有効なカードでギフトカードを購入し、そのギフトカードを用いてパソコン、スマートテレビ、携帯電話などの高額商品を購入し、カード会社に気づかれずに商品を転売して不正に利益を得ます。

ビジネスにとってボット対策は重要か？

本当にビジネスのためにボット検知・対策ソフトが必要か、見てみましょう。

オンライン展開を始め、適正な訪問者が増えると同時に、悪質なボットも現れるため、多くの企業はボット対策に懸念を抱いています。オンライン全体のトラフィックの50～70％がボットによるもので、主にログインページやオンラインビジネス用のアプリを狙っています。

ボット対策によって、ビジネスに悪影響を及ぼすさまざまなリスクを回避できます。ログインページやショッピングカート、決済システムが悪質なボットに侵されると、サイトが過負荷になり、パフォーマンスが低下し、費用が増大して運用コストが上昇します。また、CAPTCHAや多要素認証（MFA）などの対策は、本来の利用者にとって煩わしく、サイト離脱の原因にもなります。

詐欺師が貴社顧客のアカウントに不正アクセスを試みると、悪質なボットは盗まれたパスワードでログイン欄を埋め、在庫攻撃を回避するためにショッピングカートに人気商品を投入します。また、盗まれたクレジットカード情報を用いて小額の購入を行い、今後の詐欺に備えて有効なカードであることを確認する場合もあります。

ボットのトラフィックと本物の購入者のアクセスを見分けるのが難しいと、ビジネス指標が歪み、分析不足から誤った判断や高額なミスにつながる恐れがあります。こうした悪影響をもたらすボットを阻止することで、効果的なボット対策はリスクを低減します。

各分野におけるボット攻撃

1. ウェブサイト

ウェブサイトではボットが最も多く利用され、キー入力の記録、ログイン試行、スクレイピングなどが行われています。前述の通り、ボットトラフィックの多さは攻撃の大部分を占めており、単純なものから高度なものまで存在するため、すべての企業が注意すべき対象です。

2. アプリ

比較的新しい分野であるため、アプリは特に攻撃に対して脆弱です。まず、ウェブサイトと比べてセキュリティレベルが低いこと、また誰でも作成できるためセキュリティ面で十分な注意が払われないリスクがあることが理由です。アプリは主にスマートフォン向けに作られていますが、攻撃者がアプリをサーバに接続できれば（AndroidやiOS以外の環境で）、より高速にスクリプトを実行し、最終的には利用者の個人情報、支払い情報、機密の企業情報に近づく可能性があります。

3. API

システム間の通信はAPIによって維持されます。アプリやIoT製品の大部分を占めるため、ここ数年でウェブAPIの利用は急速に拡大しており、今後の主流となる見込みです。APIは機械同士の通信に頼っているため、コンピューターが正当なものか悪意あるものかを判断するのは困難です。ウェブサイトでは、ボットが本物の利用者になりすます必要がある場合もありますが、APIでは単に機械の言語で通信するだけでアクセスできてしまいます。さらに、多くの企業がAPI利用でサードパーティに依存しているため、脆弱性が増しセキュリティリスクが拡大します。しかし、WallarmのAPIボット対策システムを導入すれば安心です。詳しくはAPIセキュリティをご覧ください。

‍

ボットはどのような被害をもたらすか？

カード詐欺

カード詐欺は、ボットが盗まれたクレジットカード情報を使ってサイトにアクセスする手法です。アカウント乗っ取りと似た手口ですが、カード情報が悪用された場合、通常は元の所有者に返金されます。しかし、これが頻繁に起こると企業の信用が落ち、最終的にはMastercard決済が利用できなくなる恐れがあります。

アカウント乗っ取り

アカウント乗っ取り、すなわち個人情報の盗用は、サイバー犯罪者が盗んだ認証情報を使い、被害者の金融口座やeコマースアカウント、その他オンラインアカウントに不正アクセスする手口です。ボットが顧客のアカウントにアクセスすれば、不正な取引が行われる可能性があります。その場合、通常は顧客に返金され、企業に損失が発生し、信用も失墜します。

ウェブサイトのスクレイピング

成功しているeコマースサイトは、多大な投資や労力の結果です。そんな努力が他社に丸見えになるのは非常に残念なことです。結果として、訪問者数や収益が急減する恐れがあります。一部のボットは、レビューや商品説明などのデータをサイトから集め、自社サイトに転載するようプログラムされています。これにより、新サイトは高品質なコンテンツを無料で得る一方、重複コンテンツがSEOに悪影響を与えるため、標的サイトは不利益を被ります。

アプリへのDDoS攻撃

サイトへのボット攻撃は、必ずしも明白な形で現れるとは限りません。明確な原因が見つからないため、所有者の目には気づかれにくく、アクセス過多となりサイトが遅延、またはDDoS攻撃によりオフラインになることもあります。これにより、ダウンタイムによる収益損失だけでなく、コンバージョン率や利用者体験にも悪影響が及びます。

‍

実際のボット攻撃事例

ボットによる攻撃は一般的で、企業のトラフィックや収益を大幅に低下させる可能性があります。ボット攻撃はその規模や狙った対象にかかわらず、大々的に報道されることは少ないです。

サイバー犯罪者や技術力の低い者が金銭目的でこれらの攻撃を行うことが多いです。例えば、Coldplay、Ed Sheeran、BTSといった著名アーティストのイベントチケットが即完売し、その数分後に転売サイトで当初の数倍の価格で再登場する事例が報告されています。

即時性の低い攻撃も発生しています。Panera Breadは2018年、サイトに簡単な.txtファイルが追加されたことで顧客情報が攻撃者に漏洩したことを確認しました。また、格安航空会社Ryanairは、ExpediaがRyanairサイトからチケット料金を不正に利用したとして訴訟を起こしました。他にも、二社間の争いに発展したケースが存在します。

最も注目すべき政治的ボット攻撃は、Cambridge Analyticaによるもので、米国約9000万人のFacebookプロファイルがスクレイプされ、行動に影響を与えようとしたと報告されています。

‍

ボット検知

ここまで、ボットによる様々な悪影響について述べましたが、果たしてこれらを完全に止めることができるかが問題です。幸いにも、答えは「できる」ということです。サイバー犯罪者の意図通りに全てが進むわけではなく、新たなボット手法が現れるたびに、その対策が即座に考案されています。

サイトや企業の管理者は、こうしたリスクを回避するために効果的な対策を講じる必要があります。ボット検知は、ボット対策への第一歩です。脅威が把握できなければ、適切な対応も不可能です。

ボットの認知は非常に困難です。種類が様々で、どれか一つだけを見つけることはできません。単に問題が発生していると認識するだけでは、何が問題なのか特定できず、予期されるリスクを示すに過ぎません。さらに、ボットを識別するソフトは有用ですが、設定が厳しすぎると本物の潜在顧客までもがアクセスできなくなる可能性があります。すべてを遮断するのではなく、ボット被害を軽減する対策を講じることが、より合理的なアプローチです。

実際のボット対策システム

ボット対策は、ボットを管理し、企業に悪影響を及ぼさないよう制御する手法です。一定の対策により、ボットによる被害を防ぐことが可能です。以下に優れたボット対策手法をいくつか紹介します。全てが貴社に適用できるとは限りませんが、いくつかは役立つはずです。

• フェイク情報の提供

完全にボットを排除できない場合、状況を膠着状態にする方法もあります。システム上でボットを管理する一つの方法は、フェイク情報を与えることです。例えば、商品の偽の価格情報などです。これにより、ボットに意図した情報を受け入れさせることができ、多少のリソースは必要ですが、実装は難しくありません。

• CAPTCHAの利用

日常的にウェブを利用していれば、CAPTCHAの存在はご存知でしょう。チェックボックスを選択することで人間であることを示し、場合によって簡単なテストに答える仕組みです。他のボット対策システムでも、訪問者が本物かどうか確認する有効な方法として採用されています。しかし、高度なボットはCAPTCHAを容易に突破する可能性があり、その場合は追加のセキュリティ対策が必要となります。

• 自然な動作の確認

人間のサイト利用には、クリック後にマウスを動かすなど自然な操作が伴います。これを基準にシステムを設定し、もしその動作が確認できなければボットの可能性があると判断し、遮断することができます。これは利用者体験に影響を与える有効な方法ですが、進化したボットは回避する場合もあります。

• 即時遮断

特定のボットを把握していれば、効果的に遮断することが可能です。ただし、これは長期的な解決策ではなく、一度遮断したボットがより進化した形で再登場する恐れがあります。

Wallarmによるボット対策システム

安全で迅速、かつアクセスしやすいアプリを実現するため、Wallarmはウェブアプリ向けのWAFサービスを提供しています。Wallarmはレートリミット機能を備え、さまざまなDDoS攻撃に対する内蔵防御策を持っています。さらに、カスタムな対策と攻撃の可視化により、継続的な攻撃を阻止します。