ボットとは? 種類と対策方法
PCボットやウェブボットは非常に優れたツールで、有益な目的にも悪用される可能性があります。
有用なボットは効率的に作業を行いますが、悪質なボット、すなわちマルウェアボットはリスクを伴い、ハッキング、スパム、スパイ行為、不正侵入、サービス妨害などに用いられる可能性があります。現在、ウェブトラフィックの最大半分が、カスタマーサポートの自動化や人間の対話の模倣、ウェブ上の情報検索、サイト改善支援などの作業を行うPCボットによるものと報告されています。
ボットは組織や個人により、人手を要する通常の作業を自動で実行するために使われます。人による作業と異なり、ボットによる処理は迅速かつ効率的に完了されます。しかしながら、ボットによる作業のすべてが善意とは限らず、ときどき情報窃盗、詐欺、またはDDoS攻撃などの不正行為に用いられることもあります。
ボット – 定義
インターネットボットは、ウェブを利用して自動で処理を実行するソフトウェアです。ボットによる処理は単純で、人間のウェブ操作よりもるかに高速に行われます。
「ボット」はロボットの略で、決められた繰り返し作業を自動でこなすソフトウェアのことです。ボットはしばしば人間の行動を模倣し、自動であるため人間よりもはるかに速く動作します。また、カスタマーサポートや検索の機能提供などの利便性の高い作業にも利用されますが、PCを遠隔操作するマルウェアとして悪用される場合もあります。
ボットは通常、組織全体で使用され、コンテンツの配送、ページとの連携、顧客とのやり取り、さらには攻撃の起点となるトラフィックの探索などを行います。有用なボットとしては、検索エンジンのクロールボットや顧客サポートのチャットボットが挙げられます。一方で、顧客情報に不正侵入し、情報を収集してスパム送信やその他の危険な行為に利用されるボットも存在します。ボットがウェブに接続される場合、IPアドレスが割り当てられます。
.jpeg)
ボットの動作原理
ボットは多くの場合、組織内で機能します。ボット同士が通信する場合、メッセージング、Twitterボット、またはIRCなどのオンラインプラットフォームを介して行われます。
ボットは作業を管理するためのアルゴリズムを用いて作られ、目的に応じたさまざまな種類が存在します。
チャットボットの場合を例に挙げると、以下のようなタイプがあります:
- ルールベース型チャットボットは、あらかじめ用意された選択肢を提示して対話します。
- 知能自己管理型チャットボットは、既知のキーワードに基づき、AIを用いて人間のタスクを支援します。
- 人工知能型チャットボットは、ルールベース型と知能自己管理型の両方の特徴を併せ持ち、配置調整や自然言語処理、生成アルゴリズムも利用する場合があります。
それぞれに利点と欠点があり、ボットを利用する組織は自社のニーズに応じた方式を選択します。
ボットの種類
以下に、主なボットの種類とその仕組みを紹介します。
- スパイダーまたはクローラーボット
インターネット上の情報は、ハイパーリンクをたどるウェブクローラーやスパイダー、いわゆるスパイダーボットによって収集されます。スパイダーはHTML、CSS、JavaScript、画像などを利用してサイトの内容にアクセスします。
サイトに多数のページがある場合、ルートディレクトリにrobots.txtファイルを配置し、どのページにアクセスできるか、またその頻度を指定できます。
- スクレイパーボット
スクレイパーは、ウェブサイトから情報を抽出し、保存、再利用するボットです。ページ全体をスクレイピングしたり、特定のサイトから名称や価格などの詳細を取得することが可能です。
ウェブスクレイピングは合法な場合もありますが、サイト運営者の許可を得ているケースもあれば、利用規約を無視したり、不正に機密情報を取得するためにハッキングが行われる場合もあります。
- スパムボット
スパムボットは、スパムメール送信用のメールアドレスを収集するウェブツールです。フォーラム、SNS、グループなどから、メールアドレスの形式に一致する文字列を大量に集めることができます。
攻撃者が大量のメールアドレスを収集すると、これらはスパムメール送信だけでなく、以下のような悪質な目的にも使用されます:
- クレデンシャルスタッフィング—メールと重要なパスワードを組み合わせ、不正アクセスを試みる。
- フォームスパム—コメントやフィードフォームに広告やマルウェアリンクなどのスパムを埋め込む。
スパムボットはサーバーの帯域を圧迫し、ISPのコスト増加や、スパムキャンペーンにより被害を受けた顧客や組織に即時の悪影響を及ぼす可能性があります。
- ソーシャルメディアボット
ソーシャルメディアでは、ボットが多様な機能を果たしています。メッセージ配信、意見の促進、場合によっては顧客の代理をすることもあります。また、偽のプロファイルを作成して支持者を募ることも可能です。調査によれば、ツイッターのアカウントの9~15%はソーシャルボットです。
ソーシャルボットは、大勢の人々を攻撃したり、連携して特定の意見を広めたりするために使われます。規制がないため、オンライン上の評価に大きな影響を与える存在となっています。
ソーシャルボットは偽アカウントを作成し、ボット管理者のメッセージを拡散、さらには偽のフォロワーや「いいね」を増やすことができます。巧妙に組織されたボットは、本物のユーザーに見せかけるため、検出や管理が困難です。
- ダウンロードボット
ダウンロードボットは、攻撃者がソフトや有益なアプリをダウンロードするために使用するPCプログラムです。これにより、特定のアプリストアでのダウンロード数を操作し、新規アプリがストアランキングで上位に表示されるように仕向けることができます。基本的には、ダウンロード数を偽装し、アプリ層のDoS攻撃の一環として利用されることもあります。
- チケッティングボット
チケッティングボットは、人気イベントのチケット購入を自動で行い、その後転売して利益を得るためのツールです。この手法は一部の国で違法とされ、法律で規制されていない場合でも、イベント主催者、チケット販売業者、そして購入者にとって迷惑な存在となります。
チケッティングボットは非常に巧妙に、人間の購入者の行動を模倣します。例えば、特定のイベントでは、購入されたチケットのうち40%〜95%が自動購入されたものであると報告されています。
サイバー犯罪者がボットを好む理由
サイバー犯罪を行う際、隠密かつ確実に実行することが最優先されます。ボットは検出されず、同じ作業を何度も繰り返し、複数のノードで同一の動作を行えるため、犯人のデジタルな痕跡を残すリスクを低減する助けとなります。
攻撃者は以下のような目的でボットを利用します:
- データ窃盗
ボットやボットネットは、ユーザーを騙してデータや資金を盗むために用いられ、主にフィッシング攻撃や個人情報の窃盗に利用されます。
一度システムに感染すると、ボットはユーザーのデバイスからデータを窃盗し、その情報を使って金融やビジネス上重要なデータがさらに狙われる場合があります。これにより、攻撃者は金銭を奪ったり、被害者になりすますなど、大きな被害を引き起こす可能性があります。
- サービスやサイトへの影響/ダウン攻撃
システムをダウンさせるためには膨大な数のマシンや攻撃が必要ですが、人手で行うと非常にコストがかかります。実用性から、ボットネットはこれまでのほぼすべてのDDoSまたはDoS攻撃の原因となっています。
ボットはサービスに大量のトラフィックを送り込み、急激な負荷増加によってシステムの対応力を超え、サービスの低下や停止を招きます。これにより、大規模なネットワークや企業サービスにも影響が及びます。
- ランサムウェアとして利用
DDoS攻撃やデータ窃盗など、攻撃者が金銭を目的とする場合、ボットはランサムウェアの一種として機能します。一度攻撃が成功すると、感染したシステムやネットワークは正規の管理者の制御外となります。
その後、ハッカーは身代金を要求するか、取得したノードを自らの目的のために利用します。被害者にとってその資源の価値が身代金より高い場合、仕方なく支払いに応じることになる場合があります。
- 追加収益のため
すべてのボットやボットネットが悪用目的で設計されているわけではなく、中には所有者の生産性向上のために使われるものもあります。しかし、不正な目的で利用される場合、利用者自身もサイバー犯罪者とみなされる可能性があります。
例えば、ボットがフォーラムやサイトに大量のコメントを投稿してSEO評価を上げようとするケースでは、対象サイトの運営者に迷惑をかけ、SEO評価が下がる原因となる可能性があります。
- 他の犯罪者への貸し出し
ボットネットは、その動作スクリプトやタスクに応じて多様な利用が可能なため、ハクティビスト集団やハッカーが自らのボットネットやゾンビシステムを他のサイバー犯罪者に貸し出すことがあります。借り手は、フィッシング、個人情報やデータの窃盗、詐欺、サービスやサイトの停止、身代金要求、政治目的の宣伝など、不正な行為を実施します。
良いボットと悪いボット – 違いは何か
信頼できる組織は、倫理的かつ合法な作業を自動化するために良いボットを利用します。一方、悪いボットは非合法や悪質な行為を自動化するために設計されたものです。
良いボットは顧客支援や有用な情報提供など、幅広い作業に活用されます。大半のボットは、ウェブ上の情報収集のためのクロールボットとして機能しており、また、チャットボットなどは自助支援の提供にも利用されます。
サイバー攻撃者は、損害を与えたり知的財産を盗むために悪いボットを利用します。不正なボットはユーザーアカウントへの侵入やスパム送信など、望ましくない行為に使われることもあります。
実際のボットの例
ボットはその幅広い機能から、カスタマーサポート、ビジネス、検索、娯楽などさまざまな分野で利用されています。
ボットを活用する優れた企業の例:
- Facebook Messenger、WhatsApp、Slackなどのメッセージ配信アプリ
- Google Assistant、Siriなどのチャットボット
- 世界保健機関がWhatsApp上で作成した、COVID関連情報を共有するボット
- Public Geographicが開発し、アルバート・アインシュタインのように会話するチャットアプリで番組『Genius』を推進
- Wall Street Journalなど、ニュースの見出しを表示するニュースアプリ
- SpotifyがFacebook Messengerを通じて楽曲の検索・共有を提供
- Uberの大手競合であるLyftが、Slack、Messenger、Alexaを利用してサービス提供
- MastercardがFacebook Messengerボットを用いて取引履歴の確認を実現
- Lidlが顧客にワインのおすすめ情報を提供するボットを開発
ボットの利点と欠点
利点
ボットは犯罪目的だけでなく、さまざまな用途に利用されています。以下はボットの有用性を示す点です:
- ボットは同じ作業を何度でも繰り返し実行できる。
- 人手の代わりにボットを使うことで運用コストを削減できる。
- 休むことなく24時間稼働可能。
- さまざまな目的に合わせてカスタマイズできる。
- サービスを即時に提供できる。
- サービス品質やユーザー体験を向上させ、待機時間を短縮する。
- 数百、あるいは数百万のユーザーに対して同じ作業を繰り返す場合、ボットがより有効。
欠点
有益な反面、ボットは悪用されると被害を引き起こす場合もあります。以下は、ハッカーや不適切な利用によりボットネットが被害をもたらす例です:
- 異なる命令で同じ作業を実行すると、ユーザーに混乱や悪い体験を与える。
- 悪意あるコードのボットは、サービスに損害を与え、金銭を強要し、データ漏洩など深刻な問題を引き起こす。
- 正当なボットネットであっても攻撃され乗っ取られると悪用される可能性がある。
- ボットは人間によるプログラミングと管理が必要である。
ボットは検知を回避できるか
過去10年でボット技術は大きく進化しました。当初は、情報取得や処理を行うためにサイトにアクセスするだけで、脅威を認識せずJavaScriptも解析しなかったため、容易に検知されていました。
しかし、時が経つにつれてボットは進化し、脅威に耐え、JavaScriptの解析も可能になりました。それでも、本物のユーザーらしい動作を完全には再現できないため、ある程度は検出されます。
次の進化としては、PhantomJSなどのヘッドレスブラウザの利用があり、これによりサイトの内容を完全にレンダリングできます。ただし、ヘッドレスブラウザは本物のユーザーほどの操作ができるわけではありません。
最新のボットはChromeを利用しており、本物のユーザーと見分けがつきにくく、人間の操作(例:ページ上の要素のタップなど)を模倣することさえあります。
ウェブ解析でボットトラフィックを検出する方法
ウェブ解析の手動チェックでボットトラフィックを確認するための目印は以下の通りです:
- トラフィックパターン
通常では考えられない時間帯に急激なアクセス増加が見られる場合、ボットによるアクセスの可能性があります。
- 直帰率
異常に高いまたは低い直帰率は、不正なボットによるものかもしれません。例えば、特定のページにアクセス後、IPを切り替えるボットは100%の直帰率になるでしょう。
- トラフィックソース
攻撃時は『直接』のアクセスが主要なソースとなり、新規ユーザーやグループによるアクセスが含まれます。
- サーバーパフォーマンス
サーバーの処理が低下している場合は、ボットの兆候かもしれません。
- 怪しいIPまたは地域
普段アクセスしないIPレンジや地域からのアクセス増加に注意が必要です。
- 単一IPからの不審なアクセス
特定のIPから無制限にアクセスがある場合、人間なら数ページのみのアクセスに留まるはずですが、ボットは全ページにアクセスする傾向があります。
- 言語の異常
通常の利用者が使用しない複数の言語からのアクセスが見受けられる場合も注意が必要です。
以上の点は、ボット活動の兆候として注目すべきです。ただし、巧妙に改変された悪質なボットは、本物のユーザーのような痕跡を残す場合もあります。専用のボット管理機能を備えたセキュリティ対策の利用が望ましいです。
PCが感染している兆候
PCがボットネット攻撃に巻き込まれているかを判断する兆候は以下の通りです:
- PCが明確な理由もなく頻繁にクラッシュする。
- これまで正常に動作していたアプリが断続的に動作するようになる。
- 以前は素早く起動していたタスクが急に遅くなる。
- PCのシャットダウンに異常に時間がかかる、または正常に終了しない。
- インターネット接続が極めて遅くなる。
- 覚えのないプログラムがインストールされている。
- Windowsタスクマネージャに、奇妙な名前やアイコンのプログラムが表示される。
- 設定が勝手に変更され、元に戻すのが困難になる。
- ウェブブラウザを使用していないのに、ポップアップウィンドウや通知が表示される。
- PCがアイドル状態でもファンが高速で回転する。
- 家族や友人から、本人が送っていないメールが届いたと連絡がある。
- OSのアップデートがダウンロードできない。
基本的なボット対策
不正なボットへの脆弱性を減らすため、以下の対策を実施してください:
サイトのルートにrobots.txtファイルを配置し、どのボットがアクセスできるかを定めてください。これは基本的なボット対策であり、不正なボットには対応できません。
登録、コメント、ダウンロードフォームなどにCAPTCHAを追加してください。多くのサイトがダウンロードやスパム対策としてCAPTCHAを採用しています。
JavaScriptの警告機能を設定し、ボットトラフィックに関する通知を受け取るようにしてください。適切なJavaScript設定により、人間と異なるアクセスを検知することが可能です。
高度なボット対策手法
ボットはウェブサイト、モバイルアプリ、APIなど、多くのオンライン接点を攻撃しており、顧客にとって大きな懸念事項です。PCをボットから守るためには、注意深い監視と的確な対策が必要です。
ボットネットの侵入からシステムを守るため、以下の対策を実施してください:
- アンチマルウェアソフトの導入
PCの安全を守るため、最新のアンチマルウェアソフトを利用してください。いくつかのマルウェア対策ソフトは感染やマルウェアの侵入を防ぐとともに、リモートからの不正操作を抑制します。さらに、ウイルス対策やスパイウェア対策ソフトも常に最新状態に更新してください。
- 強固なパスワードの使用
強固なパスワードは、大文字と小文字、数字、記号を組み合わせたものにしてください。各アカウントごとに異なるパスワードを使用し、パスワード管理ツールの利用も推奨されます。
- 不審なリンクはクリックしない
信頼できる情報源からの場合はリンクをクリックやメールを確認できますが、不審なリンクやセキュリティ対策の不十分な送信者からの情報には十分注意してください。
PCが保護されていない送信者からデータやファイルをダウンロードする場合、十分に注意し、感染したPCからはUSBドライブなどの外部メディアの使用を避けてください。
- ソフトウェアが最新か確認する
システムのアップデートを怠らず、定期的にブラウザやOSの更新プログラム、パッチを確認してください。
- 怪しいサイトや広告は避ける
利用者が無意識にマルウェアボットをダウンロードしてしまうのは、魅力的な広告やダウンロードリンクによるものです。信頼できないサイトから無料ソフトをダウンロードしたり、誰もが保証するポップアップ広告をクリックしたりしないよう十分注意してください。これらに触れると、PCにマルウェアがインストールされる危険があります。
- ボット管理ツールの利用
組織はボット管理ツールを用いて、不正なボットを排除できます。ボット管理機能は、ウェブアプリのセキュリティ対策の一部として導入可能です。
このツールを利用すれば、特定のボットの利用を許可し、システムに害を及ぼす可能性のあるボットをブロックすることができます。ユーザーや良性ボット、そして悪質または不明なボットを分類し、不審なトラフィックを排除します。
基本的なボット管理機能には、IPレート制限やCAPTCHAが含まれ、IPレート制限は同一IPからのリクエスト数を制御し、CAPTCHAはボットと人間を区別するための仕組みとして機能します。
なお、良いボットはウェブの基盤を支え有用な作業を行っていますが、悪いボットは隠れることを意図しているため、ウイルス対策ソフトがなければ検出が難しいです。常に悪質なボットのリスクを認識し、適切なネットワークセキュリティ対策を講じることが重要です。
ファイアウォールを利用すれば、PCを悪意ある攻撃から守ることができます。
FAQ
参考資料
最新情報を購読
