© 2018 Akamai | Public

悪質botを「機械学習によるふるまい検知」と「管理」で封じ込める、

Bot Manager Premierの最先端のしくみ

アカマイテクノロジーズ合同会社プロダクト・マーケティング・マネージャーハレンドラ・バンダリ

© 2018 Akamai | Public

アカマイ クラウド セキュリティProtect your expanding attack surface at the edge

データセンター アカマイのクラウドサービス

WWWSAAS

WWWSAAS API

Kona Site Defender

API保護, クライアント・レピュテーション,マネージドサービスを備えた高度なWAF

API Security

ふるまい検知＋機械学習でリスト型攻撃買い占めbot 対策

Bot Manager

ふるまい検知＋機械学習でリスト型攻撃買い占めbot 対策

Fast DNS

DDoS保護を備えたスケーラブルな権威DNSサービス

Prolexic

ボリューム型 DDoS攻撃から全てのアプリケーションをマネージド保護

bot のランドスケープ

© 2018 Akamai | Public

botとは？

人間に代わって自動処理を行うプログラム＝ bot

© 2018 Akamai | Public

botの種別

スパム

価格調査

せどり用買い占めツールサーチエンジン

比較サイト

サードパーティサービス

パートナー向けシステム

これらのbotを野放しにしておくリスクは？

© 2018 Akamai | Public

Avoid data theft and downtime by extending the

security perimeter outside the data-center and

protect from increasing frequency, scale and sophistication of

web attacks.

サイバー・キル・チェーンにおけるbotbotの武器化

©2018 AKAMAI | FASTER FORWARDTM

•高付加価値のアカウント情報を持つサイトを特定

•ダークウェブで他のサイトから盗まれたID,パスワードなどの認証情報を入手

• ログイン認証を自動化するためボットネットを構築またはレンタル

• CAPTCHAによる検出を回避するツールも購入

✓

•ターゲットサイトのアカウントを別の攻撃者が購入

•購入したアカウント情報を使用してログイン

• 搾取したアカウントを利用して口座の操作、マネーロンダリング、詐欺などの不正行為を実行

OB

JE

CT

IVE

S •標的のサイトのログインページに購入した認証情報が有効か検証する

•検証の結果有効だったアカウント情報をダークウェブで再販

偵察Reconnaissance

武器化Weaponization

攻撃Delivery

取得情報の悪用Exploitation

次のレベルのアクションAction

© 2018 Akamai | Public

Avoid data theft and downtime by extending the

security perimeter outside the data-center and

protect from increasing frequency, scale and sophistication of

web attacks.

botのサービス化botツールが市場で多く流通

Nike AIO Bot

© 2018 Akamai | Public

悪質botの利用例：パスワードリスト型攻撃

ユーザ認証情報の購入

ダークウェブ/闇市場

Username

Password

LOGIN

Username

Password

LOGIN

Username

Password

LOGIN

不正ログイン

Webサイト

Shopping

Cash

Data

金銭的な利益

エンドユーザの資産

漏えいした認証情報

認証の照合

ボットネット

アカマイユーザー約6憶件のログイントラフィック分析

66.5 %が不正ログイン

© 2018 Akamai | Public

漏洩IDを利用した攻撃（国内のリスト型攻撃）増え続ける膨大な個人情報の流出

2018年8月30日記事日本ネット経済新聞

2018年9月10日記事日経ビジネス

2018年5月17日記事FireEye

© 2018 Akamai | Public

現在のbotによるリスト型攻撃の特徴これまでの対策で検知できない理由

LOW AND SLOW攻撃 VOLUMETERIC攻撃

20000 IP 1800 ISP 4000+ UA

２分に一回のログイン試行

10000 IP 5000 ISP 9000+ UA

アプリケーション DDoSにもなる

Source: 2018 Akamai SOTI Credential Stuffing Report

© 2018 Akamai | Public

Avoid data theft and downtime by extending the

security perimeter outside the data-center and

protect from increasing frequency, scale and sophistication of

web attacks.

悪性Botの例 課題の兆候

スクレ―ピング

□ コンバージョン率の低下□ SEOランキングの低下□ 想定外のWebサイトの性能劣化□ 特価に対する競合の追随

買占め(or Denial of Inventory)

□ 買占め(または)□ ショッピングカートに入れた後、キャンセルされる件数の上昇□ コンバージョン率の低下□ 在庫切れ頻発によるカスタマーサービスへのクレーム数の上昇

アプリケーション DDoS□ ログイン、新規登録、商品ページなど特定ページにおける異常、想定外のスパイク□ 正規ユーザーからカスタマーサービスへのクレーム数の上昇

パスワードリスト型攻撃(Credential Stuffing)

□ ログイン失敗回数の上昇□ 顧客アカウントのロックアウト数、サポートへの問合せ件数の上昇□ リワードポイント、クレジットカードの不正利用件数の増加

アカウントの自動登録□ 新規アカウント数の異常な上昇□ 新規アカウントから購入顧客へのコンバージョン率の低下□ コメントスパム数の上昇

悪性bot活動の兆候例（チェックリスト）

© 2018 Akamai | Public

Bot Managerソリューション紹介

© 2018 Akamai | Public

巧妙化するbot

Curl, WgetPython,

PHP script

Scripting language with false browser headers

Bot framework

with multiple browser header

templates

PhantomJS

Headless Chrome

(Selenium and plugin support)

© 2018 Akamai | Public

Bot Manager ～botアクセスの管理ソリューション

Commerce search

Web search

M&E search

SEO

RSS

Social

Site monitoring

Business intelligence

Online advertising

News aggregator

Web archiver

Enterprise aggregator

Financial

Job search

Academic

独自開発のbotリクエスト形式が

ブラウザーと異なるもの

高頻度のリクエスト送信、セッションリプレイ

を行うbot

ウェブブラウザを外部からあやつるbot

オリジンウェブサーバ

シグネチャー検知

アクティブ検知

ふるまい検知既知のbot（良性＆悪性）

© 2018 Akamai | Public

シグネチャーによる既知botの検知（良性＆悪性）

現在1800以上のシグネチャが定義されている

© 2018 Akamai | Public

アクティブ検知 botの繰り返しリクエストなどの検出

• Session Validation■ Cookie をセットし、セッション内での Page Viewを測定して判断

• Rate Control■ Rate Controlを使用して判断、最大10ポリシーまで

• Cookie Validation■ Cookieリプレイを検知する

Bot Manager で提供される機能の例

© 2018 Akamai | Public

アプリに組込んだSDKで情報取得

ふるまい検知＋機械学習

PCのウェブブラウザ

モバイルデバイスのウェブブラウザ

高度なボットによるログイン情報の入力

ボットのふるまい→ プログラムによる規則性のある動き

人間のふるまい→不規則性のある動き

マウスの軌跡 キー入力

モバイル機器のネイティブアプリにも対応 タッチの軌跡

加速度センサ

Java Script

Java Script

GPS動作

マシンラーニングによる高精度ふるまい分析

Bot Manager Premier

使いまわし

ID,

Pa

ssw

ordでのログイン

使いまわし

ID, パスワードでのログイン

Human

ストレスフリーの通常ログイン

bot

多要素認証画面の表示など

© 2018 Akamai | Public

botトラフィック へのアクション

12 2 13

ハッカーに気付かれることなくbotを管理

Basic│ Alert/ Block

Late │ Delay (1-3s)

Slow (8-10s)

Drop│ Silent deny Serve│Serve alternate origin

Serve cached

Serve alternate content

© 2018 Akamai | Public

条件つきアクション

- URL、時間、％などをベースにした柔軟なレスポンス- ASN, Cookie,拡張子、ファイル名、ホスト名、Network List, Query

Stringなどの組み合わせた条件からDeny,Delayなどのアクション適用

利用例１：毎日9:00-18:00に検索エンジンbotの50%を遮断

利用例 2：Session Validationで検知されたbotのうち海外IPのものを遮断

© 2018 Akamai | Public

Avoid data theft and downtime by extending the

security perimeter outside the data-center and

protect from increasing frequency, scale and sophistication of

web attacks.

事例：Bot Managerによるアクセス制限（米金融業）

課題：一般ユーザーのアクセスが集中する時間帯にFintech botからのアクセスが過多

ユーザーアクセスの集中する時間帯

ユーザーアクセスの少ない時間帯

Bot Manager

Bot Managerの条件付きアクションで問題解決

オリジンサーバー

© 2018 Akamai | Public