© 2018 Akamai | Public
悪質botを「機械学習によるふるまい検知」と「管理」で封じ込める、
Bot Manager Premierの最先端のしくみ
アカマイテクノロジーズ合同会社プロダクト・マーケティング・マネージャーハレンドラ・バンダリ
© 2018 Akamai | Public
アカマイ クラウド セキュリティProtect your expanding attack surface at the edge
データセンター アカマイのクラウドサービス
WWWSAAS
WWWSAAS API
Kona Site Defender
API保護, クライアント・レピュテーション,マネージドサービスを備えた高度なWAF
API Security
ふるまい検知+機械学習でリスト型攻撃買い占めbot 対策
Bot Manager
ふるまい検知+機械学習でリスト型攻撃買い占めbot 対策
Fast DNS
DDoS保護を備えたスケーラブルな権威DNSサービス
Prolexic
ボリューム型 DDoS攻撃から全てのアプリケーションをマネージド保護
© 2018 Akamai | Public
botの種別
スパム
価格調査
せどり用買い占めツールサーチエンジン
比較サイト
サードパーティサービス
パートナー向けシステム
これらのbotを野放しにしておくリスクは?
© 2018 Akamai | Public
Avoid data theft and downtime by extending the
security perimeter outside the data-center and
protect from increasing frequency, scale and sophistication of
web attacks.
サイバー・キル・チェーンにおけるbotbotの武器化
©2018 AKAMAI | FASTER FORWARDTM
•高付加価値のアカウント情報を持つサイトを特定
•ダークウェブで他のサイトから盗まれたID,パスワードなどの認証情報を入手
• ログイン認証を自動化するためボットネットを構築またはレンタル
• CAPTCHAによる検出を回避するツールも購入
✓
•ターゲットサイトのアカウントを別の攻撃者が購入
•購入したアカウント情報を使用してログイン
• 搾取したアカウントを利用して口座の操作、マネーロンダリング、詐欺などの不正行為を実行
OB
JE
CT
IVE
S •標的のサイトのログインページに購入した認証情報が有効か検証する
•検証の結果有効だったアカウント情報をダークウェブで再販
偵察Reconnaissance
武器化Weaponization
攻撃Delivery
取得情報の悪用Exploitation
次のレベルのアクションAction
© 2018 Akamai | Public
Avoid data theft and downtime by extending the
security perimeter outside the data-center and
protect from increasing frequency, scale and sophistication of
web attacks.
botのサービス化botツールが市場で多く流通
Nike AIO Bot
© 2018 Akamai | Public
悪質botの利用例:パスワードリスト型攻撃
ユーザ認証情報の購入
ダークウェブ/闇市場
Username
Password
LOGIN
Username
Password
LOGIN
Username
Password
LOGIN
不正ログイン
Webサイト
Shopping
Cash
Data
金銭的な利益
エンドユーザの資産
漏えいした認証情報
認証の照合
ボットネット
アカマイユーザー約6憶件のログイントラフィック分析
66.5 %が不正ログイン
© 2018 Akamai | Public
漏洩IDを利用した攻撃(国内のリスト型攻撃)増え続ける膨大な個人情報の流出
2018年8月30日記事日本ネット経済新聞
2018年9月10日記事日経ビジネス
2018年5月17日記事FireEye
© 2018 Akamai | Public
現在のbotによるリスト型攻撃の特徴これまでの対策で検知できない理由
LOW AND SLOW攻撃 VOLUMETERIC攻撃
20000 IP 1800 ISP 4000+ UA
2分に一回のログイン試行
10000 IP 5000 ISP 9000+ UA
アプリケーション DDoSにもなる
Source: 2018 Akamai SOTI Credential Stuffing Report
© 2018 Akamai | Public
Avoid data theft and downtime by extending the
security perimeter outside the data-center and
protect from increasing frequency, scale and sophistication of
web attacks.
悪性Botの例 課題の兆候
スクレ―ピング
□ コンバージョン率の低下□ SEOランキングの低下□ 想定外のWebサイトの性能劣化□ 特価に対する競合の追随
買占め(or Denial of Inventory)
□ 買占め(または)□ ショッピングカートに入れた後、キャンセルされる件数の上昇□ コンバージョン率の低下□ 在庫切れ頻発によるカスタマーサービスへのクレーム数の上昇
アプリケーション DDoS□ ログイン、新規登録、商品ページなど特定ページにおける異常、想定外のスパイク□ 正規ユーザーからカスタマーサービスへのクレーム数の上昇
パスワードリスト型攻撃(Credential Stuffing)
□ ログイン失敗回数の上昇□ 顧客アカウントのロックアウト数、サポートへの問合せ件数の上昇□ リワードポイント、クレジットカードの不正利用件数の増加
アカウントの自動登録□ 新規アカウント数の異常な上昇□ 新規アカウントから購入顧客へのコンバージョン率の低下□ コメントスパム数の上昇
悪性bot活動の兆候例(チェックリスト)
© 2018 Akamai | Public
巧妙化するbot
Curl, WgetPython,
PHP script
Scripting language with false browser headers
Bot framework
with multiple browser header
templates
PhantomJS
Headless Chrome
(Selenium and plugin support)
© 2018 Akamai | Public
Bot Manager ~botアクセスの管理ソリューション
Commerce search
Web search
M&E search
SEO
RSS
Social
Site monitoring
Business intelligence
Online advertising
News aggregator
Web archiver
Enterprise aggregator
Financial
Job search
Academic
独自開発のbotリクエスト形式が
ブラウザーと異なるもの
高頻度のリクエスト送信、セッションリプレイ
を行うbot
ウェブブラウザを外部からあやつるbot
オリジンウェブサーバ
シグネチャー検知
アクティブ検知
ふるまい検知既知のbot(良性&悪性)
© 2018 Akamai | Public
アクティブ検知 botの繰り返しリクエストなどの検出
• Session Validation■ Cookie をセットし、セッション内での Page Viewを測定して判断
• Rate Control■ Rate Controlを使用して判断、最大10ポリシーまで
• Cookie Validation■ Cookieリプレイを検知する
Bot Manager で提供される機能の例
© 2018 Akamai | Public
アプリに組込んだSDKで情報取得
ふるまい検知+機械学習
PCのウェブブラウザ
モバイルデバイスのウェブブラウザ
高度なボットによるログイン情報の入力
ボットのふるまい→ プログラムによる規則性のある動き
人間のふるまい→不規則性のある動き
マウスの軌跡 キー入力
モバイル機器のネイティブアプリにも対応 タッチの軌跡
加速度センサ
Java Script
Java Script
GPS動作
マシンラーニングによる高精度ふるまい分析
Bot Manager Premier
使いまわし
ID,
Pa
ssw
ordでのログイン
使いまわし
ID, パスワードでのログイン
Human
ストレスフリーの通常ログイン
bot
多要素認証画面の表示など
© 2018 Akamai | Public
botトラフィック へのアクション
12 2 13
ハッカーに気付かれることなくbotを管理
Basic│ Alert/ Block
Late │ Delay (1-3s)
Slow (8-10s)
Drop│ Silent deny Serve│Serve alternate origin
Serve cached
Serve alternate content
© 2018 Akamai | Public
条件つきアクション
- URL、時間、%などをベースにした柔軟なレスポンス- ASN, Cookie,拡張子、ファイル名、ホスト名、Network List, Query
Stringなどの組み合わせた条件からDeny,Delayなどのアクション適用
利用例1:毎日9:00-18:00に検索エンジンbotの50%を遮断
利用例 2:Session Validationで検知されたbotのうち海外IPのものを遮断
© 2018 Akamai | Public
Avoid data theft and downtime by extending the
security perimeter outside the data-center and
protect from increasing frequency, scale and sophistication of
web attacks.
事例:Bot Managerによるアクセス制限(米金融業)
課題:一般ユーザーのアクセスが集中する時間帯にFintech botからのアクセスが過多
ユーザーアクセスの集中する時間帯
ユーザーアクセスの少ない時間帯
Bot Manager
Bot Managerの条件付きアクションで問題解決
オリジンサーバー