悪質BotからWebサイトを守る――ユーザーの利便性を損なわずにリスクを排除するには？

[PR／ITmedia]

PR

　ECサイトをはじめとするネットサービスの不正アクセス被害が世間を騒がせている。特に最近目立っているのが、「Bot」を巧妙に操ったサイバー攻撃だ。

　Botはあらかじめ設定された処理を自動的に実行するプログラム全般を指す言葉だ。例えば、GoogleやBingなどの検索エンジンがWebサイトを巡回してテキストや画像といった情報を取得するために使う「クローラー」は、代表的なBotの一種だ。定型的な業務処理を自動化するために使われるRPAをBotと呼ぶ場合もある。これらは無害なBotの例だ。

　しかし、セキュリティ分野でBotといえば、多種多様な攻撃を自動的に仕掛けてくる悪質なプログラムを指す場合が多い。セキュリティ対策が脆弱（ぜいじゃく）なネットサービスから流出したIDやパスワードを片っ端から試して不正ログインを試みる「リスト型攻撃」もBotによるものが多いといわれている。

　こうしたBotによる攻撃は、ネットサービスを運営する事業者のビジネスに悪影響を及ぼす。Botによって悪意のある者に不正ログインを許してしまえば、システム自体に大きな問題がなかったとしても事業者側が責任を問われたり、会社のイメージダウンにつながったりする可能性も考えられる。経営危機に直結する課題だ。

Botを使った“買い占め”などの迷惑行為がまん延

日立ソリューションズの真島秀一課長（セキュリティソリューション本部 セキュリティサービス部）

　さらに最近はECサイトで販売されている商品の“買い占め”や、クリック数に応じて対価を支払う広告の“クリック数水増し”、Webサイト上の情報を抽出する“スクレイピング”などにもBotが使われている。

　「人気イベントのチケットのようなプレミアム商品を取り扱うECサイトでは、高額転売目的の人たちが、Botを使ってチケットを瞬時に買い占めてしまうという迷惑行為も頻発するようになりました」──そう解説するのは、日立ソリューションズでセキュリティ関連事業を手掛ける真島秀一課長（セキュリティソリューション本部 セキュリティサービス部）だ。

チケットの買い占め自体は不正アクセスとは異なり、完全な違法とはいえないグレーゾーンにあたる行為だ。しかし、そのチケットを本当に欲しい人が買えなくなってしまうため、悪質なアクセスを行うBotを防ぐには事業者側で対策を講じるしかない。

既存技術ではユーザーに面倒だと思われてしまう

　実はこれまでにも、Botによるアクセスを遮断する多くの技術が登場している。代表的な技術の筆頭が「CAPTCHA」（Completely Automated Public Turing test to tell Computers and Humans Apart）だ。これはWebサイトにアクセスしているのが人なのかBotなのかを確認するために使われる「チャレンジ／レスポンス型テスト」の一種だ。

一般的なCAPTCHAのイメージ（編集部で作成）

　具体的には、Botでは読み取りにくい変形させた文字列の画像を提示して文字を読み取らせるものや、指定した物体の位置を画像から選ばせるものなど、さまざまな種類がある。日頃からネットサービスを使うほとんどの人が実際に遭遇した経験があるだろう。

日立ソリューションズの大栢良介さん（セキュリティソリューション本部 セキュリティサービス部 技師）

　最近はログイン認証にIDやパスワード以外の要素を追加する「二要素（多要素）認証」が使われることもある。個人が所有しているスマートフォンに、SMSや音声通話経由でワンタイムコードを送信し、それを入力させる方法が一般的だ。

　だが、こうした仕組みをサービスに組み込むのは必ずしも効果的とはいえない。日立ソリューションズの大栢良介さん（セキュリティソリューション本部 セキュリティサービス部 技師）は実態を次のように説明する。

　「CAPTCHAや多要素認証を追加すること自体は、技術的にそう難しいことではありません。しかし、例えばECサイトで商品を購入しようとしている顧客がCAPTCHAを面倒だと感じて途中で諦めてしまい、サービス側が商機を逃すこともあります。また、多要素認証を実装しても、ユーザーがその機能を有効化せず、効果を発揮できないこともあります。認証を複雑にすればBotのアクセスは防げるでしょうが、サービスの使い勝手のよさとはトレードオフの関係にあります」

Botの悪質なアクセスを遮断するPerimeterX Bot Defender、国内で初登場

　こうしたBotの悪質なアクセスをブロックしたいという要望は、日立ソリューションズのもとにも数多く寄せられている。何とかしてより簡単に、高精度にBotを検知し、アクセスを阻止できないものか。同社はBotのアクセスをブロックできる仕組みを探していたという。

　そうした中、有効な解決策として注目したのが、米PerimeterXが開発した「PerimeterX Bot Defender」だった。

　PerimeterX Bot Defenderは、AIを使ってアクセスされた際の操作内容や利用端末情報などを分析し、アクセスしているのが人かBotかを高精度に判別、Botによるアクセスをブロックするクラウドサービスだ。米国で2016年4月にサービス提供を始めて以降、Botのアクセスに悩まされていたBtoCのECサイトを運営する企業を中心に、続々と採用されてきた。

「2020年2月現在では、スポーツブランドの独Puma、格安航空券比較サイトの英Skyscannerなど、150社を超える欧米企業が利用しています」（真島課長）

　セキュリティ対策の支援事業を手掛ける日立ソリューションズでは、Botを高精度にブロックできるだけでなく、初期投資費用を抑えながら簡単に設定できる運用の利便性や、サービスユーザーの操作性を損なわない形で導入できる点からPerimeterX Bot Defenderを高く評価。19年12月に日本国内で初めてPerimeterXと代理店契約を締結し、PerimeterX Bot Defenderのサービス提供を開始した。

Botのアクセスを99％以上も遮断する効果を得る

　PerimeterX Bot Defenderは、どのような仕組みでBotをブロックするのか。まず始めに、サービス運営元のWebサーバにPerimeterX Bot Defenderの専用モジュールを導入し、Webページにタグを追加する。クラウド上にあるPerimeterXサーバのBot判別AIは、Webサイト訪問者のふるまいを基に、アクセスしているのが人かBotかを判別する。人と判断した場合は専用モジュールが本来のWebページをそのまま表示し、Botと判断した場合はCAPTCHAなどを表示してアクセスをブロックする仕組みだ。ちなみにWebサーバに限らず、ロードバランサーやCDN、サーバレス、クラウドなど、さまざまな環境に導入できる。

システム構成の概念図

　「人と判断した場合には通常のページを表示するため、ユーザー体験の低下を防げます」（大栢さん）

　CAPTCHAを表示することなくBotを見分けられるため、ユーザーの利便性を損なわずにWebサイトを安全に運営できるというわけだ。Botによるアクセスをブロックすることで、買い占めだけでなく、アカウントの大量作成なども抑止できるため、新規会員登録特典やポイントの不正取得も防げる。WAF（Web Application Firewall）など従来のセキュリティ技術では防ぎきれなかった、正常なアクセスを装うタイプの巧妙なBotであっても見逃さない。気になる検知精度も抜群だ。

Botによる不正ログイン、買い占め、スクレイピングもまとめてブロック

　「シューズ販売のECサイトを運営する米Shiekh Shoesが調べたところ、PerimeterX Bot Defenderの導入でBotの悪質なアクセスを99％以上も遮断できたそうです。同社はBotによる商品の買い占めに悩まされていましたが、それも解消できたといいます」（真島課長）

　日立ソリューションズがPerimeterX Bot Defenderのサービス提供を始めておよそ2カ月が経過したが、この間にECサイトなどのネットサービスを運営する事業者からすでに多くの引き合いがあるという。

　あらゆるサービスがネットに集約されつつある中、悪質な手段によってビジネスに深刻な悪影響を及ぼす可能性が高まりつつある。ユーザーにも影響を与えるリスクを放置することは企業の信頼にも大きく関わってくるだろう。

　少しでも不安がある──そんなあなたの会社も、PerimeterX Bot Defenderを使った悪質Bot対策をはじめとするセキュリティ対策に強みを持つ日立ソリューションズに相談してみてはいかがだろうか。