bot対策、ウェブセキュリティの対策の
思わぬ落とし穴と対策のポイント
2019年2月14日
アカマイテクノロジーズ合同会社
プロダクト・マーケティング・マネージャー
中西 一博
アカマイ・クラウド・セキュリティ
ゼロ・トラスト化したネットワークの
脅威をクラウドの『エッジ』で防御
WAF
世界の有名サイトを守るWAFが ウェブとAPIを狙う攻撃から防御DDoS緩和
大規化、巧妙化するDDoS攻撃を ネットワークエッジですばやく超分 散緩和bot管理
買い占め、価格調査、不正ログインなどを行 う悪性botをふるまい検知+機械学習で抑止レピュテーション
ビッグデータで危険なIPを解析し ゼロデイ攻撃からウェブを保護マルウェア出口対策
既存対策で発見できない標的型マル ウェアの僅かな動きをDNSで検知IPA発表 セキュリティ10大脅威 2019
個人の脅威 順位 組織の脅威 クレジットカード情報の不正利用 →KSD,BM 1 標的型攻撃による被害 →ETP フィッシングによる個人情報等の詐取 2 ビジネスメール詐欺による被害 不正アプリによるスマートフォン利用者の被害 3 ランサムウェアによる被害 →ETP メールやSNSを使った脅迫・詐欺の手口による金銭要求 NEW 4 サプライチェーンの弱点を悪用した攻撃の高まりNEW →KSD(AAG), EAA
ネット上の誹謗・中傷・デマ 5 内部不正による情報漏えい 偽警告によるインターネット詐欺 6 サービス妨害攻撃によるサービスの停止 →KSD インターネットバンキングの不正利用 →BM 7 インターネットサービスからの個人情報の窃取 →KSD インターネットサービスへの不正ログイン →BM 8 IoT機器の脆弱性の顕在化 →ETP ランサムウェアによる被害 9 脆弱性対策情報の公開に伴う悪用増加 →KSD w/CR IoT 機器の不適切な管理 10 不注意による情報漏えい
悪性botが引き起こす様々な問題
セールの目玉商品や限定商品が瞬時
に買い占められて高額転売される!
小売り、各種ECサイトでは…
サイトがコピーされ許可なく商品を
再販するサイトが作られていた!
各種オンライン金融サービスでは…
大量の成りすましログインの発生で
顧客の口座情報が流出してしまう!
FinTech企業からの高頻度アクセス
でサービスのレスポンスが低下!
その他の一般的なウェブサイトでも…
ウェブ問い合わせフォームを悪用
し顧客担に毎日大量のスパムが!
アカウントが大量作成され入会特
典ポイントを不正取得された!
© 2019 Akamai | Public
Grow revenue opportunities with fast, personalized
web experiences and manage complexity from peak
demand, mobile devices and data collection.
導入事例: Bot Manager
導入前の課題:
導入効果:
•
予約に繋がらない大量アクセス
•
ボット起因の外部予約エンジン
課金が大きな負担に
•
自前でのボット対策の限界
•
ボットの可視化 (全体の約85%)
•
無駄なアクセスの抑制 (61% 減)
•
外部予約エンジン利用課金の大
幅な削減
•
大量の在庫照会アクセス
•
セール時のパフォーマンス
劣化対策が大きな負担に
•
自前でのボット対策の限界
•
全アクセスの70%におよぶボット
アクセスを可視化しオフロード
•
ユーザエクスペリエンスが向上
•
削減できた運用工数をコアビジネ
ス開発へ投入可能に
*この事例の内容は、2017年5月に開催されたAkamai Security Conference内のセッションで用いられたものです。
企業の問い合わせフォームへのbot攻撃(業務妨害)
企業の ホーム ページ あ 氏名 会社名 E-Mail お問い合わせ内容 迷惑ダミ男 迷惑商事 意味不明の文面 SafdksajlkxsldfkasXXX Saokrj masldkpo-w saldjakljex@gmail.com お問い合わせフォーム botのプログラムで生成されたダミーの 問い合わせ内容をホームページの 「問い合わせフォーム」から大量にポスト 攻撃者 1日数万通のメールが各部門の 問い合わせ担当者に送付され 仕事にならない! アジア諸国など • 社外からのスパムメールは対処しているが、問い合わせフォームからのメールは検査できない • 大量の迷惑メールの中に埋もれた、本来の問いあわせメールを探すのは難しい 課題 bot Bot Managerによる ボットからの投稿検知CAPTCHA テスト の限界
CAPTCHA(キャプチャ)は難読文字を入力
することでbotか人間かを判定するしくみ
CAPTCHA導入によるユーザ離脱率は、一般
的に10%を越えると言われる
•
AIによるクラウド型解読サービスを簡単に自作のbotに組み込める
•
1000個あたり、$0.5-$1.5程度の料金。95%の正確性(人間では71%)
•
米国では人気チケット150万枚以上の購入で2890万ドルの利益を上げた
•
イープラスではBMPによるbot対策後、ログイン画面に残っていたCAPTCHAを
排除できた。
認証情報の取得
Username Password LOGIN Username Password LOGIN 買い占め 情報取得 口座の操作 転売、換金 ダミーアカウント 漏えいしたID,パスワードボットに指示
不正ログイン
不正利用、現金化
キー入力 加速度 センサー タッチ& マウスの動き 機械学習で ボットと人を識別 良性/悪性ボットの種類を判別 不正ログインボットを「ふるまい」で検知 定義済&カスタムルール判定+ボット自動抽出 高頻度のリクエスト ボットをアクセスデバイス上の「ふるまい」で識別 ブラウザ、アプリを操作する高度なボットも検出 ボットを「だます」柔軟な応答、制御 ボットに対策を気づかせない多彩なアクセス制御© 2019 Akamai | Public
Grow revenue opportunities with fast, personalized
web experiences and manage complexity from peak
demand, mobile devices and data collection.
アプリに組込んだ SDKで情報取得
Bot Manager Premierのふるまい検知のしくみ
PC のウェブブラウザ モバイルデバイスの ウェブブラウザ 高度なボットによる ログイン情報の入力 botのふるまい → プログラムによる規則性のある動き 人間のふるまい →不規則な動き マウスの軌跡 キー入力 モバイル機器のネイ ティブアプリにも対応 タッチの軌跡 加速度センサ Java Script Java Script GPS動作
機械学習
による 高精度ふるまい分析Bot Manager Premier
使いまわし
ID
, パスワードによるログイン
人間
ストレスフリーの 通常ログインbot
多要素認証 画面の表示などボットを「だます・いなす」柔軟な管理と制御
① Monitor / Alert
② Deny (HTTP 403 応答)
③ Silent Deny (HTTP 403 応答無し)
④ Delay (1-3秒)応答
⑤ Slow (8-10秒)応答
⑥ 代替コンテンツ応答
⑦ 代替オリジン・リダイレクト
⑧ キャッシュからの応答
ボットの識別・可視化
ボットに気づかせない応答
bot を『いなす』柔軟な制御
調査 ボットの特徴を捉える 対策 (ブロッキング) 例1 特定IPをACLでDeny 例2 アクセスレート制御 例3 CAPTCHAでbot判定 認知 迷惑botを使うオペレータが サイト側のブロック策に気付く 対策の回避 • レート制限の閾値を超えない頻度 でアクセスするbotを複数用意 • AIによるCAPTCHAの解析と突破 いたちごっこ 回避策を取ったボットが襲来頻発する不正ログイン事件
日経新聞:2018/8/14 通販通信:2018/6/11 Security Next :2018/8/17
Avoid data theft and downtime by extending the
security perimeter outside the data-center and
protect from increasing frequency, scale and
sophistication of web attacks.
ダークウェブで取引される情報系商材の例
•
アドレスとパスワード
:
$0.70–$2.30
•
残高保証のないクレジットカード (番号と CVV) :
$8
•
$2K 残高保証のクレジットカード (番号とCVV) :
$20
•
$15Kの残高保証の米国銀行口座認証情報
$200-1,000
•
PayPal
認証情報
:
$1.50
•
クレジットカードの
認証情報
$15-$22
•
Weston Union (国際送金サービス)アカウント
$6.80
ボットによる不正ログイン 業界別数
Akamai プラットフォーム
総ログイン試行数: 83億
不正なログイン試行:36億回
43%
36%
不正ログイン
の占める割合
82%
2017年11月
Source: Akamai SOTI Q4 2017 Security Report
bot に よる不正ログ イ ンが疑われる件数 ログインの を占める ログインの を占める 小売り ホテル &旅行 ハイテク メディア&娯楽 サービス金融 消費者向けグッズ その他
毎時 291,101の不正なログインリクエスト ©2018 AKAMAI
Fortune 500 の金融機関のログインページに
対するボットからの大量の不正ログイン攻撃
人間によるログイン 6,947,896 不正ログイン 8,502,762 攻撃元IP アドレス 10,000+ 攻撃元AS数 4923 ユーザーエー ジェント数 9,999 攻撃元ユーザーエージェント 16.8%14.0% 5.9% 5.4% 5.0% 4.9% 4.8% 4.2% 3.0% 2.2% VN US BR TH EC RU IN KR JP TW 攻撃元国 Top10 高度に分散した攻撃元IPアドレス95%
ボットからの全リクエストの うちSAMSUNGのスマホ Galaxy SM-G531H が利用さ れた割合0
.
7%
攻撃数トップのIPア ドレスの占める割合 Bot Manager でボット対策を開始 大量の不正ログイン攻撃は収束 正常なリクエストは毎時 105,975金融機関へのリスト型攻撃例
ボリューム型
最多はベトナム正規のログインリクエスト:毎時 46,057回 不正ログインリクエスト:毎時 8,723回 不正ログインリクエスト:毎時 797回
金融機関へのリスト型攻撃例
Low&Slow型
北米の大手信用組合が受けた不正ログイン攻撃
•
botログインが正規ログインの1.7%と少ない
•
検知回避のためゆっくりだが30万回以上試行
•
最新の検知技術なしには人間と区別できない
人間によるログイン 4,251,661 不正ログイン 312,178 攻撃元IP アドレス 19,992+ 攻撃元AS数 1743 ユーザーエー ジェント数 4,382 アクセスレートによる検知を避ける作りこみがされたボットbot managementの必要性 不正行為の発生を未然に低減し、早い段階 でチェーンを断ち切り被害を緩和する 偵察 Reconnaissance 武器化 Weaponization 送信、検証 Delivery 攻撃 Exploitation 目的の達成 Action
©2018 AKAMAI | FASTER FORWARDTM
ボットによる不正ログインのサイバー・キル・チェーン
• 高付加価値のアカウント 情報を持つサイトを特定 • ダークウェブで他のサイ トから盗まれたID,パス ワードなどの認証情報を 入手 • ログイン認証を自動化 するためbotネットを構 築またはレンタル • CAPTCHAによる検出を 回避するツールも購入 • ターゲットサイト のアカウントを別 の攻撃者が購入 • 購入したアカウン ト情報を使用して ログイン • アカウントにログイン して不正送金、ポイン ト搾取などの不正行為 を実行 目的 解決策 • 標的のサイトのログイン ページに購入した認証情 報が有効か検証する • 検証の結果有効だったア カウント情報をダーク ウェブで再販 犯罪的行為の防止 • 利点: 個々の行為を分析可能 • 欠点: 高コスト、アカウント の侵害は防止できない終わらないクレジットカード情報の漏えいと不正利用
2018/12/05
手芸材料の通販サイト「ZOWHOW」
が脆弱性をつ
かれ顧客のクレジットカード情報397件が流出
2018/08/03
海外の排卵検査薬や妊娠検査薬を取り扱う通信販売
サイト
「こうのとり検査薬.NET」
が不正アクセスを
受け。セキュリティコードを含むクレジットカード
などの情報最大1万1314件の顧客情報が流出した
2018/08/02
アサヒ軽金属工業
が運営するオンラインショッピン
グサイトが不正アクセスを受け顧客のクレジット
カード情報最大7万7198件が流出し、一部が不正利
用されたと見られる
Avoid data theft and downtime by extending the
security perimeter outside the data-center and
protect from increasing frequency, scale and
sophistication of web attacks.
ダークウェブで取引される情報系商材の例
•
アドレスとパスワード
:
$0.70–$2.30
•
残高保証のないクレジットカード (番号と CVV) :
$8
•
$2K 残高保証のクレジットカード (番号とCVV) :
$20
•
$15Kの残高保証の米国銀行口座認証情報
$200-1,000
•
PayPal
認証情報
:
$1.50
•
Weston Union (国際送金サービス)アカウント
$6.80
行政によるクレジットカード情報保護のうごき
改正割賦販売法
の施行(2018年6月)
カード加盟店のカード情報保護対策を義務化
方針
(カード情報)非保持化
PCI DSS準拠
概要
決済代行事業者に決済処理を委託する方式。
「トークン方式」「リンク方式」がある
グローバルな統一基準でカード会員データを
取り扱う情報システム全体を保護
長所
•
カード情報を自社サイトで保持しない
ため、保護を外部まかせにできる
•
比較的低コストで導入できる
PCI DSSに準拠することで、カード情報だけ
でなく
その他の顧客情報も保護できる
短所
•
決済代行事業者が狙われて攻撃される
とカード情報が漏えいする
•
カード情報以外の個人情報はこの仕組
みだけでは保護されない
PCI DSS準拠のため自社によるセキュリティ
システムの改修、運用、継続的な検証が必要
中小の多くのECサイトが“暫定策”の「非保持化」を選択したが…
「非保持化」対応済みサイトを狙った巧妙な攻撃の出現
2018/10/11
聖教新聞社
が運営する通販
サイト「SOKAオンライン
ストア」から2,481件のクレ
ジットカード情報が漏洩
2018/10/25
今治タオルの通販サイト
「伊織ネットショップ」が
不正アクセスで改ざんされ、
顧客のカード情報が詐取さ
れた可能性がある
クレジットカード 決済画面に進みます 決済処理に進む ECサイトのWebサーバー結局、自社のWebサーバー自体をしっかり守る必要がある
ご利用カード情報を入力 決済する カード番号 有効期限 名義 セキュリティーコード Webサーバを改ざんして用意した本物そっくりの偽決済画面 バレぬよう正規の画面へ 入力情報を 盗み出す 攻撃 改ざん 決済エラー 再入力 カード情報に誤りがあります ご利用カード情報を入力 決済する カード番号 有効期限 名義 セキュリティーコード 非保持化で 外部処理に 飛ばすはずが.. 決済代行事業者サイト2018年 相次ぐウェブからの情報漏えい
2018年4月
前橋市教育委員会
の公開ウェ
ブサーバーが不正攻撃を受け
この
サーバー経由で
ネットワーク
に侵入され、在籍児童の個人情報、
給食費徴収用の口座番号約4万8千
件が流出
主な原因は業者による
ファイア
ウォール設定の不備とサーバーの
更新不備
と発表されたが…
Source: 産経ニュース 2018.6.26「ウェブの改ざんだけ」で済まない
~公開ウェブが踏み台に
脆弱性のある関連会社AのWebサーバ ページ 改ざん攻撃者
細工したHTTPによる攻撃
マルウェア配置サイト 会社Aの社員自社のページに
アクセスと自動で誘導
•
現在のWeb改ざんは、書き換えらた箇所が一目でわからない
•
『見えないリンク』を裏で仕込まれて、マルウェア侵入の踏み台に
•
セキュリティの弱そうな組織のウェブを踏み台にして本丸に侵入
標的型マルウェアの
『見るだけダウンロード』
A社員の名前で本社
に危険な標的型
メールを送信
WAF(Web Application Firewall)の役割とは?
ネットワークOS
Webサーバソフト Webアプリケーション ファイアウォール IDS/IPS WAF DB 顧客情報など の機密データ公開ウェブ上の機密情報を狙う攻撃は
ファイアウォール、IPSを通り抜ける!
Webサーバプログラムや OSの脆弱性を狙う攻撃 利用ポートスキャン による調査などWeb上の情報は、ホスティング事業者が用意するFirewall、IPSでは守れない
Web アプリケーション攻撃 - SQLインジェクションなど DoS, DDoS (利用不能攻撃) - 大量の通信でウェブを使用不能に 攻撃者『超分散』クラウドでWebサイトへのサイバー攻撃攻撃を対策
お客様の データセンター お客様の Webサーバー (パブリッククラウドにも対応) 72Tbpsを配信可能な世界で24万台 以上配置されたエッジサーバー 一般 ユーザ ボットネット 上の攻撃元 Prolexic Fast DNS DDoSからネットワークと データセンターを包括的に保護 Prolexic 強固な可用性を備えたクラウド型 権威DNSサービス Fast DNS 重要なビジネスを担うウェブサイトを サイバー攻撃から包括的に防御 ビッグデータ分析で危険なIPを格 付けしWeb攻撃を未然に防止 Client Reputation 価格調査、買占め、不正ログイン などのボットを見分け働きを停止 Bot Manager ビッグデータ解析Kona Site Defender –WAF, DDoS対策
最も一般的なウェブへのサイバー攻撃に 簡単に防御を展開
Web Application Protector–WAF, DDoS対策
1日平均 3000億のDNSクエリー、 20TBの攻撃データを分析
Avoid data theft and downtime by extending the
security perimeter outside the data-center and
protect from increasing frequency, scale and
sophistication of web attacks.
各エッジサーバー上のクラウド型WAFでWeb攻撃を多層防御
エッジサーバによる分散防御
24万台以上のエッジサーバで大規模DDoSを分散緩和
ジオ・ブロッキング
アカマイの高精度な地域別IPマップでアクセス元を制限
WAFルールにより脆弱性攻撃を防御
世界の政府機関、有名企業を守る高精度のWAFルール
アダプティブ・レートコントロール オリジンサーバーへのレートを柔軟に制御し過負荷を回避クライアントレピュテーション
ビッグデータ解析で危険度の高いIPからの通信を遮断
APIプロテクション
APIサーバ内で対処不可能な攻撃をクラウドで防御
アカマイのゼロデイ攻撃対策の効果
Struts2 脆弱性攻撃への対応
©2018 AKAMAI| FASTER FORWARDTM
レピュテーション(リス ク)ス コア 0 5 10 中国で大規模攻撃キャンペーン 「Bleeding Thunder」が開始 (日本含む1.3万サイトが標的リスト化) 8/25 IPアドレスA(香港)の リスクスコアが「10」 (最も危険)に急上昇
クライアントレピュテーション(CR)
0 8/17 Apache 開発者 が脆弱性を公開 CVE-2018-11776 8/22 IPアドレスAからの Struts2攻撃を観測57
社に 攻撃を試行 8/24 CR利用のお客様は、脆弱性公開前から攻撃を自動でブロックできていた! アカマイの誇る2ペタバイトのビッグデータ 分析で危険なIPのアクセスをブロック Struts2脆弱性攻撃を含めAPIの脆弱性をついた大型情報漏えい事件の増加
2018年9月フェイスブック
から5千万人以上のロ グイン情報が流出した。「View As」機能 に脆弱性があり、 5千万人以上のログイン トークンが盗まれた。多数のAPIを利用し た巨大システムを構築しているFacebookの システムに潜んでいたバグを利用したと言 われている 2017年3月マクドナルド
(インド)
のウェブサ イト220万人分のユーザーの情報が盗まれ た事件が発生。APIの認証完了後、認証し たユーザーの情報だけではなく他のユー ザーの情報にもアクセス可能になる脆弱性 がアプリケーションに存在し攻撃に利用さ れた。HEMS IoT 自動車
B2Cモバイル
アプリ
インターネット 製造 ビジネスパー トナー向けAPI Web Page データベース Webアプリ API ケーション サーバWebAPIの利用例:
•
スマホアプリから、企業の提供するサービスにログイン
•
Fintech企業が情報取得のため金融機関の提供するAPIを利用
•
コネクテッドカーが集めた情報をAPIサーバーに送信
新たな盲点、WebベースのAPIの保護
•
SQLi,XSSなど既知のWeb攻撃
•
API特有の脆弱性を突く攻撃
•
APIを狙うDDoS攻撃
Akamai KSDで防御
API Security
ポジティブセキュリティ
(ホワイトリスト型)
(WAF, ブラックリスト型)
ネガティブセキュリティ
DDoS の緩和
入力値のチェックなど
『デシリアライズ攻撃』など WebAPI特有の攻撃に対応一般のWebアプリケーション攻
撃と同様の対策
SQLi, XSS, CMDi 等の防止レイヤ7 DDoS の防御
. 多くのリソースを消費する APIへのDDoSを緩和Web API のセキュリティ戦略
詳しくはZDNET連載記事で!APIセキュリティ入門
クラウド型ウェブセキュリティサービスによる多層防御の例
Kona Site Defender
Client ReputationAWS/
Other
Cloud
Network List ControlRate WAF Rule Custom Rule ScoringData
PaaS基盤
On premise
Fast DNS
DDoS対策 Web Application Firewall
攻撃者 Bot Manager ボットアク セス
クリーントラフィック
一般ユーザ DNSの防御Akamai WAF導入:お客様のきっかけと選択の理由例
国内業者に委託してアプライアンス型WAFを運 用していたが誤検知が多かった。DDoSやトラ フィックの集中対策も考えるとCDN型か? • 世界の有名企業が利用するWAFルールと支援サービス • DDoS対策だけでなく正常時のパフォーマンスも改善 • 高トラフィック時はエッジサーバー台数が動的に増加 親しい仲間に聞いて回ったところ、サービスの 安定度、CDNの品質の高さでアカマイが抜群 • 提供しているサービスは絶対落とせない • そもそも不安定なプラットフォームは使えない 検知用のモジュールをウェブサーバに入れるタ イプのクラウドWAFでは何が起きるか不安。 • DNSの設定変更だけで済み、ウェブサーバーの構成変更をしなくてよいCDN型はベストの選択 アプライアンスWAFの保守費用など 隠れたTCOを考えると高くはない 会社合併や吸収があっても、サイト追加が簡単で、同レベルの保護ができる WAFのルール設定などの運用を任せ られるサービスの充実度が魅力 不正なアクセスをDDoS防御、WAFでまとめてブロックできるのがいい 導入検討時 アカマイ WAF 導入後セキュリティ・ソリューションに対するアナリストの評価
IDC社の評価「Akamai は最も強力、かつ幅広いエッジセキュリティを提供してきた」
—Source: IDC, Akamai: Cloud Content Delivery and Security Services Vendor Profile, #EMEA44060518, July 2018
GartnerのMagic Quadrant for WAFでリーダーに位置付けられる
(Research note G00340592, August 2018)
Forresterの複数のレポートでリーダーとの評価:
–
The Forrester Wave™: Web Application Firewalls, Q2 2018
–
The Forrester Wave™: DDoS Mitigation Solutions, Q4 2017
–
The Forrester New Wave™: Bot Management, Q3 2018
Frost & Sullivanのマーケット・リーダーシップ受賞:
–
2018 Global Holistic Web Protection
無償トライアルによる脅威の可視化についても まずは、お気軽にご相談ください