1. HOME
  2. ブログ
  3. Blog
  4. 2021年のアプリケーションセキュリティの予測: ボットは、さらに台頭し、巧妙になる

Info.

お知らせ

Blog

2021年のアプリケーションセキュリティの予測: ボットは、さらに台頭し、巧妙になる

2021年のアプリケーションセキュリティの予測: ボットは、さらに台頭し、巧妙になる のページ写真 1

トピック: ネットワークおよびアプリケーションセキュリティ

2021年1月20日、Tushar Richabadas

このブログは2021年のアプリケーションセキュリティの予測に関するシリーズの最初の記事です。シリーズ全体は、ここで読むことができます。

(ほぼ)毎年、私はアプリケーションセキュリティの予測を発表しています。このような脅威のうち、3つは今後1年間の最大の問題であると思われます。過去2年間の予測は、クレデンシャルスタッフィング/ATO(アカウント乗っ取り)攻撃、API(アプリケーションプログラミングインターフェース)攻撃、およびサプライチェーン攻撃です。

今年は、少し異なっています。予測は、さらに的を絞ったものになっていますが、ほぼ同じラインで推移しています。過去1年間、バラクーダは脅威インテリジェンスサービス(Barracuda Advanced Bot Protectionの一部)をさらに多くのセンサーとインテリジェンスで強化しました。また、お客様との会話、および他の脅威調査と組み合わせて、下記の予測を立てています。

ボットは、さらに巧妙になり、台頭する

ある意味では、パンデミックによる退屈さによって、ボットが台頭していると言えるかもしれません。ボット、特にスニーカーボットは、過去数年間で人気が高まっています。人々は、このようなボットを使用して、最新のスニーカーなど、人気のある限定品を購入し、利益を得るために、転売していました。この傾向は、かなり長い間、続いていますが、AMD(アドバンスト・マイクロ・デバイセズ)の新しいRX6000グラフィックスカードとRyzen 5000シリーズプロセッサ、およびソニーのPlayStation 5のリリースによって、かなり多くの人が、このような製品に興味を抱いており、ボットについて学ぶようになりました。

2021年のアプリケーションセキュリティの予測: ボットは、さらに台頭し、巧妙になる のページ写真 2

2021年のアプリケーションセキュリティの予測: ボットは、さらに台頭し、巧妙になる のページ写真 3

2021年のアプリケーションセキュリティの予測: ボットは、さらに台頭し、巧妙になる のページ写真 4

AMDの例は、CAPTCHAの使用、アカウントごとの購入制限、予約、ボット管理ソリューションなど、具体的なボット軽減策を規定している点で非常に興味深いです。このようなソリューションの多くは現在のボット作成者を動かすものではありません。reCAPTCHA v3などのCAPTCHAは、ボットで非常に簡単にバイパスできます。また、高度なボット管理ソリューション以外のほとんどの方法をバイパスできます。

reCAPTCHAアプローチはボット軽減ソリューションがボットより人間にとって困る可能性が高いことを示す例です。バラクーダが知っていて好んでいる画像ベースのreCAPTCHAの以前のバージョンは数年前に破損したため、Googleはユーザからの評価に基づくv3をリリースしました。さらに高い評価を与えるものの一つがGoogleアカウントの動作であり、現在、高い評価のアカウントを提供できるサービスがあります。

2021年のアプリケーションセキュリティの予測: ボットは、さらに台頭し、巧妙になる のページ写真 5

ボットの検出方法の一つはIPレピュテーションであり、代表的な拒否方法の一つはデータセンターのIPアドレス範囲を拒否することです。現在、このような制限をバイパスするために、住宅用IPアドレス範囲を提供するサービスもあります。このようなサービスにはVPN(仮想プライベートネットワーク)サービスからのものもあります。人々は、IPレピュテーションチェックをバイパスするために、住宅用IPアドレスを使用して、コンテンツ制限をバイパスするために、VPNサービスを使用しています。

希少価値の利用と転売目的のボットの実行について話していますが、ボットの台頭に貢献している社会経済的要因もかなり重要です。まず、ボットは高コストです。本当に優れたボットには何千ドルもかかり、人々は、金銭を得るために、ボットをレンタルします。ボットを購入するだけでなく、優れたサイトはすべて、特定の国、データセンターのIPアドレス範囲など、通常の疑わしいIPアドレス範囲を拒否しているため、優れた住宅用プロキシのサブスクリプションを購入する必要があります。このため、ボットを購入および運用するには、かなりのコストがかかります。しかし、バラクーダの調査によると、特に大規模な発売では、ボットを使用する人が増加しています。Tidal、Botmart、Botbrokerなどのマーケットプレースでは、ボット中心の経済活動が行われています。このようなマーケットプレースには、ボットを購入またはレンタルしている間、詐欺に遭わないようにする仲介者がいる場合もあります。ほとんどのボット作成者は、独自のDiscordサポートチャンネルを所有し、適切なサポートを提供しています。ボット経済は、非常に大きく、今後も、かなり成長するでしょう。クックグループ、またはボットユーザ向けのサポートと情報を提供しているグループは、スポットが制限されており、サブスクリプションがかなり高コストです。

実際にボッティングと転売を行っている人の話に戻りますが、過去数か月間にボッティングを始めた人の投稿をさまざまなフォーラムで見てきました。人々は、経済的に苦しい状況にあるため、ボッティングが金銭を得る方法であると考えています。ボッティングを始めるための最も低コストの方法を求めている人のフォーラムには、休暇中に、金銭を得るために、ボットレンタルに貯金を費やしていることについて話している投稿があります。以前は米国のユーザが主流だったこのシーンでは、EU(欧州連合)とカナダからの参加者が増加しています。このようなユーザの多くは学生です。

2020年12月上旬のBarracuda Threat Spotlight(バラクーダが注目する脅威)では、ボットの動作に2つの特定のパターンがあることを調査しました。Barracuda Advanced Bot Protectionからのデータを調査し、2つの調査結果を得ました。1つはボット作成者が定期的な作業時間のスケジュールに従っていると思われることであり、もう1つは悪意のあるボットが標準的なブラウザトラフィックに非常に巧妙に隠れていると思われることです。現在、ガートナーが2020年のMQ(マジック・クアドラント)でボット保護がWebアプリケーション保護の一部としてますます重要になっていると予測していることは小さな驚きです。

2023年までには、公開WebアプリケーションおよびAPI30%以上がDDoS(分散型サービス拒否)保護、ボット軽減、API保護、およびWAFWebアプリケーションファイアウォール)を組み合わせたクラウドのWAAPWebアプリケーションおよびAPI保護)サービスで保護されるでしょう。つまり、現在の15%未満より増加するということです。

出典: ガートナーの2020年のWAFMQ

2021年のアプリケーションセキュリティの予測: ボットは、さらに台頭し、巧妙になる のページ写真 6

ボットについて話している間も、限定品を購入するための行列は依然として広く発生しています。シンガポールで行われたスニーカーの発売では、パンデミックによる規制を無視する大混雑が発生し、政府が店舗を一時的に閉鎖する事態にまで発展しました。

来週は、このシリーズの第2の記事を投稿します。それまでの間、バラクーダのアプリケーションセキュリティエキスパートによる現在のセキュリティトレンド、Webアプリケーションセキュリティ、2021年のテクノロジ予測などに関する有益なパネルディスカッションに参加してください。このウェビナーは、無料であり、オンデマンドで提供されています。

2021 applications security predictions: Bot, API, and supply chain attacks

こちらでウェビナーを視聴

原文はこちら:

AppSec predictions 2021: Bots get bigger and smarter

January 20, 2021 Tushar Richabadas

https://blog.barracuda.com/2021/01/20/appsec-predictions-2021-bots-get-bigger-and-smarter/

 

関連記事