Barracuda Threat Spotlight(バラクーダが注目する脅威): 悪意のあるボット攻撃
トピック: ネットワークおよびアプリケーションセキュリティ
2020年12月3日、Brett Wolmarans
ホリデーショッピングシーズンが訪れると、ボットを悪用して、DDoS(分散型サービス拒否)攻撃を実行し、不正購入を行い、悪用可能な脆弱性をスキャンする攻撃者にとって、EC(電子商取引)サイトは魅力的な標的になります。
11月中旬、バラクーダの調査担当者がテストWebアプリケーションの前にBarracuda Advanced Bot Protectionを実行したところ、わずか数日で検出されたボットの数は驚異的であり、数百万の攻撃が数千の異なるIPアドレスから実行されていました。
時間という観点から見ると、バラクーダの調査担当者はボットが深夜まで攻撃を待機しているわけではないことを確認しています。たとえば、英国では、ボットアクティビティは、午前中にピークを迎え、午後5時近くまでは減少しません。つまり、攻撃者(別名「ボットハーダー」)は通常の営業日に従っている可能性があるということです。
攻撃者が悪意のないユーザエージェントを偽装する方法、およびこのような攻撃の新しいパターンに関するバラクーダの調査担当者が発見した傾向について詳細に説明します。
主要な脅威
悪意のあるボットペルソナ: 悪意のあるボットペルソナとは、アクティビティパターンに基づいて、悪意のあるものとして検出されたボットです。悪意のあるボットはユーザエージェントによって分類されていますが、一部のユーザエージェントは悪意のないものです。たとえば、サイトをクロールし、検索ランキングに追加するGooglebotは、悪意のないものであるため、拒否しないでください。Googleには、下記のさまざまなユーザエージェントがあります。
問題は、ボットが、このような悪意のない既知のユーザエージェントを偽装することです。このため、悪意のあるものと悪意のないものを区別するには、注意深く確認する必要があります。ユーザエージェントが悪意のない検索エンジンであると主張している場合、バラクーダの調査担当者は、ボットが悪意のあるものであることを検出するために、下記の方法を使用します。
- 非表示URL、JS(JavaScript)チャレンジなどのハニートラップを挿入する。ボットは、人間とはまったく異なる方法で、リンクをたどり、JSチャレンジに応答する。
- rDNS(リバースDNS)ルックアップによって、ボットが主張されているソースから実行されていることを確認する。
- クライアントが一般的なアプリケーションフィンガープリント攻撃で使用されるURLにアクセスしようとしているかどうかをチェックする。
- 上記の方法で検出できない場合は、ML(機械学習)によって詳細な分析を行う。
詳細
上位の悪意のあるボットペルソナという観点から見ると、バラクーダの調査担当者が収集したデータからは、ヘッドレスChrome、yerbasoftware、MJ12Botなどの悪意のあるボットペルソナがMicrosoft Edgeなどの新しいブラウザより増加していることがわかります。
悪意のあるボットペルソナ – 2020年11月
ボットペルソナ/ユーザエージェント | 悪意のあるボットトラフィックの割合 |
非標準のユーザエージェント/攻撃者 | 72.00% |
ヘッドレスChrome | 5.00% |
Safari | 2.50% |
Microsoft Edge | 1.80% |
SEMrushBot | 1.50% |
非標準のユーザエージェント/攻撃者は下記のカテゴリに分類されます。
- 特定のブラウザを偽装しているが、非標準の文字列を使用しているボット
- 特定のソフトウェアを偽装しているが、非標準の文字列を使用しているボット
- 特定のブラウザを偽装しているが、通常とは異なるブラウズパターンなどのボットチェックによって検出されたボット
- 悪意のないボットを偽装しているが、rDNSルックアップによって検出されたボット
調査担当者がどのISP(インターネットシステムプロバイダ)またはASN(自律システム番号)が悪意のあるボットアクティビティのソースであるかを分析したところ、インドのモバイルプロバイダのサブネット範囲、および大手のパブリッククラウドプロバイダの一部が混在していました。つまり、ボットとその標的であるサイトにもよりますが、ボットのソースは国際的である可能性があるということです。
悪意のあるボットのISPソース – 2020年11月
ISP | ASN名 | 割合 |
Airtel | BHARTI Airtel Ltd. | 34.96% |
Microsoft Corporation | MICROSOFT-CORP-MSN-AS-BLOCK | 22.00% |
Tata Teleservices ISP | Tata Teleservices ISP AS | 9.80% |
Amazon.com | AMAZON-AES | 8.23% |
Google Cloud | 7.64% | |
Amazon.com | AMAZON-02 | 7.29% |
MEO | Servicos De Comunicacoes E Multimedia S.A. | 6.45% |
Limestone Networks | LIMESTONENETWORKS | 3.63% |
ボット攻撃を防止する方法
ホリデーショッピングシーズンが本格化する中、EC企業は、悪意のあるボットからアプリケーションを保護するために、下記の対策を取る必要があります。
- WAF(Webアプリケーションファイアウォール)またはWaaS(WAF-as-a-Service)ソリューションをインストールし、このようなアプリケーションセキュリティソリューションが適切に設定されていることを確認する。
- 高度で自動的な攻撃を効果的に検出できるように、上記のアプリケーションセキュリティソリューションがボット対策を実装していることを確認する。
- ATO(アカウント乗っ取り)を防止するために、クレデンシャルスタッフィング対策を有効にする。
原文はこちら:
Threat Spotlight: When bad bots attack
December 3, 2020 Brett Wolmarans
https://blog.barracuda.com/2020/12/03/threat-spotlight-when-bad-bots-attack/
