Imperva Bot ManagementImpervaボット管理 旧 Distil Networks)の研究者は主要なオンライン小売業者が提供しているEコマースのギフトカードシステムを標的にしたオンラインボットを追跡してきました。研究者が調査対象とした脅威アクターは、驚くべき高い機知と適応性を示しています。最近のポッドキャストでImperva Bot ManagementImpervaボット管理)のジョナサン·バトラーとCyberWireのデイブ·ビットナーがこの調査結果について考察しました。

ポッドキャストはこちらからお聴きいただけます。

下記にポッドキャストの会話の内容を質疑形式にまとめました。

デイブ·ビットナー(質問者):ジョナサン·バトラーさん、あなたの行なった「GiftGhostBotが主要なオンライン小売業者全体のEコマースギフトカードシステムを攻撃する」というタイトルの調査についての説明の機会をいただきありがとうございます。ギフトカードとはどのように機能するものですか?

ジョナサン·バトラー(回答者):一般的には、ギフトカードを受け取ると登録プロセスがあります。登録が完了すると、手持ちの現金と同様に、特定の小売店に行って商品やサービスを購入できます。クレジットカード同様、ギフトカードの裏には、このカードに実際に入金されている金額に紐付けられたカード識別番号が存在します。また、通常はギフトカードに入金されている金額を追加認証するためにPINがカードに関連付けられています。カードに入金されている金額を認証しようとすると、システムはこれらの数字を読めるようになり、追加PINに照らして認証します。これがカードに入金された金額にアクセスするための認証の仕組みです。

質問:ハッカーはどのようにEコマースサイトのギフトカードシステムに侵入するのですか?

回答:攻撃者は私をギフトカードを保持している標的と見なしますが、必ずしもカード上の金額に関連した数字を知っているわけではありません。よって、攻撃者はその数字を効果的に推測する必要に迫られるのです。ここでボットが使われます。攻撃者は小売サイト上の残高確認サービスを標的にしたボットスクリプトを書きます。それをやるだけの規模とサポートさえあれば、何百、何千、何百万という推測ができます。まずは何の根拠もない、意味のない総当たりの推測から始めます。しかし、十分に推測を重ねると、最終的にはそのような推測が正しいという可能性が急激に向上し出します。そうなると、カードとカードに入金された金額に完全にアクセスできるようになるのです。

質問:攻撃者はPINも推測するのですか?

回答:はい。カードについてもPINについても同じ列挙攻撃プロセスを行います。つまり、カード番号を手に入れ、その後、大規模に無作為なPINの推測を始めるのです。最終的には侵入に成功します。

質問:小売業者の側からは何が確認できますか?

回答:小売業者の側では、おそらく非常に多くの認証リクエストの受信を確認するようになります。小売業者がトラフィックのログを監視していれば、ギフトカード残高確認を運営する特定のアプリの呼び出しが急激に増えるのです。このような攻撃があると、一般的には今お話ししたことが起きているのです。攻撃を示すサインは、チャートやトラフィックログが特にこのような呼び出しに対して急増することです。小売業者にとっては、ボットライターの目から見て価値のある標的となることが分かっている重要なアプリ機能の視認性を高めることが非常に重要です。特定の認証リクエストや残高確認のトラフィックの急増を探す必要があるのです。

質問:ボットが自社を攻撃し始めると、ログの増加を見れば明確に分かるということですか?攻撃を把握できる可能性が高いということですか?

回答:そういうことです。ボットライターがやろうとしていることに比べると、通常はそういった種類のページには大量のトラフィックは見られません。比較的少ない量の安定したトラフィックを見込んでおり、ご存知の通り、普通はこのようなトラフィックのパターンは予測可能なわけですね。例えば、上がったり下がったりしてピークがある。つまりウェブサイトの繁忙期と閑散期です。ところが、ボットライターが侵入してサイトに対してスクリプトを実行すると、急激かつ変則的にトラフィックが上昇するという現象が見られます。

質問:特にGiftGhostBotについては、攻撃者はどのように攻撃を仕掛けてきますか?

回答:GiftGhostBotを使用した場合では、複数の小売業者を標的にした組織的な攻撃であったということが分かっています。その点だけから考えられるのは、そのような攻撃の背景には調査と組織的な取り組みがあったということです。さらに掘り下げると、とりわけImpervaに保護されていないようなベンダーは、アプリ上でカード残高を確認する機能を停止せざるを得ないことになっていたことが分かりました。カード残高の確認機能がそのようなベンダーにとって高くつくものになってしまったためです。

質問:小売業者はリクエスト数の増加によって事実上DDoS攻撃を受けたということですか?それとも、それだけ多数のギフトカードの侵害があったということですか?

回答:両方ともある程度当てはまります。ボットの世界においては、ボットに対してアプリを保護する際、攻撃者の反応の仕方はとても人間的です。攻撃者が成功し、被害者の側で防御を拡充すると、高い確率で攻撃者はボットネットを操作して、トラフィックをさらに増加させることになります。これが一連のGiftGhostBot攻撃において起きたことです。様々な資産全体について徐々に防御を増やしていくにつれて、実際には一連の攻撃を通して攻撃者も進化していくのです。

ごく初期の段階では、攻撃者も難しいことはしていませんでした。正体を隠すために様々な手段を取っていませんでした。しかし、少しずつ成功するにつれて、こちら側は防衛手段を講じる必要が出てきて、攻撃を防ぐためにますます高度で洗練されたシグネチャを求めるようになりました。その結果、攻撃が進化し、さらに多くのIPに拡散していくことになりました。最初はブラウザに対してなりすますところから始まりました。それがデスクトップのブラウザからモバイルにまで広がりました。

興味深いことに、プレイヤーが複数関与していることを示す実際のチャネルが大規模攻撃の中に見られました。つまり、攻撃の進化の過程で、まずシンプルな作業がそこここで行われていることが見受けられたのです。時間が経つにつれて、洗練度合が調整されいくつかの中核的な異なる行動へとグループ化されていきました。特に興味深かったのは、小売業者、特に衣料やファッション関連の小売業者をターゲットにした攻撃は調査に基づいた組織的な攻撃であっただけではなく、複数のプレイヤーが関与している可能性があるということでした。皆が自分独自の戦術を持ち寄っているのです。

質問:iPhoneAndroiodのユーザーエージェントに切り替えることの重要性を説明してください。どうしてこれに意味があるのですか?

回答:悪意のある組織的なボット攻撃の背後には必ずお金というインセンティブが働くということを肝に銘じることが最も重要かつ基本的なことだからです。時間、努力、調査すべてに対する投資が絡んだ実際の仕事になるのです。何が起きるかと言うと、最先端で知恵の回るアクターに対する防衛においては、全てのリクエストを止めることが必ずしも重要とは限らず、その攻撃を事業化して金もうけするという作為者の能力をどのように阻止するかということがより重要なのです。

防衛を導入すると、攻撃者はこちら側の検知戦術を解読するためにさらに時間、努力、調査に対する投資が必要となることが分かっています。しかしもっと重要なことは、それによって攻撃者は進化しデスクトップからモバイルに移行せざるをえないということです。モバイルのほうが掌握するのに高くつくため、攻撃者にとっては実際にはオペレーションのコスト増となります。

そして、最終的に起きることは、攻撃者が進化するにつれて、こちら側では実際には攻撃者のオペレーションコストを引き上げているのです。非常に高度で粘り強いアクターにとっては、こちら側からアクターの努力やオペレーションすべてが意味をなさないところまでこのボトムラインを引き上げると、アクターのやる気がそがれて離れていくことになります。

ボットの分野でよくみられる非常に興味深い現象です。攻撃の背後に金銭的なインセンティブが十分にあるかぎり、攻撃者はいなくなりません。なぜそれが起こりえるかということについては相関性があります。あなただけが特定のデータセットを持っていたり、あなたが非常に価値のあるデータセットをたまたま手にしている価値の高い標的であったりする場合、その種類に応じて、攻撃者の側の粘り強さや洗練の度合が相関し始めるのです。このケースでは、GiftGhostBotについては、後から再販したり、世界中で実際の物品やサービスを手に入れたりする本物の手段として金融取引に活用できる本物のお金を認証できるという直接の経路だったことが相関していました。

質問:ボットを阻止しつつ、通常の正当なユーザーが使えるようにするにはどうすればいいですか?

回答:Impervaのボット検知システムは次のように構築されています。顧客がアプリに対して何かをリクエストすると、その顧客に対して様々で何段階にもわたる質問をして、その相手が人間かどうかについて最終的な判断をします。質問の手順の中には、非常にシンプルなものもあります。例えば、「あなたのユーザーエージェントは正当なものですか?」 「有効なソースから来ていますか、ホスティングセンターから来ていますか?」 「やるべきではないことをしようとしていませんか?」といったものです。こういうことに始まりさらに高度な質問もあります。例えば、「JavaScriptエンジンを実行していますか?」といったものです。この分野はさらに進化し進展していて、行動そのものが疑わしいかどうかについて機械学習を通してさらにアルゴリズムに基づいた確率的な意思決定を行なっています。

このような意思決定はリアルタイムで起きるもので、全てのリクエストでシームレスに行われます。よって、当社のお客様が自社のアプリやエンドポイントを効果的に守るために当社のプラットフォームや技術を活用する際、当社ではだいたいこのような質問を実行し、リアルタイムでプログラムに基づいた意思決定をしています。このような意思決定は、究極的にはボットトラフィックを締め出しつつ、悪意を持たずにサイトに来た人を受け入れる方法を知り尽くしているのです。悪意のないユーザーが影響を受けないようにすることで、ビジネスを助け収益を上げるお手伝いをしています。

質問:小売業者が自社を最大限守るために何をお勧めしますか?

回答:まずは大事なことから始めましょう。ウェブアプリの全ての機能を改めて見直し、ビジネス部門がそれぞれの組織のセキュリティチームと一心同体で緊密に連携するようにすることです。今日においてさえも、セキュリティをビジネス成長の二の次として捉えている組織が多くあると思います。セキュリティは常に後回しにされ、この分野を早期に導入する企業や先駆者が少ないのです。サイバー攻撃がもたらす真の損害の深刻さについて理解する組織が増えてきています。

改めて、自社のウェブアプリやモバイルアプリにおけるセキュリティ慣行に対して成熟した体制で臨み、新しい機能を公開する際にはサイバーセキュリティの観点からもよく考えて理解していることを確かめる必要があります。GiftGhostBotの攻撃を可能にした機能を支えた人たちは、「チームの大勝利!」とでも考えたでしょうね。ギフトカードの残高を確かめるために、サポートデスクに電話して聞く必要はなくなりました。ただウェブサイトにアクセスして、自分の残高を認証するためにアプリケーションとスムーズにやり取りできるのです。

しかし、そうする時、つまり、そのような機能をウェブサイトに導入する際には、誰かがギフトカードのデータベースと直接やり取りできるようにしているということであり、それは事実上、工夫を凝らせば残高を推測できるスクリプトを作ってお金を引き出し、顧客のお金を不正に盗むことができるということなのです。セキュリティに対して成熟した体制で臨み、ビジネス担当チームがセキュリティ担当チームと足並みを揃えるようにすることからまずは始める必要があると思います。

より戦略的には、セキュリティ担当チームが継続的にウェブのアプリをスキャンし、手元にあるログの変則的な動きを探し、ツールによってそのような種類の攻撃に対する知見を得られるように図るべきでしょう。言うまでもなく、セキュリティの分野が進化し新しい問題が出てくるにつれて、それについて教育しベンダーと話し合うことです。状況を把握してきちんと対応するのはいつも健全なことだと言えます。

質問:予想される通常のリクエストの範囲内にレート制限をかけることでメリットはありますか?大量のリクエストが通らないようにすることはできますか?

回答:それは興味深いポイントで、問題がますます複雑になるポイントだと思います。実際の業務をしたことがなく勉強ばかりしているような人は、「おい、トラフィックが急増している、なぜレート制限をかけたり、顧客あたりやユーザーあたりのリクエスト数に制限をかけたりできないのだ?」というふうに見るでしょう。現実には、ウェブアプリケーションファイアウォール、つまりWAFでは、つまるところ、どうやってシステムによって個別ユーザーを検知するかということに行きつきます。攻撃者が簡単に他人になりすまして正体を隠すことができれば、このような種類の攻撃に対するレート制限の考え方は非常に難しくなります。そしてまさにこの点にボット検知システムが生かされます。さらにきめ細やかな認証をすることで、「あなたは自分の動きを隠すためにこのようなことをしているのは分かっていますが、ただし、あなた誰なのかも分かっています」と言えるのです。そしてレート制限の有効性が高まるのです。

レート制限を入れておくのは、特にこのような種類のアプリ機能周りでは良いことです。ただし、高度なボット攻撃というのは、アプリに対する調査や偵察に労力をかけた人たちによるもので、多かれ少なかれ、レート制限措置を出し抜いたり迂回したりする方法も知っているのです。これは常に進化している分野です。今後5年でボットの分野は引き続き進化していると思いますし、関わっていくには興味深い分野となるでしょう。この分野については、巨大な収益を上げている企業の多くが自社のオンラインプレゼンスやウェブアプリに対して投資していますし、その懸念も正当化されるものです。多くの企業が自社のセキュリティ慣行や手順、ツールについて、日々進化する分野に遅れを取らないように努力しているのです。

特にボット分野の防衛は相対的な場合があるという点で、セキュリティの世界は非常に面白いものです。近隣の競合他社から少しでも優れた防衛を構築すれば、あなたの会社を狙うことは非常に難しくなります。ボットは、ボットが目標を達成できるような抵抗力の最も弱いパスに向かうという動きを実際に目の当たりにしています。中程度の努力や防衛といったものでも、自分の会社がボットライターの攻撃の対象となる可能性を減らすことにつながります。

Imperva Bot ManagementImpervaボット管理)がどのように不正なボットの脅威の軽減をお手伝いできるか、こちらからご確認ください。