Bot対策でセキュリティ強化！防げる攻撃や対策手法を解説

昨今インターネットの普及と技術の進歩で利便性が大きく向上した反面、セキュリティ面では課題も増えてきました。その中でも注目する必要がある課題は、悪いBotによる攻撃です。^{Botはインターネット上の作業を自動化してくれるものの、悪用されると大きなセキュリティリスクも引き起こしかねないので、Bot対策が欠かせません}。

本記事では、Bot対策で防ぎたい攻撃や主な手法などを解説します。

Bot対策が必要なBotとは？

Botは、端末を操作しているユーザーとは別の操作者の指示を受け、情報収集や端末操作など特定の動作を自動で行うプログラムです。^{感染や活動に気づきにくいケースも多いものの、悪用されると情報漏えいや意図せぬ動作などトラブルの原因}になりかねません。ここでは、Botの基礎知識について3つ解説します。

Botの基礎知識

Botの感染経路
Bot感染の調べ方
良いBot・悪いBot

それでは、1つずつ解説します。

【関連記事】ボットトラフィックの攻撃に注意！社内で行える対策方法は？

Botの感染経路

Botの感染経路として、代表的なものを6つまとめました。Botの被害者になることだけでなく、意図せず加害者になることを防ぐためにも覚えておきましょう。

Botの感染経路

ウイルスメールの添付ファイルをクリック
ウイルスが組み込まれている不正なWebサイトにアクセス
スパムメールのURLをクリック
コンピュータの脆弱性を突かれ、ネットワークより不正アクセス
他ウイルス感染時にできたバックドアから感染
データのファイル交換ソフトを偽装して不正プログラムの実行

Bot感染の調べ方

Bot感染の調べ方は、以下3つに大別されます。

Bot感染の調べ方

コンピュータを最新の状態にアップデート
OSのアップデートを行い、不正な設定があれば修正の上サイトアップデート
ウイルス検査
ウイルス対策ソフトを最新状態にアップデートし、不正な設定があれば修正の上サイトアップデート
HOSTSファイルで調査
ウイルス対策ベンダーサイトやOSのHPにアクセスできない場合、HOSTSファイルで指定のURLがウイルス対策ベンダーサイトやOSのHPであれば、定義を削除

良いBot・悪いBot

ここでは、Botの種類について2つ解説します。

良いBot
悪いBot

それでは、1つずつ解説します。

良いBot

良いBotは人々の生活やビジネスに役立つよう開発されているため、Bot対策の対象外です。以下に主な例を表にまとめました。

Botの種類	概要
クローラーBot	インターネットリサーチを自動化してくれるBot
トレーダーBot	ECサイトで商品価格情報の表示、あるいは株や暗号資産の自動売買を行ってくれるBot
メディアBot	天気やニュースなどの情報を自動配信してくれるBot
著作権Bot	コンテンツが著作権違反していないか確認してくれるBot
スパイBot	スパイウェアの検出や削除を行ってくれるBot
チャットBot	問合せに対し自動返信してくれるBot

悪いBot

悪いBotは、Botの特性を悪用し、不正アクセスや個人情報の不正取得などに活用されます。このような「悪いBot」が、Bot対策の対象です。

Botの種類	概要
スパムBot	広告やメッセージからフォームに誘導し、そのフォームに個人情報の入力を促すBot
なりすましBot	ECサイトなどに、ユーザーになりすましでログインするBot
ゾンビBot・Botnets	他者の端末に入り込み、それを操作してさらに別の端末を攻撃するBot
サイト無断複製Bot	サイトに掲載されているコンテンツを無断でコピーして複製を行うBot
アドフラウドBot	クリック報酬型の広告に対し、不正なクリック水増しを行うBot

【関連記事】急増する「不正ログインBot」代表的な手口と、効果的な対策4選

Bot対策で防ぎたい攻撃6つ

ここでは、Bot対策で防ぎたい攻撃について6つ解説します。

Bot対策で防ぎたい攻撃6つ

IDパスワードリスト型攻撃
フィッシング
ギフトカードクラッキング
スクレイピング
Application DDOS Attack
買占め行為

それでは、1つずつ解説します。

1.IDパスワードリスト型攻撃

IDとパスワードの^{リストを不正取得し、それによってアクセスできた場合にアカウントを乗っ取る手法}です。

【関連記事】不正ログインの手口とは？その狙いと対策方法をご紹介

2.フィッシング

個人情報を盗み出す目的で作られた^{フィッシングサイトにユーザーをアクセスさせることで、そこに入力された個人情報を盗み出す手法}です。SMSを傍受することで、ワンタイムパスワードの不正取得が行われるケースもあります。

3.ギフトカードクラッキング

ギフトカード番号を試行錯誤的に試し、^{残高が残っているギフトカードから残高を狙う手法}がギフトカードクラッキングです。

4.スクレイピング

スクレイピングは、^{対象のWebサイトから必要な情報を抽出して取得する手法}です。Botを用いることで、速やかにスクレイピングを行えます。

5.Application DDOS Attack

^{一度に大量のデータを送りつけることで、システムへの負荷を増大させる攻撃}です。DDOSでは、DOSと違い送信元を不特定多数にすることで配信元をわかりにくくします。これもBotで実行可能です。

6.買占め行為

Botを使い、^{ECサイトなどで大量の商品購入リクエストを送る攻撃}です。まとまった時間にリクエストを一気に送ると、システムへの負荷を増大させられます。

Bot対策で防止できるトラブル

Bot対策を行うことで、以下のトラブルを防止できます。

Bot対策で防止できるトラブル

ユーザー情報の不正取得
クレジットカード詐欺
サーバーへの過剰負荷
分析データへのBotノイズ排除

ただ、広告プラットフォームなど他組織が直接管理しているチャネルであれば、自社ではBot対策は対象範囲外です。Bot対策以外にも、より広範な対策に取り組みましょう。

Bot対策の手法6つ

ここでは、Bot対策の手法について6つ解説します。

Bot対策の方法

パスワードの複雑化
多要素認証システム
CAPTCHA
HTTPヘッダ
JavaScript/Cookie
フィンガープリント

それでは、1つずつ解説します。

1.パスワードの複雑化

Botは、さまざまな文字列を組み合わせて試行錯誤的にパスワードを特定することが得意です。そのため、^{パスワードを複雑化すれば、パスワードが特定されるリスクを軽減できます}。
以下のポイントに注意し、パスワードが単純ですぐに特定されないようにしましょう。

パスワードを設定する際のポイント

最低6文字以上
大文字と小文字、数字、記号など、複数種類の文字情報を取り入れる
名前や誕生日など、連想しやすいパスワードは使わない

2.多要素認証システム

以下に示す認証の3要素を組み合わせると、セキュリティを高めやすいとされています。

情報名	概要	例
知識情報	ユーザーが知っている情報	ID、パスワード
所持情報	ユーザーの所有物に関する情報	SNS認証、ICカード
生体情報	ユーザーの身体的情報	指紋、虹彩

知識情報だけでなく、^{本人のみが保有する生体情報などを用いると、よりセキュリティを強固にできる}でしょう。

3.CAPTCHA

Botでは、歪みがある文字や画像の判別は困難です。この特性を利用してCAPTCHAでは、^{Botでは判別しづらいものの人間であれば判別できる可能性が高い画像や文字情報などを活用します}。
これらを用いた質問で、Botによる操作か人間による操作か判断する仕組みです。

4.HTTPヘッダ

Linuxの標準コマンドなどでHTTPSリクエストを行うと、User-Agentヘッダに使用したライブラリの文字列やバージョンが記載されます。ブラウザでアクセスしてもUser-Agentヘッダに情報が記載されるため、この情報から^{人による操作かBotによる操作か判断可能}です。

5.JavaScript/Cookie

単純なBotでは、JavaScriptを実行することやCookieを付与したリクエストを実行することは不可能です。このことを利用して、^{JavaScriptの実行やCookieを付与したリクエストが可能か判定することで、Botの有無を見分けます}。

6.フィンガープリント

フィンガープリントは、アクセスしたユーザーのデバイスやブラウザ情報などを通じて、ユーザーを特定する数値です。^{アクセスしたユーザーのパターンを識別し、人の操作かBotの操作か判別します}。

まとめ

Botは、端末を操作しているユーザーとは別の操作者の指示を受け、情報収集や端末操作など特定の動作を自動で行うプログラムです。スパムやアドフラウドなどに悪用されるケースもあり、その場合にはBot対策が必要です。

^{Bot対策を十分行うことで、フィッシングやスクレイピングなどのリスクを減らせます}。また、対策にはパスワードの複雑化やCAPTCHAなどもありますが、SpiderAFなどのBot対策ツールを活用することもおすすめです。

＼独自アルゴリズムでスパム削減！／

フェイクリード対策ツール
Spider AF 無料フェイクリード診断はこちら

Bot対策でセキュリティ強化！防げる攻撃や対策手法を解説