Akamai Diversity

Akamai Japan ブログ

ボットの不正ログインを検知・遮断 - Bot Manager Premier

はじめに

2017年10月11日にアカマイはBot Manager Premier という製品を発表しました。

この製品には、既存の製品であるBot Manager StandardによるWebサイト全体に対する多種多様なボット管理ソリューションに加え、ログインページへのボットによる不正アクセス検知・遮断に特化したソリューションが追加されております。

このブログではログインページ、ひいてはパスワード管理が抱えるセキュリティ課題と、どのようにBot Manager Premierが人かボットかを識別し、お客様のWebサイトをよりセキュアにすることを実現するのかを解説したいと思います。

不正ログインの脅威

パスワード管理の重要性については数年来に渡ってセキュリティ企業や行政より警鐘が鳴らされております。その結果、サービス利用者に対する「パスワードは複雑なものを!使いまわすこと無く!」と言ったメッセージを目にする機会も少なくはありません。パスワードの強度に一定の制限を設けることは可能です。一方、パスワードの使い回しに関しては、サービス提供者がサービス利用者にそれを強制することは事実上不可能となっております。驚くべきことに、ある調査では複数のサイトで同一のパスワードを使い回している利用者は8割にも上ると言われております。

またID・パスワードを含む認証情報はダークウェブでは容易に購入可能となっており、日本人の個人情報2億件がわずか1万7千円程度で中国にて取引されていたというニュースも記憶に新しいところかと思われます。

こうした大量の認証情報を基にボットを利用して不正ログインを試みるCredential Abuse(別名 Credential Stuffing)が、いま流行の兆しを見せています。事実としてアカマイのプラットフォーム上でも悪意のあるログイン試行は散見されております。インターネットの現状/セキュリティ2017年第四半期レポートで紹介されている通り、2017年11月における83億件の総ログイン試行のうち、悪意あるログイン試行とみなされたのは36億件となっており、その割合は実に43%にも上ります。

急激に発達を遂げたインターネット空間には、40億人近く存在する利用者と10億を超えるWebサイトが公開されております。すべてのサービス利用者・提供者のセキュリティ意識が定着するには時間を要すのは必然とも考えられます。

不正ログインによる機密情報の悪用、ギフトカード・ポイントの不正入手、クレジットカードの残高情報やロイヤルティプログラムへの不正アクセス、Webでの詐欺行為、旅行の予約や一般消費者向けの限定商品などの買い占めなどに対するプロアクティブな防御を実現するソリューションがBot Manager Premierです。

振る舞いベースのボット検知技術

以降、Bot Manager Premierが如何にして人かボットかを判別するのかをご紹介したいと思います。

まず、以下に示すのはデスクトップにおけるBot Manager Premierのデモ画面となります。

Desktop2.gif

マウスの挙動をトラッキングしていることを左下の部分で表現しており、タイムスタンプ及びカーソルの軌跡が表示されております。また右下ではキーボード操作のトラッキングを表現しております。タイムスタンプ及び、どのタイミングでキーがクリックされたのかが表示されております。(個人情報にあたる為、どのキーがクリックされたのかという情報は取得されません。) これらの情報収集はユーザーからはシームレスに処理されるため、多要素認証やCAPTCHAのようにユーザーの使い勝手を低下させてしまうことはありません。

Bot Manager Premierではこれらのデータの推移が規則的かどうかといった観点でボットか否かを判定しております。下記はあくまでイメージ図となりますが、規則的なマウスの軌跡や、キーボードのタイピング間隔によりボットを識別する例を挙げております。

Untitled2.png

続いて以下にはモバイルにおけるBot Manager Premierのデモ画面を表示しております。アプリに組み込んだSDKにより、加速度センサ、GPS、タッチの軌跡、キー入力等の情報を収集することでネイティブアプリにも対応しております。

Mobile4.gif

さいごに

Bot Manager Premierのマシンラーニングによる高精度ふるまい分析によって、ストレスフリーのログイン体験を維持しつつ、ボットによる不正アクセスのリスクを最小化いただくことが可能となります。皆様のサイト・ビジネスにおけるセキュリティレベルの向上にお役に立てますと幸いです。

Leave a comment