近年、サイバー攻撃の巧妙化が進んでおり、悪質なbotによる被害が増えています。
年々攻撃力が増しており、「セキュリティ対策は万全にやっている」という企業でも対策を講じておく必要があります。
bot攻撃の被害はパスワードの不正取得を行うための「パスワードリスト攻撃」やWebアプリケーションやサービスへ不正アクセスを行い、個人情報の不正入手、漏洩等が挙げられます。
参考:パスワードリスト攻撃とは?被害事例や攻撃の手口、すぐにできる対策を紹介
悪質botによる攻撃で情報漏洩等が起これば、企業の信頼をなくし、大切な顧客を失う可能性があります。
本記事では、悪質なbotの特徴やbot対策の方法について詳しく解説します。
この記事を読むことでどのようなbot対策をすればいいか理解でき、事前に対策をすることでbotの被害を防ぐことができます。
特にWeb関連のサービスを取り扱っている業界の方にオススメの記事になります。
監修者
松本 悦宜(まつもと よしのり)
Capy株式会社ホワイトハッカー
例年ラスベガスで行われている世界最大のハッカーのイベントBlack Hatに登壇している。
IPA(情報処理推進機構)が運営する産業サイバーセキュリティセンターにて非常勤講師として中核人材向けのITセキュリティを教えている。
目次
botとは人間の代わりに作業を行うコンピュータープログラム
botとは、決められたタスクや処理を自動化するためのアプリやプログラムのことを指します。
セキュリティ業界で言うbotは「不正なプログラム」を指します。
不正アクセスにより自社のパソコンに悪質なbotが組み込まれるとパソコンを乗っ取り、個人情報の入手やサイバー攻撃の踏み台にされる可能性があり、対策を講じなければなりません。
botは2種類に分けられる
botは、「作業の自動化」を役立てているか悪用しているかで良いbotと悪いbotに分けられます。
良いbot・悪いbotの違いや特徴を知っておくことで、悪質なbotによる被害が出る前に区別し、botを排除できるようになります。
| 良いbot | 悪いbot |
|---|---|
| ・スパイダーボット ・トレーダーボット ・メディアボット ・著作権ボット ・スパイボット ・チャットボット | ・スパムボット ・なりすましボット ・ゾンビボット・Botnets ・サイト無断複製ボット ・アドフラウドボット |
以下では、良いbotと悪いbotの種類を解説します。
良いbot
良いbotは、人の役に立つことを目的として開発されており、手作業で行う業務を自動化してくれる利便性の高いものです。
良いbotは不正を行うようにプログラムされていないため、特に対策を行う必要はありません。
以下は良いbotのサービス例です。
| 種類 | 特徴 |
|---|---|
| スパイダーボット | インターネットからほしい情報を自動で収集するbot。インターネットリサーチを自動化できる。代表的なbotにGooglebotやBingbotがある。サーチエンジンの検索ランキングを決定するbotがある。 |
| トレーダーボット | オンラインサイトの商品の販売情報や価格などの情報を表示したり、株や暗号資産を自動で売買できる。トレードを自動化できる。 |
| メディアボット | 天気情報やニュース、オンラインチャット等のリアルタイム性が必要な情報を表示できるbot。リアルタイムで伝えたい情報を遅延なく伝えることができる。 |
| 著作権ボット | 著作権法に違反しているコンテンツを自動で検索・判断してくれるbot。著作権侵害からユーザーを守ることができる。 |
| スパイボット | スパイウェア(個人情報漏洩や乗っ取りを行うプログラム)を検出・削除できるbot。PCをウイルスから守ることができる。 |
| チャットボット | 人工知能を組み込み顧客からの問い合わせに対して適切な答えをチャットで送信するbot。ユーザーからの問い合わせに自動で対応できる。 |
参考:【2022年最新】チャットボットツール40選!価格や機能を徹底比較
悪いbot
悪いbotは自動化できる特徴を悪用し、不正アクセスや個人情報の抜き取りに使われています。
悪いbotの一部を紹介します。
| 種類 | 特徴 |
|---|---|
| スパムボット | インターネット上のあらゆる場所にスパムメッセージ、スパム広告、スパムコメントを貼り付け、フォームに誘導し個人情報の入力を促すbot。個人情報の抜き取りを目的としている。 |
| なりすましボット | ユーザーになりすましてログインを行うbot。ネットショップへの不正ログインを行い、不正購入やクレジットカード情報の漏洩を目的としている。 |
| ゾンビボット・Botnets | PCに入り込み、bot管理者の操作によって他のPCを攻撃できるbot。攻撃者の特定を防ぐための身代わりを目的としている。 |
| サイト無断複製ボット | サイトのコンテンツをコピーし、インターネット上に無断で複製を行うbot。検索エンジンの順位を低下させたり、検索結果から除外するのが目的。 |
| アドフラウドボット | クリック報酬型の広告への不正クリックを行うbot。クリック数を水増しして不正に報酬を得るのが目的 |
悪質なbotには、スパムボットのような個人情報を不正に入手する目的のものもあれば、ユーザーになりすまして商品の不正購入やクレジットカード情報の漏洩を目的しているものなどさまざまです。
botに感染してしまうと個人情報を抜き取られるだけでなく、乗っ取ったパソコンをサイバー攻撃に使われ、自身が加害者となる可能性があります。
トラブルに巻き込まれないためにも、悪いbotへの対策はしっかりと行っておくべきです。
botによる被害を受ける原因
botの被害を受ける原因は、主に「IDやパスワードの流出」にあります。
企業のログイン画面にアクセスし、割り出されたIDとパスワードでログインできるかをbotが機械的に検証を行うことで、「なりすまし」による不正アクセスをすることができます。
botを使った不正アクセスの手口として、主に4つの攻撃手段があります。
| botの攻撃手段 | 特徴 |
|---|---|
| パスワードリスト攻撃 | 攻撃者が何らかの方法によりID・パスワードを入手し、その情報を使って別のサイトなどで不正ログインを試みる。 |
| ブルートフォースアタック(総当たり攻撃) | 特定のIDに対してさまざまな文字列を組み合わせたパスワードを使い、総当たり的にログインを試みる。 |
| リバースブルートフォースアタック | 特定のパスワードに対してユーザーIDに使用され得る文字列の組み合わせを使って、総当たり的にログインを試みる。 |
| パスワードスプレー攻撃(low-and-slow攻撃) | よく使われるパスワードやランダムな文字列を生成し、検知回避のために複数のIDに同じパスワードを試す。 |
このように、簡易的なID・パスワードの設定や複数のサイトの使いまわしによって、botの被害を受けやすくなります。
参考:パスワードリスト攻撃とは?被害事例や攻撃の手口、すぐにできる対策を紹介
botの脅威を防ぐための方法3つ
悪質なbotに攻撃されると「個人情報の漏洩」や「知らないうちにサイバー攻撃に加担させられる」などの脅威があるため、対策が必要です。
bot対策として有効的な方法は以下の3つになります。
- パスワードのルールを複雑にする
- CAPTCHAを導入する
- 多要素認証システムを導入する
パスワードのルールを複雑にする
パスワードの文字列を複雑に設定することで、botの突破率を軽減させることができます。
botはあらゆる文字列を組み合わせてパスワードを割り出してアクセスするため、簡易的な文字列では突破される可能性が高いです。
そのため、以下のようなルールを参考にしてパスワードを再設定するように社内喚起しましょう。
- 最低6文字を指定する。
- 大文字と小文字のローマ字、数字、記号の入力を必須にする。
- 名前や誕生日などの入力はNG。
しかし、パスワードを複雑化しても何らかの原因で外部に流出してしまえば、結果的に不正アクセスされてしまいます。
パスワードを複雑化にすることは最低限行うようにし、さらにセキュリティ力を高めるためには次に紹介するシステムの導入を検討しましょう。
参考:【2021年最新版】シングルサインオン(SSO)おすすめ38選!料金プラン・機能・サポート体制などを厳選比較
CAPTCHAを導入する
botか人間か判断する「CAPTCHA」というシステムを導入することで、よりbotの突破率を軽減させるという方法もあります。
CAPTCHAとは、ログインやお問い合わせフォームを送信する前に、ひらがなや英数字のような文字列を表示し、ユーザーに入力させます。
botがOCR(文字起こし)によって識別できないように、表示する文字を歪曲させるなどしてあえて読みづらくさせます。
参考:【22年最新】AIの文字起こしツール10選を比較!選び方・料金・機能を徹底解説
しかしbot側の技術の進化によって、CAPTCHAを突破して不正ログインされたというケースも少なくありません。
そのため、「私はロボットではありません」というチェックボックスでbotかどうか判断できるGoogleの「reCAPTCHA」や、パズルで認証をさせる「Capy パズル CAPTCHA」というシステムのほうが、よりbotによる不正アクセスを防止することができます。
引用:多要素認証システムを導入する
認証の3要素である「知識情報」「所持情報」「生体情報」のうち、2つ以上を組み合わせて認証させる多要素認証システムであれば、よりセキュリティ力を高めることができます。
3要素のそれぞれの内容は以下の通りです。
- 知識情報(その人が知っている情報)…IDやパスワードなど
- 所持情報(その人が持っているものに付随する情報)…SNS認証やICカード、ハードウェアトークンなど
- 生体情報(その人の身体的な情報)…顔認証や指紋、虹彩など
IDやパスワードだけではbotに突破される可能性がありますが、本人のみが持っている情報や生体的特徴を認証材料に入れることで、botでのログインを回避させることができます。
参考:不正アクセスを防ぐ「ワンタイムパスワード」とは?利用シーンやSMSを使った発行方法まで解説
まとめ
この記事では、botの基礎情報からbot攻撃の予防方法や対処法について解説しました。
botには「作業の自動化」を悪用した悪いbotと著作権法に違反していないかを自動で調べられる「著作権bot」などの人の役に立つbotの2種類があります。
パソコンやスマホに悪いbotが侵入してしまうと、「犯罪者に管理権を渡してしまう」ことになり、サイバー攻撃の踏み台にされたりと犯罪者の行為に加担させられる可能性があります。
botによる攻撃を防ぐ方法は以下の3つになります。
- パスワードのルールを複雑にする
- CAPTCHAを導入する
- 多要素認証システムを導入する
パスワードのルールを複雑にすることは簡単ですが、何らかの原因で外部に流出する可能性も考慮すると、これだけの対策では安心できません。
そのため、CAPTCHAや多要素認証などのシステムを導入し、より強いセキュリティ対策をおこなうことがおすすめです。