トレンド情報

IoT機器へ侵入?IoT機器保護のためのへボット対策の取り組み!

近年、ボットやボットネットによるDDoS攻撃によって、サービスの提供が阻害されたり、一時的にサービス提供を停止に追いやられたりする行為が増加しています。また、チケットなどの販売サイトで転売目的の業者がボットを利用して、チケットを購入することで、本来必要とする人が入手困難に陥るという事態にも発展しています。そこで様々なボット対策が登場していますが、ボットによる影響は未だ衰えることを知りません。今回は、そのようなボット対策について取り上げます。
※本記事は、2019年1月24日に公開された記事を一部再編集しております。

サービス提供側でボット対策が必要とされる理由

ボットとは事前に決められた処理を実行するプログラムという意味を持ち、本来不正なプログラムという意味はありません。しかし、パソコンなどに感染するマルウェアにこのボット機能が盛り込まれることが多いため、世の中に出回っている多くのボットが不正プログラムと言える状況です。

検索サイトのGoogleが検索対象のWebサイトを見つけるために利用しているGooglebotのように、ボットの利用というのはインターネット上ではありふれた存在と言えます。

ありふれた存在であるにも関わらず、ボットや多数のボットで形成されたボットネットという分散システムがなくならないのは、それだけ無防備な機器がインターネット上に無数存在するということを意味します。

また、攻撃者が自らの身元を隠す目的で、そういった機器を探し出し、悪用しているため、守る側の対応が追い付いていないという背景も影響しています。

ボットに感染すると被害者でありつつ、加害者として攻撃に加担することになります。しかし、被害者の多くは機器を管理していないので感染被害に気付かないことが多いのが現状です。そして、そのようなボットで形成されたボットネットによって攻撃を受け、サービス運営に影響が出ると事業継続の観点で問題となります。

機器をボットに感染しないようにするためには、機器を適切に管理し、パソコンであればセキュリティパッチを定期的に適用する、IoT機器などであればファームウェアが更新されたら速やかに適用し、ファームウェアの提供がなくなったら、機器そのものの更新を検討する必要があります。

しかし、これは理想であって現実的なことではありません。そのため、ボットによるアクセスが来る前提で、サービス提供側は影響を緩和する対策を行う必要性が生じています。

ボット対策としてのreCAPTCHAも完全ではない

インターネットに多少詳しい人であれば、直ぐ売り切れるようなグッズやチケットの入手率を高めようと、購入手続きの自動化を行うためにボットを作成したり、作成しようと考えたりした人も多いかと思います。

そして、そのようなボットの利用によってサイトへのアクセス数が一時的に急増し、サイトが閲覧できなくなるという悪循環によってボットへの対策が検討され始めました。

そこでサイトにアクセスしているのが人間かボットかを判断するために対策として登場したのが、『CAPTCHA』です。これは英数字の表記を歪ませたり、一部欠損させたりした画像を表示することで機械による判定を難しくし、その文字列を入力させることで人間かどうかの識別を行う手法です。

しかし、AIなどの技術によって機械による判定精度が向上するにつれて、表示の難読化とのイタチごっこの末、人間による読み取りも難しくなって来たことから、人間よりもボットの方が正答する確率が上回る状況となったところで、代替策が複数登場しています。同時にボットをサイバー攻撃に利用する傾向も強くなり、ボット対策の重要性は高まっていきました。

その代替策の一つであり、現在世界中で多く利用されているのが、Googleの作成したreCAPTCHAです。(本メディアもreCAPTCHAのお世話になっています)

reCAPTCHAの名前は知らなくても「私はロボットではありません」というチェックボックスといえば、多くの人が分かるかと思います。このreCAPTCHAの登場によって、ボットによるアクセスを効率的に防ぐことができるようになりましたが、ボット扱いを受けてサービスを利用できない利用者の問題は継続していました。

そうした問題を抱えるreCAPTCHAに対抗するためメリーランド大学カレッジパーク校のとある研究者が2019年1月1日に公開したのが「unCaptcha v2」です。

「unCaptcha v2」はGoogleが公開している音声認識エンジンを用いることで、約90%の確率でreCAPTCHAを突破できることを明らかにしました。

Google側でも更なる対策が行われるかと思いますが、この技術が攻撃者の利用するボットへ転用されるのもそう遠くないでしょう。このようにAI技術の進化と発展によって、サービス提供側であるWebサイト単体でリスク対策を行うのは費用対効果として割に合わない状況が加速しています。

CDNはアクセス負荷対策だけではない

一時的にWebサイトへのアクセスが高負荷に陥りやすいサービスにおいては、CDN(コンテンツデリバリーネットワーク)を利用して、コンテンツ配信の最適化を行っていることが多いです。しかし、最近では付加サービスとして、ボットによるアクセスの特徴を学習して遮断するようなボット対策を提供する事業者も増えてきています。

昨年、あるチケット販売サイトで約9割がボットによるアクセスだった、というニュースを見た方もいるかと思いますが、Webサイト単体での対策だけではなく、クラウドサービスを活用してより効率的にボット対策を行うことが有用であることが示された事例と言えます。

今後も、AI技術の発展によって攻撃側と防御側でボット対策のイタチごっこは継続することが容易に想像できます。そのため、導入済みボット対策の有効性を定期的に確認し、必要に応じて対策を見直すことが、より強く求められるようになるでしょう。

この記事を書いた人

デジタルリスクラボ編集部
デジタルリスクラボ編集部の研究員が更新。
今の時代に沿った新しいリスクの解決メディア。