making the internet fast, reliable and secure -...

進化するボットネットの脅威と隠れたビジネスインパクト

アカマイ・テクノロジーズ合同会社

プロダクト・マーケティング・マネージャ中西一博

©2017 AKAMAI | FASTER FORWARDTM

隠れたビジネスインパクト


ビジネスを支えるWebプラットフォーム

セキュリティ運用の課題

企業のホームページ

ブランド・製品紹介Webキャンペーン

保守/ユーザサポート緊急連絡

Web = HTTP/HTTPS

Web プラットフォーム

Webサービス

Webショップ、予約銀行/証券/クレジット

B2B受発注IoT情報の収集

スマホアプリ

ショッピング,店検索ナビゲーション,SNSニュース、クーポンゲーム,音楽, 動画


IPA 情報セキュリティ10大脅威 2017 （組織編）

順位組織のセキュリティ脅威昨年順位

1位標的型攻撃による情報流出 1位

2位ランサムウェアによる被害 7位

3位ウェブサービスからの個人情報の窃取 3位

4位サービス妨害攻撃によるサービスの停止 4位

5位内部不正による情報漏えいとそれに伴う業務停止 2位

6位ウェブサイトの改ざん 5位

7位ウェブサービスへの不正ログイン 9位

8位 IoT機器の脆弱性の顕在化ランク外

9位攻撃のビジネス化（アンダーグラウンドサービス）ランク外

10位インターネットバンキングやクレジットカード情報の不正利用 8位

Source 情報処理推進機構 (IPA) https://www.ipa.go.jp/security/vuln/10threats2017.html

10大脅威中7件がウェブセキュリティに関連する脅威


Web脆弱性攻撃, DDoSとは何か？

Webサーバファイアウォール

攻撃が通り抜けるので普通の「ファイアウォール」

ではこれらの攻撃を防止できない

通常のWebアクセスを装って、ウェブサイト上のプログラムの脆弱性を攻撃

Web脆弱性攻撃

多数の攻撃元から大量の通信を送りつけ、通常の利用者のWeb

アクセスをできなくする攻撃

DDoS

DDoS（分散型サービス妨害攻撃）


国内の主なDDoS被害（2017年公開、報道情報のみ）

2017/1/16 アパホテルのサイトがDDoSにより接続障害（適切な対策で復旧）2017/1/31 ホビー情報配信サイトnijipi.comで、DOS攻撃による接続障害が発生2017/3/5 DMM GAMESのオンラインゲームでDDoSによるゲームプレイ障害が発生2017/3/23 ヒロセ通商の運用するLION FXでDDoSによるアクセス障害が発生2017/4/28 警視庁のウェブサーバに大量のアクセスが集中し一時覧不可に2017/5/19 東京メトロのホームページがサイバー攻撃で一時閲覧できない状態に2017/6/21 スクエアエニックスの、北米DCへのDDoSでFF14ゲームプレイ障害が発生

今年も動き始めたハクティビスト集団 Anonymous （2017年）

#OpWhales（イルカ・クジラ漁に抗議）: 日本の食肉関連企業、物流関連企業をターゲットリストとして公開

#OpIcarus（世界の銀行の腐敗に抗議）：日本銀行を含む世界の政府系銀行、中央銀行が主な対象に


相次ぐ国内ウェブサイトからの情報漏えい

• JETROサイトから相談者のメアド2.6万件流出• 沖縄電力でサイト改ざんメアド6500件流出の可能性• ヤマサちくわ通販サイトよりクレカ情報流出• JINSのサイトで個人情報約75万件不正閲覧の可能性• ニッポン放送に顧客情報5.7万件が漏洩のおそれ• 大阪硝子工業会サイト改ざん閲覧でマルウェア感染の恐れ• 総務省政府統計システムから個人情報 2.3万件などが流出• 東商マートがカード情報含む5万件弱の顧客情報を流出• ぴあ受託のチケットサイトから個人情報14万件などが流出

GMOペイメントゲートウェイは受託運営する東京都都税支払いサイトからクレジットカードの番号や有効期限が6万件以上、メールアドレス61万件以上、住宅金融支援機構のサイトからクレジットカード番号など合計約4万件以上が流出した可能性あり

Source: https://corp.gmo-pg.com/newsroom/pdf/170310_gmo_pg_ir_kaiji.pdf

2017年2～4月のWeb脆弱性攻撃による情報漏えい(公開情報のみ)

Source : ITmedia, 日経新聞

2018年 3月までにEC事業者のウェブセキュリティ強化を求めるカード情報非保持またはPCI-DSS準拠

経産省

経産省「クレジットカード取引におけるセキュリティ対策の強化に向けて」実行計画


標的はGoogleで簡単にリストアップできる (Google Dorking)

例えば、WordPressがインストールされてるサイトなら

“index of” inurl:wp-content/ jp

で検索すると…

23万件の『普段見ないWordPressを利用しているサイトの一覧』がリストアップされる (2017年5月時点）

• 『攻撃はウチには来ないだろう』はもはや通用しない• どこから得た個人情報でも裏社会で売買ができる

Source: https://hackertarget.com/google-dorking-wordpress/


「ウェブの改ざんだけ」で済まない～ウェブがマルウェア感染の踏み台に

脆弱性のあるWebサーバ

ページ改ざん

誘導による二次被害の可能性

攻撃者

一般ユーザ、社員

マルウェアダウンロード

細工したHTTPによる攻撃

• 現在のWeb改ざんは、書き換えらた箇所が一目ではわからない• 『見えない誘導』リンクを裏で仕込まれて、攻撃の踏み台にされる

標的型マルウェアの『見るだけダウンロード』

社員の名前で取引先に標的型メールを送信


DDoS、Web脆弱性攻撃がもたらす経営リスク

一次被害二次被害

逸失売上

サービス停止による売上喪失

対応コスト

影響調査、復旧、代替処理対外対応などの費用

攻撃発生

対応コスト

再発防止のための恒久措置を施す費用

取引先への補償

取引先に損失を与えた場合の保証費用

レピュテーション（評価）

企業ブランドの毀損株価等への影響


実際のインパクトの例：ファッション通販サイト

• ファッション系通販サイトから１万５千以上の個人情報が流出• 年初来最安値を更新前日終値1,128円が、一時952円(-15%)

• 時価総額約80億弱、15%のインパクト=12億円が失われた

Source: http://biz.searchina.net/id/1612688?page=1


ボットの進化と増大するサイバー脅威


Avoid data theft and downtime by extending the

security perimeter outside the data-center and

protect from increasing frequency, scale and

sophistication of web attacks.

アカマイのプラットフォーム

世界最大＆唯一の超分散型コンテンツデリバリーネットワーク比類なき信頼性、安全性と可視性を実現し、世界の隅々まで配信

230,000+サーバー

130国

1300+都市

34 Tbps 以上のトラフィックの配信

620 Gbps 以上の規模の攻撃からの防衛

世界中の Web トラフィックの15-30%を配信

8千万件/時間のWAFログ,20TB/日の攻撃デー

タ分析からインテリジェンスを提供


大規模DDoS攻撃のリスクは常態化

33 33

62

0

10

20

30

40

50

60

70

2014 2015 2016

9911317

2002

2936

4316

1059410369

0

2000

4000

6000

8000

10000

12000

2010 2011 2012 2013 2014 2015 2016

依然として高い水準を維持

総攻撃緩和件数

大規模攻撃がよりお手軽に

100Gbps以上の攻撃緩和数

倍増


Mirai によるIoTデバイスのボットネット化

• 2016年9月中旬米国のセキュリティジャーナリスト

のサイト「Krebs on Security」に623Gbpsの攻撃

（アカマイが緩和したDDoS容量の記録を更新）

• 2016年9月下旬 Linuxを利用したIoTデバイスを

ターゲットにしたMiraiのソースコードが公開、２次利

用、亜種の拡散が一般化する

• 2016年10月21日米Dyn社のManaged DNSへの

大規模DDoSが発生した影響で「Twitter」「Spotify」

「Netflix」などのサービスが停止

Krebs on Securityへの623Gbpsの攻撃ソース国

Source: Akamai SOTI Security Report


Mirai による DNS 水責め(Water Torture)攻撃のしくみ

Mirai はランダムなサブドメインを与えたDNS 攻撃クエリーをボットからローカルDNS

サーバに送信する。サブドメインを見つけられないDNSサーバは、そのクエリーをターゲットとなるDNSサーバに送信することで、権威DNSの処理負荷をあげる

• Webだけではなく企業の権威DNS（ドメインマスター）への攻撃にも対策が必要• DNSが落ちるとWebもメールもとまるので、攻撃者はDNSもWebと同時に狙う


ボットネットからの300Gbps超のDDoS, 2014 –2016

５つのボットネットが300Gbps超の攻撃を生成

うち３件が2016 Q3に起きた.

大規模DDoSは IoTベースのMiraiからだけではないLinuxやWindowsベースのボットネットも健在

Source: Akamai SOTI Q4 2016 Security Report


『超分散』で超大規模 DDoS、Webアプリ攻撃、迷惑ボット対策

お客様のデータセンター

お客様のWebサーバー(パブリッククラウドにも対応）

30Tbpsを配信可能な世界で23万台以上配置されたエッジサーバー

一般ユーザ

ボットネット上の攻撃元

ProlexicFast DNS

DDoSからネットワークと

データセンターを包括的に保護

Prolexic

強固な可用性を備えたクラウド型

権威DNSサービス

Fast DNS

重要なビジネスを担うウェブサイトを

サイバー攻撃から包括的に防御

ビッグデータ分析で危険なIPを格

付けしWeb攻撃を未然に防止

Client Reputation

価格調査、買占め、不正ログイン

などのボットを見分け働きを停止

Bot Manager

ビッグデータ解析

Kona Site Defender –WAF, DDoS対策

最も一般的なウェブへのサイバー攻撃に

簡単に防御を展開

Web Application Protector–WAF, DDoS対策

1日平均 3000億のDNSクエ

リー、20TBの攻撃データを分析

Thread Intelligence


ユーザ様の声～アカマイクラウド・セキュリティ・ソリューション

現在の規模のDDoSに安心、安定して対策を打てるの

は、結局のところアカマイをおいて他にないね

CSIRTが常に司令塔として機能するよう、アカマイのマネージドセキュリティサービスを活用している

Webサーバが色々な部門、場所に点在しても、後付けで保護できるからグループガバナンスの強化に最適だ

CDN型Webセキュリティを入れたら驚くほどWebレスポンスが速くなって、ECサイトの売り上げが伸びたよ


経緯

• 2016年3月県内一部機関のホームページがサイバー攻撃で一時閲覧不能になった

• G7伊勢志摩サミット開催に備え、Azure上に設置した県民会議のWebサーバを守るためAkamai Kona DDoS Defenderを採用しDDoS対策を実施

導入効果

• 決定から導入まで１ヶ月で構築しサミット100日前に公開

• 三重県のホームページは一度も閲覧不能にならず無事閉幕

• 三重県の知名度、信用力の向上につながったとの評価（鈴木三重県知事）

三重県： G7 伊勢志摩サミット県民会議Webサイト


WebプラットフォームにおけるAPI 活用の広がり

4%APIを利用するアカマイの契約Webサイトの割合

25%アカマイ配信に占めるAPIトラフィックの割合

50%Webパフォーマンス製品に占めるAPI

トラフィックの割合

楽天，Yahoo! JAPAN，ぐるなびなど多数サイトがウェブAPI

を公開し商品、店舗検索、ID連携などに活用FinTech、金融業界でも実装の動きが活性化


OWASP (Open Web Application Security Project) Top 10 2017

OWASP Top10 とは？Open Web Application Security Project によって公開される、ウェブアプリケーションにおける最も重要な脆弱性やその脆弱性と対策を示したリスト

項番 Webアプリケーションの脆弱性

A1 インジェクション (SQL, LDAP等）

A2 認証とセッション管理の不備

A3 クロスサイトスクリプティング (XSS)

A4 （許可のない機能レベル/データへの）アクセス制御の欠落

A5 セキュリティ設定のミス

A6 機密データの露出 (アプリケーション/API）

A7 (アプリケーションとAPIに対する）不十分な攻撃プロテクション

A8 クロスサイトリクエストフォージェリ（CSRF）

A9 既知の脆弱性を持つコンポーネントの使用 (アプリケーション/API)

A10 保護されていないAPI

前 2013年版と比較し、APIの記載が各所に追加＝新たな盲点の警告

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project


API プロテクション

HEMS

IoT

自動車

B2Cモバイル

Akamai IntelligentPlatform

製造

API 利用者(RESTful & XML)

ビジネスパートナー向けAPI

Web Page

データベース APIアプリケーションサーバ

SQLインジェクション、 XSS、コマンドインジェクション

Kona Site Defender 5.0 機能拡張ポイント：これまでのWAF (Web application firewall) ルールによるブラックリスト型ルールに加え、APIリクエストに最適化した入力値検査（ホワイトリスト型）ルール設定で不正な入力＝攻撃を検知


迷惑ボットのビジネスインパクトと対策


Akamai Bot Manager ～迷惑ボットの管理と可視化を提供

63.1%ユーザトラフィック

様々な種類のサーチエンジン

Webアーカイバ広告調査(価格,在庫等)

カスタマイズされた未知のボット

Webアクセスの４割以上が

ボットの通信

ボット＝自動処理するプログラム

• Webショップの価格情報を自動収集して比較される！

• 限定／特価商品、座席を自動で買占めて転売される！

• 大量のボットアクセスでWebパフォーマンスが低下！

良性／悪性ボットの種類を判別

ボットの挙動を可視化

ボットの種類にあわせて対処

アカマイ定義済みルール＋カスタムルールで判別

ボットの挙動をレポート、未知のボット候補をリスト化

ボットに気づかれないように働きを無効化する応答


迷惑ボットの課題例：大手ECサイト

ボットの挙動：

• 価格スクレイピング、および第三者Webでの許諾の無い価格比較

• セール製品の瞬時の大量買占めと他サイトへの転売（在庫、価格調査と転売の自動化）

• アクセス元をファイアウォールでブロック(Deny)すると別のボットに処理を移す

ビスネスへの悪影響：

•頻繁にアクセスするボットのトラフィックでセール時にシステムダウンが発生

•一般ユーザのエクスペリエンスの低下（慢性的な品不足、顧客満足度の低下、客離れ）

•許可の無い価格比較による販売機会の喪失、販売価格の低下

• 求める解決策：

•悪性ボットの識別と、ボットに『対策していると気づかれない』特殊な制御

サイバー攻撃とは言い切れないボットが実はビジネスを侵食していないか？


ビジネスWebの新たなチャレンジ～ボットを管理しビジネスを最大化

企業のビジネス課題ユーザの満足度

無駄なコストの削減ＩＴ・セキュリティ課題

① Monitor / Alert② Deny (HTTP 403 応答)③ Silent Deny (HTTP 403 応答無し)④ Delay (1-3秒)応答⑤ Slow (8-10秒)応答⑥ 代替コンテンツ応答⑦ 代替オリジン・リダイレクト⑧ キャッシュからの応答

ボットの識別・可視化

８つの『いなす』アクション

Bot Manager


アカウント乗っ取り／リスト型攻撃と対策


Credential Abuse （リスト型攻撃）

ユーザ認証情報の購入

闇市場

Username

Password

LOGIN

Username

Password

LOGIN

Username

Password

LOGIN

不正ログイン

Webサイト

Shopping

Cash

Data

金銭的な利益

エンドユーザの資産

漏えいした認証情報

認証の照合

ボットネット


アカマイのThreat Research Teamの解析結果

全ログイントランザクション中

30% が Credential Abuse攻撃

•１日に40万個以上のIPを利用。うち25% のIPは「１度きり」の使い捨て

•１IPから１Webサイトへのログインは24時間で平均20回

•１日だけ攻撃に利用されたIPが１ヶ月間で全体の70%

• API ログインはWebログインの3.7倍

リスト型攻撃対策には攻撃ソースIPの共有、IPレピュテーションでは対策は不十分


CAPTCHA テストの限界

CAPTCHA（キャプチャ）はチャレンジ / レスポンス型テストの一種で、応答者がコンピュータ（ボット）でないことを確認するために使われる。

• 技術の進歩でCAPTCHAによるボット判定は通用しなくなっている• “CAPTCHA bypass service”で検索すると様々な自動判読サービスが…• 1000個あたり、$1.39程度の料金。95%の正確性（人間がやると71%）• ボットを使った分散処理で人間が5～10秒掛かる入力を数分の一秒で突破

• ユーザーにとっては手間がかかる• CAPTCHA導入によるユーザ離脱率は、一般的に10%を越えると言われる


JavaScript やMobile SDK を駆使して人の可能性が高いふるまいを継続的に分析

キー入力のインターバル

加速度センサー &

ジャイロタッチ & マウス

の動き

そのアクセスは人かボットか？

成りすましログインなどを行う巧妙な「ボット」をマシンラーニングで判別


『想定外』をなくすために


ウェブプラットフォームに関するサイバーリスクの再考

実はWebへの攻撃が、大規模な情報漏洩のトリガーになるリスクを認識できていたか？

WebサイトだけでなくスマホアプリやIoTで利用する

WebAPIは保護されているか？

巧妙化するボットが引き起こしている隠れたビジネスリス

クを認識できていたか？

アカマイのWAF, DDoS対策でWebへの攻撃の総合対策を

アカマイはAPI Protectionなど機能強化で新たな脅威に対抗

Bot Managerがリスト型攻撃を含む高度なボットも検知

アカマイ・テクノロジーズ合同会社Webお問い合わせ窓口: http://www.akamai.co.jp/enja/html/forms/sales_form.htmlTEL: 03-4589-6500 (代表) E-mail: [email protected]

ぜひお気軽にご相談をお寄せください

Thank you!

フォローお願いしますアカマイTwitterアカウント

@Akamai_GK

making the internet fast, reliable and secure -...

Documents