年々攻撃力が増しており、「セキュリティ対策は万全にやっている」という企業でも対策を講じておく必要があります。 bot攻撃の被害はパスワードの不正取得を行うための「パスワードリスト攻撃」やWebアプリケーションやサービスへ不正アクセスを行い、個人情報の不正入手、漏洩等が挙げられます。 参考:パスワードリスト攻撃とは?被害事例や攻撃の手口、すぐにできる対策を紹介 悪質botによる攻撃で情報漏洩等が起これば、企業の信頼をなくし、大切な顧客を失う可能性があります。 本記事では、悪質なbotの特徴やbot対策の方法について詳しく解説します。 この記事を読むことでどのようなbot対策をすればいいか理解でき、事前に対策をすることでbotの被害を防ぐことができます。 特にWeb関連のサービスを取り扱っている業界の方にオススメの記事になります。
監修者
松本 悦宜(まつもと よしのり) Capy株式会社ホワイトハッカー 例年ラスベガスで行われている世界最大のハッカーのイベントBlack Hatに登壇している。 IPA(情報処理推進機構)が運営する産業サイバーセキュリティセンターにて非常勤講師として中核人材向けのITセキュリティを教えている。
botとは人間の代わりに作業を行うコンピュータープログラム
botとは、決められたタスクや処理を自動化するためのアプリやプログラムのことを指します。
監修者botとは人間の代わりに作業を行うコンピュータープログラムbotは2種類に分けられるbotによる被害を受ける原因botの脅威を防ぐための方法3つパスワードのルールを複雑にするCAPTCHAを導入する多要素認証システムを導入するまとめ
セキュリティ業界で言うbotは「不正なプログラム」を指します。 不正アクセスにより自社のパソコンに悪質なbotが組み込まれるとパソコンを乗っ取り、個人情報の入手やサイバー攻撃の踏み台にされる可能性があり、対策を講じなければなりません。
botは2種類に分けられる
botは、「作業の自動化」を役立てているか悪用しているかで良いbotと悪いbotに分けられます。 良いbot・悪いbotの違いや特徴を知っておくことで、悪質なbotによる被害が出る前に区別し、botを排除できるようになります。 以下では、良いbotと悪いbotの種類を解説します。
良いbot
良いbotは、人の役に立つことを目的として開発されており、手作業で行う業務を自動化してくれる利便性の高いものです。 良いbotは不正を行うようにプログラムされていないため、特に対策を行う必要はありません。 以下は良いbotのサービス例です。 参考:【2022年最新】チャットボットツール40選!価格や機能を徹底比較
悪いbot
悪いbotは自動化できる特徴を悪用し、不正アクセスや個人情報の抜き取りに使われています。 悪いbotの一部を紹介します。 悪質なbotには、スパムボットのような個人情報を不正に入手する目的のものもあれば、ユーザーになりすまして商品の不正購入やクレジットカード情報の漏洩を目的しているものなどさまざまです。 botに感染してしまうと個人情報を抜き取られるだけでなく、乗っ取ったパソコンをサイバー攻撃に使われ、自身が加害者となる可能性があります。 トラブルに巻き込まれないためにも、悪いbotへの対策はしっかりと行っておくべきです。
botによる被害を受ける原因
botの被害を受ける原因は、主に「IDやパスワードの流出」にあります。 企業のログイン画面にアクセスし、割り出されたIDとパスワードでログインできるかをbotが機械的に検証を行うことで、「なりすまし」による不正アクセスをすることができます。 botを使った不正アクセスの手口として、主に4つの攻撃手段があります。 このように、簡易的なID・パスワードの設定や複数のサイトの使いまわしによって、botの被害を受けやすくなります。 参考:パスワードリスト攻撃とは?被害事例や攻撃の手口、すぐにできる対策を紹介
botの脅威を防ぐための方法3つ
悪質なbotに攻撃されると「個人情報の漏洩」や「知らないうちにサイバー攻撃に加担させられる」などの脅威があるため、対策が必要です。 bot対策として有効的な方法は以下の3つになります。
パスワードのルールを複雑にするCAPTCHAを導入する多要素認証システムを導入する
パスワードのルールを複雑にする
パスワードの文字列を複雑に設定することで、botの突破率を軽減させることができます。 botはあらゆる文字列を組み合わせてパスワードを割り出してアクセスするため、簡易的な文字列では突破される可能性が高いです。 そのため、以下のようなルールを参考にしてパスワードを再設定するように社内喚起しましょう。
最低6文字を指定する。大文字と小文字のローマ字、数字、記号の入力を必須にする。名前や誕生日などの入力はNG。
しかし、パスワードを複雑化しても何らかの原因で外部に流出してしまえば、結果的に不正アクセスされてしまいます。 パスワードを複雑化にすることは最低限行うようにし、さらにセキュリティ力を高めるためには次に紹介するシステムの導入を検討しましょう。 参考:【2021年最新版】シングルサインオン(SSO)おすすめ38選!料金プラン・機能・サポート体制などを厳選比較
CAPTCHAを導入する
botか人間か判断する「CAPTCHA」というシステムを導入することで、よりbotの突破率を軽減させるという方法もあります。 CAPTCHAとは、ログインやお問い合わせフォームを送信する前に、ひらがなや英数字のような文字列を表示し、ユーザーに入力させます。 botがOCR(文字起こし)によって識別できないように、表示する文字を歪曲させるなどしてあえて読みづらくさせます。 参考:【22年最新】AIの文字起こしツール10選を比較!選び方・料金・機能を徹底解説 しかしbot側の技術の進化によって、CAPTCHAを突破して不正ログインされたというケースも少なくありません。 そのため、「私はロボットではありません」というチェックボックスでbotかどうか判断できるGoogleの「reCAPTCHA」や、パズルで認証をさせる「Capy パズル CAPTCHA」というシステムのほうが、よりbotによる不正アクセスを防止することができます。
多要素認証システムを導入する
認証の3要素である「知識情報」「所持情報」「生体情報」のうち、2つ以上を組み合わせて認証させる多要素認証システムであれば、よりセキュリティ力を高めることができます。 3要素のそれぞれの内容は以下の通りです。
知識情報(その人が知っている情報)…IDやパスワードなど所持情報(その人が持っているものに付随する情報)…SNS認証やICカード、ハードウェアトークンなど生体情報(その人の身体的な情報)…顔認証や指紋、虹彩など
IDやパスワードだけではbotに突破される可能性がありますが、本人のみが持っている情報や生体的特徴を認証材料に入れることで、botでのログインを回避させることができます。 参考:不正アクセスを防ぐ「ワンタイムパスワード」とは?利用シーンやSMSを使った発行方法まで解説
まとめ
この記事では、botの基礎情報からbot攻撃の予防方法や対処法について解説しました。 botには「作業の自動化」を悪用した悪いbotと著作権法に違反していないかを自動で調べられる「著作権bot」などの人の役に立つbotの2種類があります。 パソコンやスマホに悪いbotが侵入してしまうと、「犯罪者に管理権を渡してしまう」ことになり、サイバー攻撃の踏み台にされたりと犯罪者の行為に加担させられる可能性があります。 botによる攻撃を防ぐ方法は以下の3つになります。
パスワードのルールを複雑にするCAPTCHAを導入する多要素認証システムを導入する
パスワードのルールを複雑にすることは簡単ですが、何らかの原因で外部に流出する可能性も考慮すると、これだけの対策では安心できません。 そのため、CAPTCHAや多要素認証などのシステムを導入し、より強いセキュリティ対策をおこなうことがおすすめです。
