「ボットネット」とは、ユーザの認識なくマルウェア(悪意のあるソフトウェアやウイルス)に感染しているコンピュータ同士がお互いに接続されたネットワークのことです。
これまでのサイバー犯罪者が仕掛けたボットネットは、主に迷惑なスパムメールの送信やDDoS攻撃でした。
このタイプの攻撃は通常、特定のサーバをターゲットにして、ネットワークのトラフィックに負荷をかけてサービスを利用できなくすることを目的としています。
これらの脅威に対しては、ファイアウォール製品の向上によって対策が取られました。
しかし、近年のボットネット攻撃(SpyEyeなど)は、より狡猾になってきています。
今日のボットネット攻撃はスパムやDDoS攻撃のようなネットワークに負荷をかけるものではなく、金融詐欺を行うために個人情報を盗み取るものになっています。
アカウントの乗っ取りを通じて、様々なECサイトや金融機関からいくつものログイン情報を取得するために、ボットネットが利用されているのです。
不正者は、悪事がバレることを回避するために、ボットネットの利用方法を巧みに変えてきました。
彼らは、通信速度の速いものがボットネット攻撃の検知に利用されることを知り、通信速度を下げ対応しました。
さらに、彼らはリスクの高い地域やIPアドレスからデバイス(PCやスマホ)を利用すること、同一のデバイスを長期間利用することで、悪事がバレる可能性が高まることを学びました。
実際に、オンライン不正に利用されるボットネット攻撃は通常のトラフィックと変わりません。
そのため、検知することが非常に難しくなってきています。
ボットを検知するのは難しい
マルウェア対策ソフト(Nortonやウイルスバスターなど)がインストールされていない場合、ボットを検知することは非常に難しいです。
対策ソフトがインストールされている場合でも、ボットの特性は常に変わり続けていて、100%対策できるわけではありません。
リスクが高いとされる地域のIPアドレスや地理的な位置を基に、特定のデバイスがボットに感染していると判断することもできますが、多くの場合はなにも知らない一般ユーザが所有する「通常」のデバイスであるため、あまり有効ではありません。
他にも様々な判断材料がありますが、どれも100%ボットであると保証できるものではありません。
例えば、アンドロイドやiPhoneなどのデバイスがジェイルブレイク(脱獄)、またはルート化されている場合、通常のデバイスよりはるかにボットに感染しやすくなります。
特定のデバイスが様々な業界をまたぎ、複数の企業アカウントにアクセスしている場合もいち判断材料になりえます。
しかし、インターネットが発達した現在では、多くの人が同じデバイスを使い、銀行口座、お気に入りのECサイトやSNSにアクセスをします。
そのため、同じデバイスから複数のアカウントにどのくらいアクセスがあった場合多いと判断するのか、そしてそれを100%ボットと判断して良いのかという点には疑問が残ります。
そこでどうするのが良いかといいますと、ボットを検知することではなく、ボットが行う不正を止めることに焦点を当てることで、より良い結果をもたらすことができます。
結局、不正をボットが行っていようが、特定の不正者が行っていようが最終的な結果は同じだからです。
デバイス情報に基ずく不正検知
デバイス情報に基づいて不正を検知することは、ボットネット攻撃からの不正対策にとても有効です。
ただし、注意すべき点もあります。
個人情報とデバイス情報がセットとなっていた場合、片方の情報が不正と認識されると、もう片方も不正と認識され信頼性に欠けてしまいます。
例えば漏洩したログイン情報がある場合、その情報に紐づくデバイス情報も通常のユーザのものであっても、信頼性に欠けることとなってしまいます。
信頼性の高いデバイス情報は、個人情報と合わせたものではなく、インターネットに接続されているデバイスを単独のもととして認識しているものです。
デバイスのOS、IPをベースとした地域、利用しているブラウザなどの関連情報のみをデバイスから取得し、利用することでデバイスの信頼性を担保することができます。
ボットを未然に防ぐ
ボットを防ぐもっとも有効な方法は、事前に承認されたデバイスのみでアカウントにアクセスさせることです。
事前承認されていないデバイスがアカウントにアクセスしようとした場合、追加の承認によってアクセスを制限します。
この方法はボットでも、不正者でも有効です。
とても有効な追加の承認ですが、注意点もあります。
それは、ユーザにとって手間が一つ増えることです。
そのため、追加の認証ではなく、利用するデバイスが以前そのユーザが利用していた場合には無条件でアクセスを許可するなど、ユーザに負担をかけない方法が望ましいです。
まとめ
現在のボットネット攻撃は迷惑行為だけではありません。
これらは莫大な金額の実害を伴います。
SpyEye単独で個人の銀行口座から数百万ドル盗まれた例もあります。
ボットの検知ではなく、オンラインで起きる不正の対策に注力するほうが、はるかに精度が高く効率的です。
その際にユーザの負担を考えることも重要になってきます。
iovationのボットネット不正対策
iovationは、オンライン不正検知・防止ソリューションにおいて、業界でリーダーとして認識されています。
複雑なグローバル不正を防止するのに有効であると証明されている多くの機能が、ボットネットによる不正を防ぐ際にも有効に活用できます。
グローバル不正対策ネットワーク
3,500人以上のグローバル不正セキュリティアナリストは、iovationのグローバル不正対策ネットワークを活用します。
不正がこれらのアナリストによって確認された場合、彼らはiovationに特定のタイプの不正または受けた不正を、デバイスまたは関連するユーザーアカウントと紐づけて、証拠としてフィードバックします。
これは不正があったデバイスまたはアカウントからのトランザクションを止める機能を利用者に提供するだけではなく、この情報は他の利用者にも共有されます。
特定のデバイスでボットによる不正が確認された場合、そのデバイスからの不正を防ぐことができます。
デバイスとアカウントの関連付け
ボットネット不正攻撃は、関連するデバイスのグループが複数のアカウントにアクセスを試みていることがiovationでは判別できます。
これらのデバイスの中で不正が確認された場合、すべての関連するデバイスとアカウントを不正と認定し、ボットネットによる不正の輪を防止します。
高度な行動分析とルール
不正ボットネット攻撃がボットネット検知を回避するために低速な通信を利用した場合においても、iovationは他の手段によって高度な行動分析を提供します。
例えば、特定のデバイスからの複数回のアカウント作成、1デバイスからの一定回数以上のアクセス、1デバイスあたりのメールアドレスの数、1電話番号あたりのデバイスの数、1デバイスあたりのアカウントの数、1デバイスあたりの国の数などをもとにアラートをあげることができます。
伝統的な手法である閾値ルール
単一企業のトラフィック量に焦点をあてる伝統的な閾値ルールとは異なり、iovationの閾値ルールはわれわれのすべての顧客と業界全体を横断的に検知することのできるユニークな機能を有しています。
通信速度の低速なボットネット攻撃は、他のツールを利用する単一企業では不正と断定できないかもしれませんが、iovationでは似た行動をするデバイスが短期間に複数の企業に対し攻撃をしている場合、これを速やかに見つけることができます。
ハイリスク指標ルール
iovationはTorの出口ノードまたは特定の地域やIPアドレスの範囲を経由するトランザクションを拒否する機能を提供します。
ボットネットではコマンド&コントロール(C&C)サーバのトラフィックを隠すためTorなどのツールの利用が増えています。
ジェイルブレイクとルート化デバイス
ジェイルブレイクまたはルート化されたモバイルデバイスは、ボットに感染しやすいです。
そのため、ジェイルブレイクまたはルート化されたデバイスにボットやマルウェアのリスクが高いとフラグを立て、検知するためのiovationルールを利用することが有効です。