ボットネット活動モデルの概要（２）

（具体的な事例とシステム的な対策）

８．Ｗｅｂサイトスキャンのためのクローラー

・一部セキュリティソフト会社のＷｅｂサイト評価機能において、Ｗｅｂサイトスキャンのためのクローラーが、迷惑と受けとめられるアクセスを行っています。

・フィッシングサイトなど有害なサイトから、セキュリティソフトのユーザを守るため、ユーザが訪れたサイトに対し、Ｗｅｂサイトスキャンが行われます。

・あるステークホルダーにとっては正当なアタックであり、被害を受けるサイトにとっては有害なアタックです。

・世界最大級のＷｅｂサイト安全性評価において、「未評価」とされるサイトは、評価されるまで、Ｗｅｂサイトスキャンが行われます。

・これらのロボットに対し、アクセス制限を行う場合には、有害なトラフィックが長期間継続します。

・「安全」と評価されるよう、ロボットのＷｅｂスキャンアクセスを許したとしても、ロボットのアルゴリズムが未対応の通信を使用するサイトについては、「未評価」のまま、アタックが継続される可能性があります。

・Web App Attack のようなアクセスを行い、DNSキャッシュ期限の切れたルータのドメインアクセス制限（例えば、*.amazonaws等のブロック）を通過します。スループットが求められるルータの多くが、このようなアクセスに完全には対応できません。基本的には、IPアドレスでのガードが必要です。ただし、この事例では、IPアドレスを特定しにくく、その数も１００を超え、アクセス元を変更するため、厄介と言えます。

・ドメインアクセス制限を行う場合には、２重、３重のガードが必要となります。例えば、ルータ（INとOUT）、FW、Webサーバなど。

・継続的にブロックを追加する等、イタチごっこにしないためには、セキュリティソフト会社のＷｅｂサイト評価に対し、「安全」への変更届を出すことも有効な対策です。時間はかかりますが、「安全」と評価されれば、クローラーのアクセスが緩和されます。

・主なＷｅｂサイト評価としては、トレンドマイクロ社、シマンテック社、マカフィ社で運営するものが挙げられます。

・メジャーなブログサービス等配下のサイトは、「安全」と評価されており、このような弊害は確認されていません。

・https通信(SSL)は効果の高い対策です。しかしロボットに対し完璧ではありません。

９．考察

サイバー世界は、性善説に頼る方策を甘美な幻想として退け、一貫して必然のセキュリティを追い求めています。
性善説を否定するならば、ＯＳやブラウザ、セキュリティソフトに悪意はないという性善説は否定されるべきです。
悪意があるかないかは、もはや重要ではなく、有害となりうる能力があるかないか？
セキュリティ上、そのような能力を封じることが求められるならば、ＯＳやブラウザ、セキュリティソフトのアクセス能力も例外ではないと言えるでしょう。
マルウエアもセキュリティソフトも同じ能力を持っています。
ブラウザやＯＳはそれ以上の能力があります。
少なくとも日本国内の多くは、思っている以上に性善説が機能する社会だと思います。
法的な縛りも機能し、企業の自浄作用の原理（プリンシプル）も機能しています。
ごく一部、ほんの少数、千に一つもない、害あるＣ＆Ｃ（コマンド＆コントロール）が存在するにすぎません。
しかしそれは、大量のロボットに指令を下し、害を拡散する。
これが、ボットネット活動モデルです。
その拡散は、セキュリティ上、インターネット接続それ自体を否定することに繋がりかねない脅威となりうるでしょう。

ボットネット活動モデルの概要（１）

サイバー攻撃が問題視される昨今、有害なボットネットによるクローラーが、活動しています。

悪意がない、意図しなくても、それが社会的に有害になる可能性があります。

robot.txtに従わない、ロボット、クローラーそれ自体が有害ですが、その振る舞いを悪用される可能性もあります。

最近、このような対策を見かける機会が増加しています。

ロボット、クローラーからの不正アクセスを防止するため、Googleが提供するreCAPTCHAです。

利用者である人間の手間を増やす迷惑なロボットが増加しているのです。

＜ボットネット活動モデルの概要＞

2016年のDDoS攻撃で世間を騒がせたMiraiボットネット。

このソースは公開され、そのシステムモデル、アイデアは一般的なシステムにも流用されています。

１．ダウンローダー機能

・ソフトの配布

・使用許諾契約の同意

　ユーザID、パスワードを含むURLへのクローリングが行われることの同意。

２．ブラウザにツールバーがアドオン

・ソフトによるブラウザハイジャックが可能になる。

３．Ｃ＆Ｃ（コマンド＆コントロール）サーバ機能

・ユーザのアクセス情報がブラウザのツールバーを経由して、サーバに送信される。

・Ｃ＆Ｃサーバは、ボットネットに対し、クローリングを指令する。

４．ボットネット機能

・Ｃ＆Ｃサーバの指令を受け匿名で活動するボットネット機能。

・以下、例として、１００以上のボットが確認されている。

・compute-1(USA)

・us-west-2(USA)

・ap-northeast-1(JAPAN)

５．弊害を受けるWebサイト

・ドメインの経年数が浅いサイト。

・８０番ポートを利用するサイト。

・ロボットやクローラーからのアクセスを制限しているサイト。

・GETメソッド等、動的なＵＲＬを発行するサイト。

・長時間セッションを継続するサイト。

・例えば、WebSocketを利用するサイト。
・その他、攻撃者の誤検知を誘発する最新技術を使用するサイト。
・同様に、トリッキーな仕組みを使用するサイト。

・十分評価されていない、"Untested"サイト。

６．特徴と弊害

・ブラウザハイジャック。

・クローラーがユーザのアクセスに続いて、同じＵＲＬにアクセス。
・同一のクローラー、複数のクローラーが、１秒間に続いてアクセス。

・通常URLの他、GETメソッド、POSTメソッドによるアクセスが可能。
・ユーザエージェントは偽装され、多くは固定的であるが、追跡するユーザと同じユーザエージェントが設定されている場合もある。

・クローラーのＩＰは千変万化の振る舞いで、ブラックリスト追加は後追い対応となる。　

・ドメイン名を頻繁に変え、DNSキャッシュ期限の切れた、ルータのアクセス制限をすり抜ける。

・行き過ぎたクロールは、DDoS攻撃に間違われる。

・有料情報への不正アクセス。

・機密情報への不正アクセス。

・２重ログイン、セッションハイジャック。
・２重投稿。

・訪問者カウンターに加算。

・匿名ロボットに、つきまとわれるユーザ、防御するＷＥＢサイトへのプレッシャー。

・苦情窓口は見当たらないか、英語での対応に時間がかかり、被害サイトは諦める場合が多い。

７．対処（Webサイト）

・先ずは、ボットネットが利用するプロバイダーまたはクラウド事業者の苦情窓口(ABUSE窓口)に確認してください。

・プロバイダーまたはクラウド事業者は、苦情内容の報告を仲介して、報告者と事業者顧客の両方に満足するよう努めるでしょう。

・そして、法的な懸念が生じれば、対策に動くと思われます。

今後、具体的な事例について説明する予定です。
対症療法としてのシステム的なガードについても説明します。

根本的な対応は、７で述べたように、攻撃者に対して慎むよう申し入れることです。

ボットをブロックする対策では、有害なトラフィックは減りません。
ＩＰ、ドメインを変えるなど、巧妙なアクセスが繰り返されます。

その多くは、意図したものではなく、誤った標的に対して行われる攻撃（誤検知によるアタック）となります。

あるステークホルダーにとっては正当なアタックであり、被害を受けるサイトにとっては有害なアタックです。

その攻撃は、ある利害や目的を持ったビジネスとして行われており、誤った標的に対する攻撃は、攻撃者にとっても不要なコストになるため、大抵は苦情に対して応じると思います。

システムのステータスを、このサイトは”攻撃不要”に変更してもらうことで、解消します。