ボットネット活動モデルの概要（１）

サイバー攻撃が問題視される昨今、有害なボットネットによるクローラーが、活動しています。

悪意がない、意図しなくても、それが社会的に有害になる可能性があります。

robot.txtに従わない、ロボット、クローラーそれ自体が有害ですが、その振る舞いを悪用される可能性もあります。

最近、このような対策を見かける機会が増加しています。

ロボット、クローラーからの不正アクセスを防止するため、Googleが提供するreCAPTCHAです。

利用者である人間の手間を増やす迷惑なロボットが増加しているのです。

＜ボットネット活動モデルの概要＞

2016年のDDoS攻撃で世間を騒がせたMiraiボットネット。

このソースは公開され、そのシステムモデル、アイデアは一般的なシステムにも流用されています。

１．ダウンローダー機能

・ソフトの配布

・使用許諾契約の同意

　ユーザID、パスワードを含むURLへのクローリングが行われることの同意。

２．ブラウザにツールバーがアドオン

・ソフトによるブラウザハイジャックが可能になる。

３．Ｃ＆Ｃ（コマンド＆コントロール）サーバ機能

・ユーザのアクセス情報がブラウザのツールバーを経由して、サーバに送信される。

・Ｃ＆Ｃサーバは、ボットネットに対し、クローリングを指令する。

４．ボットネット機能

・Ｃ＆Ｃサーバの指令を受け匿名で活動するボットネット機能。

・以下、例として、１００以上のボットが確認されている。

・compute-1(USA)

・us-west-2(USA)

・ap-northeast-1(JAPAN)

５．弊害を受けるWebサイト

・ドメインの経年数が浅いサイト。

・８０番ポートを利用するサイト。

・ロボットやクローラーからのアクセスを制限しているサイト。

・GETメソッド等、動的なＵＲＬを発行するサイト。

・長時間セッションを継続するサイト。

・例えば、WebSocketを利用するサイト。
・その他、攻撃者の誤検知を誘発する最新技術を使用するサイト。
・同様に、トリッキーな仕組みを使用するサイト。

・十分評価されていない、"Untested"サイト。

６．特徴と弊害

・ブラウザハイジャック。

・クローラーがユーザのアクセスに続いて、同じＵＲＬにアクセス。
・同一のクローラー、複数のクローラーが、１秒間に続いてアクセス。

・通常URLの他、GETメソッド、POSTメソッドによるアクセスが可能。
・ユーザエージェントは偽装され、多くは固定的であるが、追跡するユーザと同じユーザエージェントが設定されている場合もある。

・クローラーのＩＰは千変万化の振る舞いで、ブラックリスト追加は後追い対応となる。　

・ドメイン名を頻繁に変え、DNSキャッシュ期限の切れた、ルータのアクセス制限をすり抜ける。

・行き過ぎたクロールは、DDoS攻撃に間違われる。

・有料情報への不正アクセス。

・機密情報への不正アクセス。

・２重ログイン、セッションハイジャック。
・２重投稿。

・訪問者カウンターに加算。

・匿名ロボットに、つきまとわれるユーザ、防御するＷＥＢサイトへのプレッシャー。

・苦情窓口は見当たらないか、英語での対応に時間がかかり、被害サイトは諦める場合が多い。

７．対処（Webサイト）

・先ずは、ボットネットが利用するプロバイダーまたはクラウド事業者の苦情窓口(ABUSE窓口)に確認してください。

・プロバイダーまたはクラウド事業者は、苦情内容の報告を仲介して、報告者と事業者顧客の両方に満足するよう努めるでしょう。

・そして、法的な懸念が生じれば、対策に動くと思われます。

今後、具体的な事例について説明する予定です。
対症療法としてのシステム的なガードについても説明します。

根本的な対応は、７で述べたように、攻撃者に対して慎むよう申し入れることです。

ボットをブロックする対策では、有害なトラフィックは減りません。
ＩＰ、ドメインを変えるなど、巧妙なアクセスが繰り返されます。

その多くは、意図したものではなく、誤った標的に対して行われる攻撃（誤検知によるアタック）となります。

あるステークホルダーにとっては正当なアタックであり、被害を受けるサイトにとっては有害なアタックです。

その攻撃は、ある利害や目的を持ったビジネスとして行われており、誤った標的に対する攻撃は、攻撃者にとっても不要なコストになるため、大抵は苦情に対して応じると思います。

システムのステータスを、このサイトは”攻撃不要”に変更してもらうことで、解消します。