Bot対策に有効な日立ソリューションズ『HUMAN Bot Defender』の概要や、解決できる課題についてご紹介します。

Bot対策(旧名称:PerimeterX Bot Defender)HUMAN Bot Defender

HUMAN Bot Defenderは進化したBotからの悪意あるアクセスを遮断しお客さまのWebサイトの価値を守るソリューションです。

Webアプリケーションの脆弱性とBotの利用

2021年12月にJavaベースのロギングライブラリApache Log4jに存在する任意のコード実行の脆弱性(CVE-2021-44228)が公表されました。深刻度を示すCVSSスコアは最高の「10」であったことから大きな話題となりました。このライブラリを使用しているサービスや製品は非常に多いため、知らない間に使っている可能性があります。

日立ソリューションズでは、攻撃者がBotを使いApache Log4jの脆弱性を突いた攻撃をしていること、さらに、HUMAN Bot Defenderでその攻撃をブロックしていることも確認しています。

※CVSS:Common Vulnerability Scoring System(共通脆弱性評価システム)

このようなお悩みはありませんか?

  • 課題
  • 解決
  • Botによるパスワードリスト型攻撃、買い占めや転売、スクレイピング(Webコンテンツの自動収集)など、人からのアクセスを装った迷惑なアクセスが行われている。

    AI技術を用いて人によるアクセスかBotによるアクセスかを識別。WAF(Web Application Firewall)では防ぐことができないBotによるアクセスからWebサイトを守ります。これにより、安心して使えるWebサービスをユーザーに提供できるというメリットや、商品を購入したいと考えている正規ユーザーに適正価格で商品を届けられるといったメリットがあります。

  • WebサイトへのBot対策としてCAPTCHAの導入を検討しているが、導入することでサイトの利便性が下がり、ユーザーが離れていってしまわないか心配。

    高い精度で人かBotかを識別し、Botからのアクセスと疑われる場合にのみ独自技術を用いて人かBotかを判定します。そのためサイトの利便性が下がらず、サイト離れを起こす心配はありません。

  • Botによってアンケートフォームへの自動入力やアクセス数の水増し、広告の自動クリックが行われ、正しいデータ分析結果が得られない。

    Botからのアクセスを取り除くことでマーケティングやデータ分析の精度向上につながり、投資対効果の向上が見込めます。

※Botでないことを確認するために歪んだ文字を表示して入力させたり、特定の画像を選択させたりするもの。

Botとは

Botとは何らかの作業を自動的に実行するロボットを省略した呼び方です。代表的なBotの例として、検索エンジンがWebサイト上の情報を収集するために利用している「クローラー」が挙げられます。セキュリティ分野でBotといえば、サーバーダウンを目的としたDDoS攻撃やサイトを改ざんするSQLインジェクションなどの多種多様な攻撃を自動的に仕掛けてくる悪質なプログラムをイメージされることが多いです。しかし最近のBotは、不正ログインやECサイトでの商品の買い占めなど、脆弱性を悪用せずに攻撃を行うより高度なものへと進化しています。

従来のBot対策

従来のBot対策として、代表的なものにCAPTCHAがあります。CAPTCHAは、Webサイトへのアクセスが人によるものかBotによるものかを確認するために使われる「チャレンジレスポンス型テスト」の一種です。主なCAPTCHAの例としては、読み取りにくい歪んだ文字列を読み取るものだったり、指定された画像を選択するといったようなものがあります。ほかにも、個人が所有しているスマートフォンにSMS経由で、ワンタイムパスワードを送信して入力させる多要素認証もBot対策として使われています。しかし、Bot対策のためにこれらの認証を毎回表示してしまうと、ユーザーに負担をかけることとなりサイト離れを引き起こしてしまう可能性があります。

HUMAN Bot Defender概要

Botにより、不正ログインによる情報漏洩や会員ポイントの不正利用、ECサイトでの買い占めや転売、スクレイピングによるコンテンツ盗用などが行われています。これらはWebアプリケーションの脆弱性を悪用するものではないため、WAFのみでは防ぐことができません。HUMAN Bot Defenderは、AI技術を用いて、Webサイトへのアクセスが人によるものかBotによるものかを識別し、人と判断した場合には通常のページを表示、Botと判断した場合には独自技術「Human Challenge」による認証テストを表示しアクセスを遮断するため、ユーザーに負担をかけることなく、Webサイトの価値を守るソリューションです。攻撃パターンに合致するかどうかだけで判断するのではなく、ネットワーク環境や利用しているブラウザー、ユーザーの挙動の特徴なども踏まえてBotを検知します。

※Human Challenge:PerimeterX社(現在のHuman Security社)が開発した独自技術で、CAPTCHAに比べ、ユーザーに関する詳細な行動データを収集し、高精度に人かBotかを判断します。

紹介動画

  • 【Bot対策】あなたのWebサイトは大丈夫?不正ログインなど悪質なアクセスの正体
  • 再生時間: 54秒
  • ニューノーマル時代の今、顧客向けオンラインサービスの提供が加速している中、不正ログインによる個人情報漏洩など目に見えない悪質なBotによるセキュリティ被害が起きています。
    悪質なBotアクセスの遮断に有効な「PerimeterX Bot Defender」をご紹介します。
    ※PerimeterX Bot DefenderはHUMAN Bot Defenderに名称が変更となりました。

特長

AI技術(機械学習)を活用して、Botを検知

AI技術と独自の振る舞い分析技術によりアクセス者が人かBotかを判断。Botからのアクセスと疑われる場合に独自技術Human Challengeによる認証テストを表示し、人によるアクセスかどうかを判定します。判定結果をAIにフィードバックし、自動的に学習することで識別精度を高めます。その結果、誤検知率も非常に低く、Botを検知することができます。

独自技術により、サイト離脱率を低減

独自技術Human Challengeの導入で、従来のBot対策製品より誤検知を少なくし、サイト離脱率を低減します。Human Challengeは「長押し」の簡単な操作で人かBotかを判定するためUIの向上につながります。実際、Human ChallengeとCAPTCHAの解くのにかかる時間を比べるとHuman Challengeの方が4から6倍速い結果となりました。CAPTCHAよりも解きやすいHuman Challengeはサイトからの離脱率も1/3から1/5と低い結果となっています。

※出典:Human Security社「Human Challenge」

独自技術Human Challengeによる検証画面

独自技術Human Challengeによる認証テストの画面

WAFでは防ぐことができない攻撃を防ぐ

Botは人による正常なアクセスを装ってWebサイトにアクセスします。Webアプリケーションの脆弱性を悪用するアクセスではないため、従来のWAFではBotを防ぐことができません。HUMAN Bot DefenderはこのようなBotのアクセスを防ぎます。

さまざまなプラットフォームに対応

Webサーバーだけではなく、ロードバランサーやCDN、サーバーレス環境、クラウド環境など、さまざまな環境への導入が可能です。ネットワーク機器間に導入するインライン型ではないため、既存環境の構成変更はほとんどありません。 また、AndroidやiOSなどのモバイルアプリケーションに組み込めるSDK(Software Development Kit)も提供しています。

米国での豊富な実績

2016年4月に米国で販売開始して以来、大手スポーツブランドサイトや格安航空券比較サイトなどのB to C企業を中心に、500社を超える導入実績を有しています。また、HUMAN Bot Defenderを導入したECサイトの中には、Botによるアクセスを99%以上遮断して商品の買い占めや転売を防ぐことができたという高い効果を得ているECサイトもあります。

※出典:Human Security社 CASE STUDY「Shiekh Shoes Protects Hype Sales and Prevents ATO」

HUMAN Bot Defender 利用イメージ

AIでどのように人かBotかを識別するかの流れ図

AIでどのように人かBotかを識別するかの流れ図

価格

資料請求・お問い合わせボタンよりお問い合わせください。

最終更新日:2023年9月28日