※本ブログは米国時間2025年3月16日に公開されたA10本社ブログの日本語訳です。原文はこちらからご覧ください。
現在、インターネットトラフィックのほぼ50%はボットによるものです。すべてが悪質というわけではありません。ウェブをインデックス化するウェブクローラや、API、サーバ、ウェブサイトの稼働状況をチェックする稼働状況監視ツールなどは、正当な目的で利用されています。しかし、この統計は、私たちが直視しなければならない新たな現実を浮き彫りにしています。アプリケーションにアクセスするもののほぼ半分は、人間ではないということです。
AIベースのボットの台頭によって、単にボットをブロックするだけでは不十分・不適切となってしまいました。どの自動化が正当なもので、どれが悪意のあるもので、どれが正当に見せかけようとしているのかを見極めることが課題となっています。組織がこれらの違いを効果的に区別できない場合、その損失は甚大なものになりかねません。小売業界だけでも、不正行為による収益損失は、防止および回復コストを約300%増加させる結果となっています。金銭的損失だけでなく、業務上の混乱、顧客からの信頼の低下、そして取り返しのつかないブランドイメージの毀損といった問題にもつながります。アプリケーションを適切に保護できるソリューションは、プラットフォームとしてコンテキストに基づいて動作し、情報を関連付けることができる必要があります。
ボットの阻止がこれまで以上に困難になっている理由
ボット攻撃が、ブルートフォース攻撃やフラッド攻撃のように分かりやすいものであれば、これははるかに単純な問題だったでしょう。しかし、現代のボット攻撃の振る舞いは異なります。
今日のボット攻撃は、正規ユーザを模倣するように設計されたAI駆動型技術の活用が増えているのです。
- 人間のようなナビゲーションパターン:人間がウェブページを操作するのと同じように操作する
- 隠蔽性の高い取引頻度:人目に触れない頻度で取引を実行する
- 偽造されたAPIワークフロー: AIはAPI内のビジネスロジックタイプの脆弱性を発見し、攻撃者が機密情報にアクセスできる有効なワークフローを生成する可能性がある
これらの事例に共通するのは、ビジネスロジックの悪用です。これらのボットは、悪意ある行動をとっているものの、技術的にはルールの範囲内であるという振る舞いをすることで、その悪意を隠蔽しているのです。
例えば、私が授業計画を進めている教師だとしましょう。生徒たちが授業を時間通りに終えられないように妨害しようとしています。生徒たちが明らかに騒ぎ立てたり、全く関係のない質問をしたりしている場合は、無視するか、教室から追い出すべきだとすぐに分かります。彼らの妨害行為は明白です。しかし、一見すると洞察力に富んだ質問をしているように見える生徒が、実際には授業計画の進行を妨害しようとしている場合はどうでしょうか?その生徒が好奇心旺盛なのか、それとも単に授業計画の完了を妨害しようとしているだけなのか、どのように見分ければ良いのでしょうか?
一言で言えば、「コンテキスト」です。コンテキストには、生徒の行動、過去の行動履歴、質問内容などが含まれます。これはセキュリティにおいても同様です。私たちは、正当な自動トラフィックと悪意のあるトラフィックを区別しようとしています。
多くの組織は、アプリケーション層への攻撃対策としてWAF、API対策としてAPIセキュリティツール、ボット対策としてボットマネージャ、そしてL7 DDoS対策としてWAFまたはL7 DDoS対策ソリューションなど、個別のソリューションを複数購入することでこの問題を解決しようと試みています。しかし、結果としてコストが増加し、運用が複雑化し、作業が重複し、アラートを手動で確認する必要が生じます。そのため、最終ターゲット(アプリケーション)を保護するという目的に対して、さらに統合システムを使用するというアプローチが必要になってしまいました。
ThreatXのアプローチ:ボットベクタだけでなく、アプリケーション全体を保護
ThreatXの意思決定エンジンは、「このトラフィックはボットか?」という問いから始めるのではなく、「どのようなトランザクションやエンティティが、どのような目的でアプリケーションを標的にしているのか?」という問いから始めます。
ThreatXはネットワーク上に直接配置され、アプリケーションエコシステムとやり取りするエンティティやトランザクションを監視します。これにより、AI駆動型か否かを問わず、ボットを含む攻撃や攻撃者をリアルタイムで阻止します。当社の意思決定エンジンは継続的に進化・学習し、危険とみなされる行動パターンを特定します。
ThreatXは、Hacker Mindが生成する適応型リスクスコアを使用しており、以下の要素で構成されています。
- 実戦で実証された機械学習アルゴリズム
- トランザクションベースの追跡(例えるなら、投げつけられた雪玉を追跡する)
- エンティティベースのトラッキング(雪玉遠投機そのものを追跡する)
- Hacker Mind を通じたクロスベクトル相関
初期の兆候(ボットのような微妙な挙動、異常なAPI使用、奇妙な認証フローなど)は、エンティティのリスクスコアを上昇させます。挙動がエスカレートしたり、複数の経路を横断したりする場合(例えば、APIの悪用後にL7 DDoS攻撃のような挙動が発生する場合)、ThreatXはそれらの活動を個別のイベントとして扱うのではなく、相関関係に基づいて分析します。
その結果、ボットが正規ユーザを装おうとした場合でも有効な、汎用的な攻撃者および攻撃プロファイルが構築されます。危険なエンティティや挙動を特定し、それらを即座に阻止することに重点を置いています。
WAPP:真の差別化要因
ここで、Webアプリケーション保護プラットフォーム(Web Application Protection Platform:WAPP)というアプローチが真の差別化要因となるのです。
ほとんどのベンダは、分野ごとのアプリケーションやソリューションを組み合わせて販売しています。
- ボット対策
- API保護
- WAF
- L7 DDoS
しかし、どのような手段を用いようとも、これらのツールはすべて最終的には同じもの、つまりアプリケーションを保護しようとしていることに違いはありません。
ThreatXは、ボット対策は追加機能だとして別販売することは行っていません。ボット対策は、アプリケーションを包括的に保護するために設計された統合プラットフォームのネイティブ機能です。保護機能が設計段階から統合されているため、ThreatXは、寄せ集めのソリューションでは得られないコンテキスト情報を取得できます。
これは、才能ある個人の集まりと、結束力のあるチームとの違いです。統合された防御は効果を高めますが、分断された防御は注目を集めようと競い合い、混乱を招きます。
ThreatXの活用事例
ある顧客環境では、既に複数の製品(CDN、WAF、API保護)が導入されていましたが、ボットは依然として大きな問題でした。そこで、ボット対策アドオンのPoC(proof-of-concept)を開始すると同時に、ThreatX by A10 Networksを評価しました。アーキテクチャ的には、ThreatXは既存のスタックの背後、つまりアプリケーションの上流、他のセキュリティツールの下流に配置されました。この配置により、ThreatXは他の4つの製品を通過する悪意のあるボット活動を明確に識別して阻止することができました。これだけでも、顧客がボット対策のPoCを終了するには十分でした。顧客は他の単機能なソリューションを削除し、ThreatXがWAPPとして複数の攻撃ベクトルを包括的に保護できるようにしました。予想通り、ThreatXはトラフィックと攻撃試行の増加を検出し始めました。ThreatXの包括的なHacker Mind意思決定エンジンによって可視化されたそれら攻撃の深さと高度さは、顧客にとって想定外のものでした。
人的要素:ThreatX SOCの重要性
ThreatXは単なるソフトウェアではありません。すべての導入事例には、専門家が管理するSOCチームが含まれ、お客様に代わって継続的に監視、調整、対応を行います。
これにより、三重のチェック効果が生まれます。
- ThreatXはアラートのリストを生成
- ThreatX自身による二重チェック
- アラートリストは、ThreatXのSOCチームメンバによってレビューされる
このようにして、最終的に確定したアラートリストが顧客のSOCチームに送信されます。
その結果、誤検知が減り、対応が迅速化され、多忙を極めるセキュリティチームの運用負担が大幅に軽減されるのです。
ThreatXは、お客様のアプリケーションを保護するための包括的なソリューション
ThreatXはインラインで動作し、アプリケーションエコシステム全体を攻撃や攻撃者から保護します。ボットは今日、最も一般的で破壊的な攻撃ベクトルの1つになりつつありますが、ThreatXは統合プラットフォームとしてボットから保護します。ボットがますます高度化し、適応性が高く、正規ユーザとの区別が難しくなっている世界では、アプリケーションを保護するには、単にツールを追加するだけでは不十分です。コンテキスト、相関関係、そしてプラットフォームが必要です。そのプラットフォームこそがWAPPなのです。
