bot case study | akamai...②無駄になった(既存と新規の)顧客獲得コスト( \¥¥)...
TRANSCRIPT
© 2018 Akamai | Public
日本も危ない!海外に学ぶ業種別のbot被害の実態と対策例
アカマイ・テクノロジーズ合同会社セキュリティ・セールス スペシャリスト 村田 慎
Stopping login abuse
TOP CREDIT UNION
46,230 legitimate login requests / hour
8,723 malicious login requests / hour
800 malicious login requests / hour
Botnet #1
• Requests – 94,296 (average 9/min)
• Clients – 2 IPs, same UA
Botnet #3
• Requests – 5,286 (average 0.5/min)
• Clients – 1500 IPs, 188 UAs
Botnet #2
• Requests – 190,487 (average 59/min)
• Clients – 10k+ IPs, 695 UAs
Legitimate and malicious requests to a
login endpoint for a top NA credit union
Human logins
4,251,661
Malicious logins
315,178
IP addresses
19,992
ASNs
1743
User agents
4,382
Average 0.00035 requests/min per IP
Stopping login abuse
FORTUNE 500 FSI
289,496 malicious login requests / hour
Credential stuffing attack against a login
endpoint for a Fortune 500 financial
services institution
Human logins
6,947,896
Malicious logins
8,502,762
IP addresses
10,000+
ASNs
4923
User agents
9,999
Top user agent
16.8% 14.0%
5.9% 5.4% 5.0% 4.9% 4.8% 4.2%3.0% 2.2%
VN US BR TH EC RU IN KR JP TW
Top countries
Top IP address
95% of all bot requests
gave the Samsung Galaxy
SM-G531H smartphone as
the user agent
The top IP was
responsible for 0.7%of the login requests seen in
this highly distributed attack
Bot Manager turned on in DENY
Flight search
TOP NA AIRLINE
289,743 bot requests / hour
Botnet #1
• Requests – 21,683,163 (average 2k/min)
• Clients – 10k+ IPs, same UA
Top IP Address
• Requests – 656,887 (average 65/min)
Botnet #2
• Requests – 4,136,797 (average 410/min)
• Clients – 10k+ IPs, same UA
Human and automated requests to a
flight search page for a top NA airline
Human requests
11,698,876
Bot requests
41,511,759
IP addresses
10,000+
ASNs
6523
User agents
10,000+
11,198 bot requests / second
248 human requests / second
11,198 bot requests / second
248 human requests / second
Botnet #1
• Requests – 156m (average 164/sec)
• Clients – 8,114 IPs, 50 ASNs, 64% HK
Botnet #3
• Requests – 114m (average 119/sec)
• Clients – 10,000 IPs+, 208 ASNs, 42% AU
Botnet #2
• Requests – 154m (average 162/sec)
• Clients – 9,223 IPs, 25 ASNs, 79% SG
Inventory grabbing
ONLINE RETAILER
Online retailer with high profile sales
events with high demand, limited edition
goods being horded by bots
Human requests
130,914,857
Bot requests
501,907,868
IP addresses
1,806,348
ASNs
31,084
User agents
94,668
Managing financial aggregators
TOP 10 GLOBAL FSI
Managing the performance impact of
financial aggregators during the daily
market open
Yodlee
48,772,721
Intuit
4,339,473
Morningstar
1,934,441
eMoney
1,222,638
Other
1,115,787
711,050 aggregator requests / hour
0 aggregator requests / hour
3,504,507 human requests / hour
Grow revenue opportunities with fast, personalized
web experiences and manage complexity from peak
demand, mobile devices and data collection.
米Akamaiの事例から整理した
悪性Botがもたらす、ビジネスとITインパクトの典型課題とコスト試算式例
I. 第3者(*)によるコンテンツ利用 ((*)犯罪者、委託業者、競合)
① 逸失顧客数と逸失売上高 (▲\¥¥)② 無駄になった(既存と新規の)顧客獲得コスト(▲\¥¥)
II. パスワードリスト型攻撃① 既存の不正アクセス防止ソリューションのコスト(▲\¥¥)② 不正取引額(▲\¥¥)③ アカウント乗っ取り修復コスト(▲\¥¥)④ 解約による逸失顧客価値(▲\¥¥)
III.買占め(不正転売)① 正規ユーザーからの逸失売上高(▲\¥¥)② 逸失新規顧客数と売上高(▲\¥¥)
IV. ITインフラへのインパクト① 悪性Botのトラフィックに割かれるインフラコスト(▲\¥¥)② 悪性Botのトラフィック対応に割かれるエンジニアコスト(▲\¥¥)③ 悪性Botトラフィック起因の性能劣化/システムダウンによる売上減(▲\¥¥)
悪性Botによる被害額の算出項目例(▲¥¥¥/月)
© 2018 Akamai | Public
Ⅰ:誰が、何のために Ⅱ:どのような手段で Ⅲ:ターゲットの何を
政治対立
犯罪
社会的主義主張(Hacktivism)
防御戦略
脆弱性
IoTボットネット
仮想通貨
闇Web
企業セキュリティ• 本社• 子会社• 海外グループ企業
防御戦略
攻撃者のROIを下げる アタックサーフェイスへの
網羅的防御 多層防御
防御側のシュミレーション 有事の機会損失額の算出 トップの関与
セキュリテイ対策のマクロ整理攻撃主体とその目的、手法、企業の防御戦略
攻撃者優位
Avoid data theft and downtime by extending the
security perimeter outside the data-center and
protect from increasing frequency, scale and
sophistication of web attacks.
[1] DDoS攻撃
[3]漏洩ID/Botを利用した攻撃[2]Web脆弱性への攻撃
DDoS用の大規模なIoT Botnetの利用
DDoS as a Smokescreen
DarkWebにおける漏洩IDの累積と流通
① 巨大化② 巧妙化(HTTP(S))③ 守りの弱いAttack Surfaceへの狙い撃ち
① 新たな脆弱性の利用② 公開APIへの攻撃③ 守りの弱いAttack Surface
への狙い撃ち
① 進化したリスト型アタック② 買占め・ポイント不正利用➢ Low and Slow➢ Volumetric
[1]⇒[2] [1]⇒[3]
[2]⇒[3]
仮想通貨IoT Botnet Dark Web
攻撃者優位の時代
Web Securityのマクロ動向
© 2018 Akamai | Public
[1] DDoS攻撃
[2]Web脆弱性への攻撃
[3]漏洩ID/Botを利用した攻撃
DDoS防御 WAF
ここをどうするか?
Bot Risk
Management
Web Securityにおける多層防御
© 2018 Akamai | Public
第3者調査によるBot Risk Management(BRM)市場シエア専用ソリューションの市場形成
© 2018 Akamai | Public
防御戦略・構え (従来型手法IP・閾値ベース/オンプレミスの限界)
Dark Web
IoT-BotNet….
攻撃者
不正ログイン試行(リスト型攻撃)
超分散IPからなるIoT-BotNet➢ CAPTCHAバイパス機能有
複数ターゲット企業への攻撃 Low&Slow or Volumetric な分散攻撃
➢ Low&Slow ⇒例:2分に1回➢ Volumetric⇒Application DDoS
防御戦略
超分散プラットフォームによる防御
企業・業界横断的な知見に基づくリアルタイム検知(Machine Learning機能の活用)
(*) 英語圏では、OWASP定義の「Credential Stuffing」の名称が使われる
SIGN IN BAG SIGN IN BAG
LOGIN CREATE ACCOUNT
Website GIFT CARD
SIGN IN BAG
URLsログイン 買い物カート アカウント新規登録 ポイント交換 カートAPI
SIGN IN BAGSIGN IN BAG
ログイン API
モバイルアプリClients
デスクトップブラウザー モバイルブラウザーパートナーボット 悪性ボット
パスワードリセット
(*)
(*) 問合せフォーム、検索なども適用例あり
© 2018 Akamai | Public
Bot Trafficの量、件数 Unknown Bot検知の理由 Unknown BotのSource(国、IP、AS(ISP)) Unknown Botのアクセス先URL、ページ
➢ 可視化⇒課題論点抽出(ビジネス・IT観点)⇒仮説(Who、How、Why)
Akamai Bot ManagerのPOCによる課題可視化のご提案
© 2018 Akamai | Public