bot case study | akamai...②無駄になった(既存と新規の)顧客獲得コスト( \¥¥)...

15
© 2018 Akamai | Public 日本も危ない!海外に学ぶ 業種別のbot被害の実態と対策例 アカマイ・テクノロジーズ合同会社 セキュリティ・セールス スペシャリスト 村田 慎

Upload: others

Post on 01-Jun-2020

0 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: Bot Case Study | Akamai...②無駄になった(既存と新規の)顧客獲得コスト( \¥¥) ii. パスワードリスト型攻撃 ①既存の不正アクセス防止ソリューションのコスト(

© 2018 Akamai | Public

日本も危ない!海外に学ぶ業種別のbot被害の実態と対策例

アカマイ・テクノロジーズ合同会社セキュリティ・セールス スペシャリスト 村田 慎

Page 2: Bot Case Study | Akamai...②無駄になった(既存と新規の)顧客獲得コスト( \¥¥) ii. パスワードリスト型攻撃 ①既存の不正アクセス防止ソリューションのコスト(

Stopping login abuse

TOP CREDIT UNION

46,230 legitimate login requests / hour

8,723 malicious login requests / hour

800 malicious login requests / hour

Botnet #1

• Requests – 94,296 (average 9/min)

• Clients – 2 IPs, same UA

Botnet #3

• Requests – 5,286 (average 0.5/min)

• Clients – 1500 IPs, 188 UAs

Botnet #2

• Requests – 190,487 (average 59/min)

• Clients – 10k+ IPs, 695 UAs

Legitimate and malicious requests to a

login endpoint for a top NA credit union

Human logins

4,251,661

Malicious logins

315,178

IP addresses

19,992

ASNs

1743

User agents

4,382

Average 0.00035 requests/min per IP

Page 3: Bot Case Study | Akamai...②無駄になった(既存と新規の)顧客獲得コスト( \¥¥) ii. パスワードリスト型攻撃 ①既存の不正アクセス防止ソリューションのコスト(

Stopping login abuse

FORTUNE 500 FSI

289,496 malicious login requests / hour

Credential stuffing attack against a login

endpoint for a Fortune 500 financial

services institution

Human logins

6,947,896

Malicious logins

8,502,762

IP addresses

10,000+

ASNs

4923

User agents

9,999

Top user agent

16.8% 14.0%

5.9% 5.4% 5.0% 4.9% 4.8% 4.2%3.0% 2.2%

VN US BR TH EC RU IN KR JP TW

Top countries

Top IP address

95% of all bot requests

gave the Samsung Galaxy

SM-G531H smartphone as

the user agent

The top IP was

responsible for 0.7%of the login requests seen in

this highly distributed attack

Bot Manager turned on in DENY

Page 4: Bot Case Study | Akamai...②無駄になった(既存と新規の)顧客獲得コスト( \¥¥) ii. パスワードリスト型攻撃 ①既存の不正アクセス防止ソリューションのコスト(

Flight search

TOP NA AIRLINE

289,743 bot requests / hour

Botnet #1

• Requests – 21,683,163 (average 2k/min)

• Clients – 10k+ IPs, same UA

Top IP Address

• Requests – 656,887 (average 65/min)

Botnet #2

• Requests – 4,136,797 (average 410/min)

• Clients – 10k+ IPs, same UA

Human and automated requests to a

flight search page for a top NA airline

Human requests

11,698,876

Bot requests

41,511,759

IP addresses

10,000+

ASNs

6523

User agents

10,000+

Page 5: Bot Case Study | Akamai...②無駄になった(既存と新規の)顧客獲得コスト( \¥¥) ii. パスワードリスト型攻撃 ①既存の不正アクセス防止ソリューションのコスト(

11,198 bot requests / second

248 human requests / second

11,198 bot requests / second

248 human requests / second

Botnet #1

• Requests – 156m (average 164/sec)

• Clients – 8,114 IPs, 50 ASNs, 64% HK

Botnet #3

• Requests – 114m (average 119/sec)

• Clients – 10,000 IPs+, 208 ASNs, 42% AU

Botnet #2

• Requests – 154m (average 162/sec)

• Clients – 9,223 IPs, 25 ASNs, 79% SG

Inventory grabbing

ONLINE RETAILER

Online retailer with high profile sales

events with high demand, limited edition

goods being horded by bots

Human requests

130,914,857

Bot requests

501,907,868

IP addresses

1,806,348

ASNs

31,084

User agents

94,668

Page 6: Bot Case Study | Akamai...②無駄になった(既存と新規の)顧客獲得コスト( \¥¥) ii. パスワードリスト型攻撃 ①既存の不正アクセス防止ソリューションのコスト(

Managing financial aggregators

TOP 10 GLOBAL FSI

Managing the performance impact of

financial aggregators during the daily

market open

Yodlee

48,772,721

Intuit

4,339,473

Morningstar

1,934,441

eMoney

1,222,638

Other

1,115,787

711,050 aggregator requests / hour

0 aggregator requests / hour

3,504,507 human requests / hour

Page 7: Bot Case Study | Akamai...②無駄になった(既存と新規の)顧客獲得コスト( \¥¥) ii. パスワードリスト型攻撃 ①既存の不正アクセス防止ソリューションのコスト(

Grow revenue opportunities with fast, personalized

web experiences and manage complexity from peak

demand, mobile devices and data collection.

米Akamaiの事例から整理した

悪性Botがもたらす、ビジネスとITインパクトの典型課題とコスト試算式例

I. 第3者(*)によるコンテンツ利用 ((*)犯罪者、委託業者、競合)

① 逸失顧客数と逸失売上高 (▲\¥¥)② 無駄になった(既存と新規の)顧客獲得コスト(▲\¥¥)

II. パスワードリスト型攻撃① 既存の不正アクセス防止ソリューションのコスト(▲\¥¥)② 不正取引額(▲\¥¥)③ アカウント乗っ取り修復コスト(▲\¥¥)④ 解約による逸失顧客価値(▲\¥¥)

III.買占め(不正転売)① 正規ユーザーからの逸失売上高(▲\¥¥)② 逸失新規顧客数と売上高(▲\¥¥)

IV. ITインフラへのインパクト① 悪性Botのトラフィックに割かれるインフラコスト(▲\¥¥)② 悪性Botのトラフィック対応に割かれるエンジニアコスト(▲\¥¥)③ 悪性Botトラフィック起因の性能劣化/システムダウンによる売上減(▲\¥¥)

悪性Botによる被害額の算出項目例(▲¥¥¥/月)

Page 8: Bot Case Study | Akamai...②無駄になった(既存と新規の)顧客獲得コスト( \¥¥) ii. パスワードリスト型攻撃 ①既存の不正アクセス防止ソリューションのコスト(

© 2018 Akamai | Public

Ⅰ:誰が、何のために Ⅱ:どのような手段で Ⅲ:ターゲットの何を

政治対立

犯罪

社会的主義主張(Hacktivism)

防御戦略

脆弱性

IoTボットネット

仮想通貨

闇Web

企業セキュリティ• 本社• 子会社• 海外グループ企業

防御戦略

攻撃者のROIを下げる アタックサーフェイスへの

網羅的防御 多層防御

防御側のシュミレーション 有事の機会損失額の算出 トップの関与

セキュリテイ対策のマクロ整理攻撃主体とその目的、手法、企業の防御戦略

攻撃者優位

Page 9: Bot Case Study | Akamai...②無駄になった(既存と新規の)顧客獲得コスト( \¥¥) ii. パスワードリスト型攻撃 ①既存の不正アクセス防止ソリューションのコスト(

Avoid data theft and downtime by extending the

security perimeter outside the data-center and

protect from increasing frequency, scale and

sophistication of web attacks.

[1] DDoS攻撃

[3]漏洩ID/Botを利用した攻撃[2]Web脆弱性への攻撃

DDoS用の大規模なIoT Botnetの利用

DDoS as a Smokescreen

DarkWebにおける漏洩IDの累積と流通

① 巨大化② 巧妙化(HTTP(S))③ 守りの弱いAttack Surfaceへの狙い撃ち

① 新たな脆弱性の利用② 公開APIへの攻撃③ 守りの弱いAttack Surface

への狙い撃ち

① 進化したリスト型アタック② 買占め・ポイント不正利用➢ Low and Slow➢ Volumetric

[1]⇒[2] [1]⇒[3]

[2]⇒[3]

仮想通貨IoT Botnet Dark Web

攻撃者優位の時代

Web Securityのマクロ動向

Page 10: Bot Case Study | Akamai...②無駄になった(既存と新規の)顧客獲得コスト( \¥¥) ii. パスワードリスト型攻撃 ①既存の不正アクセス防止ソリューションのコスト(

© 2018 Akamai | Public

[1] DDoS攻撃

[2]Web脆弱性への攻撃

[3]漏洩ID/Botを利用した攻撃

DDoS防御 WAF

ここをどうするか?

Bot Risk

Management

Web Securityにおける多層防御

Page 11: Bot Case Study | Akamai...②無駄になった(既存と新規の)顧客獲得コスト( \¥¥) ii. パスワードリスト型攻撃 ①既存の不正アクセス防止ソリューションのコスト(

© 2018 Akamai | Public

第3者調査によるBot Risk Management(BRM)市場シエア専用ソリューションの市場形成

Page 12: Bot Case Study | Akamai...②無駄になった(既存と新規の)顧客獲得コスト( \¥¥) ii. パスワードリスト型攻撃 ①既存の不正アクセス防止ソリューションのコスト(

© 2018 Akamai | Public

防御戦略・構え (従来型手法IP・閾値ベース/オンプレミスの限界)

Dark Web

IoT-BotNet….

攻撃者

不正ログイン試行(リスト型攻撃)

超分散IPからなるIoT-BotNet➢ CAPTCHAバイパス機能有

複数ターゲット企業への攻撃 Low&Slow or Volumetric な分散攻撃

➢ Low&Slow ⇒例:2分に1回➢ Volumetric⇒Application DDoS

防御戦略

超分散プラットフォームによる防御

企業・業界横断的な知見に基づくリアルタイム検知(Machine Learning機能の活用)

(*) 英語圏では、OWASP定義の「Credential Stuffing」の名称が使われる

Page 13: Bot Case Study | Akamai...②無駄になった(既存と新規の)顧客獲得コスト( \¥¥) ii. パスワードリスト型攻撃 ①既存の不正アクセス防止ソリューションのコスト(

SIGN IN BAG SIGN IN BAG

LOGIN CREATE ACCOUNT

Website GIFT CARD

SIGN IN BAG

URLsログイン 買い物カート アカウント新規登録 ポイント交換 カートAPI

SIGN IN BAGSIGN IN BAG

ログイン API

モバイルアプリClients

デスクトップブラウザー モバイルブラウザーパートナーボット 悪性ボット

パスワードリセット

(*)

(*) 問合せフォーム、検索なども適用例あり

Page 14: Bot Case Study | Akamai...②無駄になった(既存と新規の)顧客獲得コスト( \¥¥) ii. パスワードリスト型攻撃 ①既存の不正アクセス防止ソリューションのコスト(

© 2018 Akamai | Public

Bot Trafficの量、件数 Unknown Bot検知の理由 Unknown BotのSource(国、IP、AS(ISP)) Unknown Botのアクセス先URL、ページ

➢ 可視化⇒課題論点抽出(ビジネス・IT観点)⇒仮説(Who、How、Why)

Akamai Bot ManagerのPOCによる課題可視化のご提案

Page 15: Bot Case Study | Akamai...②無駄になった(既存と新規の)顧客獲得コスト( \¥¥) ii. パスワードリスト型攻撃 ①既存の不正アクセス防止ソリューションのコスト(

© 2018 Akamai | Public