WAFでは防げない高度なbotアクセス、被害事例を基に考える効果的な対策方法とは

要約

　これまでbotといえば、スパムメールの送信やDDoS攻撃が主だった。しかし最近では、ECサイトへの不正ログインや商品の買い占め・転売、スクレイピング（Webコンテンツ自動収集）やアドフラウド（広告詐欺）など、金銭的利益を直接得られる高度な手法が使われるようになり、実際に被害が多発している。

　こうしたbotによるアクセスは、脆弱性を悪用するものではないため、WAFで防ぐことは難しい。解決策としては、人間とbotを識別する「CAPTCHA」があるが、導入するとサイトの利便性が下がり、利用者が離れていってしまう危険性もある。そこで注目したいのが、アクセス者の“ふるまい”を基に、AIが人かbotかを識別するサービスだ。人と判断したときにはCAPTCHAを表示しないため、UXを低下させることなくbotを防ぐことが可能だ。

　識別に利用する情報は非同期で収集され、サイトのレスポンスに影響しない他、クラウドで提供されるサービスのため、既存環境を大幅に変更せずに導入が可能な点も魅力となっている。本資料では、botによる昨今の被害事例を挙げるとともに、UXを低下させずに高度なbot対策を実現する同サービスの特長について、詳しく紹介する。