「Bot（ボット）」という言葉を一度は耳にしたことがあるのではないでしょうか。
インターネット上でBotトラフィックが占める割合は約50%(*1)にも及びます。
その中には無害な良性Botも含まれますが、個人情報の収集など悪意のある悪性Botも確認されています。

特にWebアプリケーションやAPIを狙った攻撃は巧妙化しており、従来のセキュリティ対策だけでは防ぎきれないケースも少なくありません。
こうした背景から、Botトラフィックの可視化と制御は、アプリケーションセキュリティにおける最優先課題の一つとなっています。

*1 出典：https://www.f5.com/labs/articles/threat-intelligence/2025-advanced-persistent-bots-report

• 善用が目的のBot
  チャットボットによる定型業務の自動化や、サーチボットによる情報提供など、通常利用において良性Botを活用することで、業務の自動化・効率化が可能になります。
  
  チャットボット
  お客様窓口が問い合わせを受けた際、定型の質問などはチャットボットに自動で対応させることで、オペレータの負担を軽減できます。その結果、オペレータは複雑で対応が必要な問い合わせに集中できるようになります。
  
  サーチボット
  検索エンジンで検索結果を表示するためのデータベースを作成する際に、サーチボットが世の中のホームページを自動的に巡回し情報を集めます。
  
  
• 悪用が目的のBot
  反対に、攻撃者は悪意のある内容を実行させ、アカウントの不正取得や個人情報の窃取、業務妨害などを目的としたCredential Stuffingを実行するBotやDDoS Bot、スパムBotなどの悪性Botを実行し、自動化した攻撃を仕掛けてきます。
  
  Credential Stuffing
  漏洩したユーザ名とパスワードを使用して、ログインを試行します。複数のシステムで同一のユーザ名とパスワードを使用するユーザが多いことを利用した攻撃です。
  
  DDoS Bot
  複数のコンピュータから同時にアクセスを集中させ、サーバやサービスを一時的に使えないようにする攻撃用のBotです。
  
  F5 XCのDDoS防御については、以下のブログでもご紹介しています。
  DDoSへの対策 <F5 XCのDDoS防御>
  
  スパムBot
  広告や詐欺リンクなどの不要なコンテンツを大量に自動投稿するBotです。企業サイトやSNSを狙い、ユーザ体験を妨げたり、セキュリティリスクを引き起こすことがあります。

今回は、その「Bot」に対するF5社のF5 Distributed Cloud Services Web Application & API protection（以降、F5 XC WAAPと表記）を利用したアプリケーション保護についてご紹介させていただきます。

悪性Botからアプリケーションを守るためにF5 XC WAAPには以下のBot対策機能があります。

• Bot Signature based Protection
  F5社では、一般的なAttack Signatureとは別にBotに関するSignature（Bot Signature）を提供しています。Bot Signatureの更新はF5社により実施されるため、管理者が更新作業をする必要はありません。
  
  Bot Signatureにより、良性の”Good Bot”、疑わしい” Suspicious Bot”、悪性の” Malicious Bot”に分類し、それぞれのリクエストに対するアクションを下記Block、Report、Ignoreから設定できます。

• JavaScript / Captcha Challenge
  リクエストに対して、JavaScript ChallengeやCaptcha Challengeを実施することで、ユーザが人かBotかを判別する機能を導入できます。
  
  JavaScript Challenge
  新しいHTTPリクエストごとにJavaScriptを含むページにリダイレクトし、JavaScriptを実行できるクライアント（主にブラウザ）だけにアクセスを許可します。
  JavaScriptがブラウザ上で複雑な計算を実行し、クライアントは結果をリクエストに含めて送信します。
  F5 XC WAAPでは、その答えを検証し結果が正しい場合のみリクエストを許可します。
  
  Captcha Challenge
  皆さんもWebサイトに訪問した際に、
  ・「私はロボットではありません」にチェックをつける
  ・自転車や信号の画像を選択する
  といった経験をしたことがあると思います。
  これらはユーザが人かBotかを判別するための"CAPTCHA"という技術で、F5 XC WAAPにおいても簡単に利用することができます。

• Rate Limit
  攻撃者がBotによる自動化された大量のリクエストを送信する攻撃から守る手段として、指定した一定期間内で許可するリクエスト量を制限することができます。
  対象リクエストに関しては、送信元の条件（IP / AS Number / 国など）やリクエスト内容を用いた条件を使って、絞り込むことも可能です。
  期間と許容するリクエスト数は、以下の設定の組み合わせにより指定が可能です。

　設定を以下の通り実施した場合、1秒間に5リクエストを許容します。ただし、Burst
　Multiplierを設定しているため、一時的なトラフィック増の際には、[Number Of
　Requests]×[Burst Multiplier] = 5×10 = 50 リクエストまでを許容します。

　・Number Of Requests：5
　・Per Period：Seconds
　・Periods：1
　・Burst Multiplier：10

• Bot Defense
  Botには機械的な操作しか実行できない低機能Botと人の操作を模倣する高機能Botが存在します。高機能Botには、ここまでご紹介した防御機能を突破できるBotも存在します。
  Bot Defense Standardでは、テレメトリ（シグナル情報）を収集・分析し、高機能なBotも含めて人によるアクセスとBotによるアクセスを識別します。そのうえで悪性Botを識別・制御することで、自動化されたBot攻撃からアプリケーションを守ります。機械的に識別・検査するような単純な検出方法ではなく、「誰が」、「どのように」、「どこから」という3つのカテゴリのシグナル情報をAI/MLによって分析し、新しいBotや人を模倣した高機能Botを検出します。
  Bot Defenseでは以下の攻撃およびOWASPが定義した自動化された各脅威からアプリケーションを守ります。

さらに、Bot Defense Advancedをご利用いただくとF5社のSOCチームがお客様と連携して、導入・運用を行います。F5社のSOCチームは、アプリケーションに合わせたポリシ制御とルールセットの作成をサポートします。
F5社のSOCチームは、24時間365日体制でトラフィックを動的に監視し、新しい脅威の発見と対応も行います。SOCチームからの通知を受け取ることができます。

今回は、F5 XC WAAPで利用できるBot対策をご紹介しました。

社会的にBotの活用が進む中、攻撃者もBotで自動化させてより効率的に攻撃を仕掛けてきます。そんなBot攻撃からアプリケーションを守るために、ぜひF5 XC WAAPの導入をご検討ください。

また、F5 XC WAAPは他にも様々な機能があり、弊社ブログでご紹介しておりますので、ご覧ください。

F5 XC WAAPにご興味ございましたら、お気軽に弊社までお問い合わせください。

最後までご覧いただきありがとうございました。