静的分析
静的分析とは、MBUSTER APIのリクエストが行われた時点でリクエストを分析し、マクロかどうかを判断する技術です。
MBUSTER APIを呼び出す際には、次の情報が含まれます。
| 情報 | 説明 | 必須項目 |
|---|---|---|
| HTTPリクエストヘッダー | APIリクエスト時に使用されるHTTPリクエストのヘッダー情報 | 必須 |
| アクセス者のIP | アクセス者のIPアドレスを表します。 | 必須 |
| アクセス者の個人識別ID | 端末を識別するために端末ごとに発行される個人識別ID | 必須 |
| ログインID | ターゲットサイトにログインしてセッションIDが存在する場合のみ使用 | 必須 |
WEBサービスを利用するすべてのクライアントは、一般的なアクセス者、マクロユーザー、ボットの区別なくHTTPベースで通信し、常にリクエスト-レスポンスの関係でWEBサービスを利用します。この時のリクエスト情報を静的に分析し、マクロを検出します。
リクエスト情報を分析する方法と目的によって、具体的なポリシーが区別されます。
ヘッダー分析によるブロック (重要度: 必須)
- 基本的に、ヘッダー情報に悪質なボットと規定されたuser-agent値が含まれている場合を検出します。
- 次の検出モジュールを使用して、ヘッダー情報に最終的に検出情報を含め、ヘッダー情報が悪意を持って変更された場合でも最終的に検出可能です。
- 開発者ツール検出モジュール: 開発者ツールを使用した場合、異常な利用者とみなし、ヘッダー情報に開発者ツール検出識別情報を含めます。
- セレニウム検出モジュール: セレニウムのような自動化ツール(マクロ)を使用してアクセスした場合を検出し、ヘッダー情報にセレニウム検出識別情報を含めます。
- 検出例としては、セレニウムを使用してアクセスした場合があります。
IP管理によるブロック (重要度: 必須)
- MBUSTERには、悪質なボットと分類された約3万の源IPが含まれており、これらの起源からのアクセスをブロックします。
- 管理者が手動でブロックしたいIPを追加し、ブロックします。
- 検出例としては、ブロックIPでアクセスした場合があります。
アクセス統計分析によるブロック (重要度: 推奨)
- アクセス者の個人識別IDを使用して端末ごとの平均アクセス量を収集します。この統計データを基に、過度のアクセスの割合(閾値%)を設定し、過度のアクセス者には二次認証を要求します。
- アクセス回数の基準は直近5分間の数値を基にします。
- 検出例としては、平均アクセス量が20回で閾値が100%の場合、アクセス回数が40回を超えた場合に検出されます。