ボット攻撃とのイタチごっこを終わらせるCloudflareの「ボット対策機能」

Webサイトを運営する企業にとって、今やボットによるトラフィックは無視できない脅威となっています。
かつてのボットといえば、単純なスパムコメントを投稿する程度のものが主流でしたが、昨今のボットは巧妙化しています。

具体的には、ECサイトでの買い占めや、リスト型攻撃による不正ログイン試行、さらには競合他社による執拗なコンテンツのスクレイピングなど、その被害は多岐にわたります。
これらの攻撃は、サーバー負荷の増大によるコスト増や、重要な顧客情報の流出といった深刻な経営リスクに直結します。

多くの現場では、こうした被害を食い止めるために現場の担当者が日々対策に追われていますが、従来の手法では限界が見え始めているのが実情です。

Cloudflareの機能を活用すれば、迷惑なボットを遮断することができます。

従来の「IP指定」はイタチごっこ

ボットとの戦いにおいて、最も原始的な手法がIPアドレスによる個別ブロックです。
しかし、現代のボットは数百、数千という分散されたIPアドレスを使い分け、執拗に攻撃を繰り返します。

管理者が手動でひとつずつリストに登録している間に、攻撃側は次々と新しいアドレスへと乗り換えていくため、実質的に終わりのない「イタチごっこ」に陥ってしまいます。
手作業でIP制限を登録することは限界があり、現実的ではありません。

特定の国を指定したブロック

IP指定の一歩先として、特定の国からのトラフィックを丸ごと遮断する手法があります。
攻撃者が特定の国から発信している場合、この方法で遮断できます。

しかし、これも恒久的な解決策にはなり得ません。
ボット側がターゲットと同じ国内のプロキシを経由すれば容易に回避できてしまうからです。

IPの指定や国の指定以外に、Cloudflareではより恒久的な対策が実施できます。

Cloudflare「レート制限」を使用した挙動ベースの防御

より実戦的な対策として利用できるのが「レート制限（Rate Limiting）」です。
これは接続元がどこであるかではなく、行動をベースにした制限です。

例えば、数秒間に1000回以上のリクエストを投げるような、人間には不可能なスピードの操作を検知し、自動的に遮断できます。
実際特に利用されるのが、攻撃に狙われやすいお問い合わせや申し込み、ログインページなどのフォームページです。

レート制限を使用すれば不正ログイン重複試行や、スパム投稿を効果的に食い止めることが可能です。
※Proプランから利用可能

Cloudflare「Super Bot Fight Mode」で自動化トラフィックを根絶する

さらに強力な一手となるのが、「Super Bot Fight Mode」です。
これは、Cloudflareが世界中のトラフィックから学習した膨大なインテリジェンスを活用し、ボット特有の細かな挙動や通信のクセをAIが瞬時に判別する機能です。

管理者が個別のルールを書き足さずとも、スイッチひとつで「自動化されたトラフィック」を正確に識別し、ブロックやチャレンジを実行させて適切に遮断できます。
※Proプランから利用可能

これまでエンジニアを悩ませてきたボット問題の大部分は、
「レート制限」と「Super Bot Fight Mode」を活用することで解消させることが可能です。