翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS WAF ボットコントロールルールグループ
VendorName: AWS、名前:AWSManagedRulesBotControlRuleSet
Bot Control マネージドルールグループは、ボットからのリクエストを管理するルールを提供します。ボットは過剰なリソースを消費し、ビジネスメトリクスを歪め、ダウンタイムを引き起こし、悪意のあるアクティビティを実行する可能性があります。
保護レベル
Bot Control マネージドルールグループには、次の 2 レベルの保護から選択できます。
-
共通 – ウェブスクレイピングフレームワーク、検索エンジン、自動ブラウザなど、さまざまな自己識別ボットを検出します。このレベルの Bot Control 保護は、静的リクエストデータ分析など、従来のボット検出技術を使用して一般的なボットを識別します。ルールはこれらのボットからのトラフィックにラベルを付け、検証できないものはブロックします。
-
ターゲットを絞った – 一般的な保護機能に加え、自己識別を行わない高度なボットに対するターゲットを絞った検出機能も追加されています。ターゲットを絞った保護は、レート制限と CAPTCHA およびバックグラウンドブラウザのチャレンジの組み合わせを使用してボットアクティビティを軽減します。
TGT_– ターゲットを絞った保護を提供するルールには、TGT_で始まる名前が付いています。すべてのターゲットを絞った保護では、ブラウザ調査、フィンガープリント、行動ヒューリスティックなどの検出技術を使用して不正なボットトラフィックを識別します。TGT_ML_– 機械学習を使用するターゲットを絞った保護のルールには、TGT_ML_で始まる名前が付いています。これらのルールは、ウェブサイトのトラフィック統計を機械学習で自動分析し、分散的かつ協調的なボットの活動を示す異常な行動を検出します。 AWS WAF タイムスタンプ、ブラウザーの特性、以前にアクセスした URL など、Web サイトのトラフィックに関する統計を分析して、Bot Control の機械学習モデルを改善します。機械学習機能はデフォルトで有効になっていますが、ルールグループ設定で無効にすることができます。機械学習が無効になっている場合、 AWS WAF これらのルールは評価されません。
AWS WAF ターゲット保護レベルとレートベースのルールステートメントはどちらもレート制限を行います。この 2 つのオプションの比較については、「レートベースのルールとターゲットを絞った Bot Control ルールにおけるレート制限のオプション」を参照してください。
このルールグループの使用
このルールグループは、 AWS WAFでのインテリジェントな脅威の軽減保護の一部です。詳細については、AWS WAF インテリジェントな脅威軽減 を参照してください。
注記
このマネージドルールグループを使用する場合、追加料金が請求されます。詳細については、「AWS WAF の料金
コストを抑え、ウェブトラフィックを希望どおりに管理していることを確実にするには、インテリジェントな脅威の軽減のためのベストプラクティス のガイダンスに従ってこのルールグループを使用してください。
ボット予測を改善するために、ターゲット保護レベルの ML ベースのルールに合わせて機械学習 (ML) モデルを定期的に更新しています。ML ベースのルールにはで始まる名前が付いています。TGT_ML_これらのルールによるボットの予測に突然大きな変化が見られた場合は、アカウントマネージャーを通じて弊社に連絡するか、Center でケースをオープンしてください。AWS Support
Bot Control ルールグループは、SNS 更新通知を提供しません。
このルールグループによって追加されるラベル
このマネージドルールグループは、評価対象のウェブリクエストにラベルを追加します。このラベルは、ウェブ ACL 内のこのルールグループの後に実行されるルールでも使用できます。 AWS WAF また、ラベルを Amazon CloudWatch メトリックスに記録します。ラベルとラベルメトリクスに関する一般的な情報については、「ウェブリクエストのラベル」および「ラベルメトリクスとディメンション」を参照してください。
トークンラベル
AWS WAF このルールグループはトークン管理を使用して、 AWS WAF トークンのステータスに基づいてウェブリクエストを検査し、ラベルを付けます。 AWS WAF クライアントセッションの追跡と検証にトークンを使用します。
トークンおよびトークンの管理の詳細については、「AWS WAF Web リクエストトークン」を参照してください。
ここで説明するラベルコンポーネントについては、「ラベル構文と命名要件」を参照してください。
クライアントセッションラベル
ラベルには、awswaf:managed:token:id: AWS WAF トークン管理がクライアントセッションを識別するために使用する固有の識別子が含まれています。この識別子は、クライアントが使用していたトークンを破棄した後など、新しいトークンを取得すると変わる可能性があります。identifier
注記
AWS WAF このラベルの Amazon CloudWatch メトリクスは報告されません。
トークンステータスラベル: ラベル名前空間プレフィックス
トークンステータスラベルは、トークン、チャレンジのステータス、およびそれに含まれる CAPTCHA 情報を報告します。
各トークンステータスラベルは、次のプレフィクスの 1 つで始まります。
awswaf:managed:token:— トークンの一般的なステータスを報告したり、トークンのチャレンジ情報のステータスを報告したりするために使用されます。awswaf:managed:captcha:— トークンの CAPTCHA 情報のステータスを報告するために使用されます。
トークンステータスラベル: ラベル名
プレフィックスに続いて、ラベルの残りの部分には詳細なトークンステータス情報が表示されます。
accepted- リクエストトークンが存在し、以下の内容が含まれています。有効なチャレンジまたは CAPTCHA ソリューション。
有効期限が切れていないチャレンジまたは CAPTCHA タイムスタンプ。
ウェブ ACL に有効なドメイン仕様。
例: ラベル
awswaf:managed:token:acceptedには、ウェブリクエストのトークンに有効なチャレンジソリューション、有効期限が切れていないチャレンジタイムスタンプ、および有効なドメインがあることが示されています。-
rejected- リクエストトークンは存在するが、承認基準を満たしていない。トークン管理では、拒否されたラベルに加えて、理由を示すカスタムラベル名前空間と名前が追加されます。
rejected:not_solved— トークンにチャレンジまたは CAPTCHA ソリューションがない。rejected:expired— ウェブ ACL に設定されているトークンイミュニティ時間によると、トークンのチャレンジまたは CAPTCHA タイムスタンプの有効期限が切れている。rejected:domain_mismatch— トークンのドメインが、ウェブ ACL のトークンドメイン設定と一致しない。rejected:invalid— AWS WAF 指定されたトークンを読み取れませんでした。
例: ラベル
awswaf:managed:captcha:rejectedとawswaf:managed:captcha:rejected:expiredには、トークンの CAPTCHA タイムスタンプがウェブ ACL で設定されている CAPTCHA トークンのイミュニティ時間を超えたためにリクエストが拒否されたことが示されています。 -
absent— リクエストにトークンがないか、トークンマネージャーがそれを読み取れなかった。例: ラベル
awswaf:managed:captcha:absentには、リクエストにトークンがないことが示されています。
Bot Control ラベル
Bot Control マネージドルールグループは、名前空間プレフィックス awswaf:managed:aws:bot-control: の後にカスタム名前空間およびラベル名が続くラベルを生成します。ルールグループは、リクエストに複数のラベルを追加する場合があります。
各ラベルは、Bot Control ルールの検出結果を反映しています。
-
awswaf:managed:aws:bot-control:bot:– リクエストに関連付けられたボットに関する情報。-
awswaf:managed:aws:bot-control:bot:name:– ボット名は (利用可能な場合)、たとえばカスタム名前空間<name>bot:name:slurp、bot:name:googlebot、bot:name:pocket_parser。 -
awswaf:managed:aws:bot-control:bot:category:— AWS WAF<category>bot:category:search_engineやなどで定義されているボットのカテゴリbot:category:content_fetcher。 -
awswaf:managed:aws:bot-control:bot:organization:– ボットのパブリッシャー (例:<organization>bot:organization:google)。 -
awswaf:managed:aws:bot-control:bot:verified– 自己を識別し、Bot Control が検証できたボットを示すために使用されます。これは、一般的な望ましいボットに使用され、bot:category:search_engineのようなカテゴリラベルやbot:name:googlebotのような名前ラベルと組み合わせると便利です。注記
Bot Control は、ウェブリクエストの送信元の IP アドレスを使用して、ボットが検証されているかどうかを判断します。 AWS WAF 転送された IP 設定を使用して別の IP アドレスソースを検査するように設定することはできません。プロキシまたはロードバランサーを介してルーティングするボットを検証した場合、Bot Control ルールグループの前に実行するルールを追加してこの問題に対処します。転送された IP アドレスを使用し、検証済みのボットからのリクエストを明示的に許可するように新しいルールを設定します。転送した IP アドレスの詳細については、「転送された IP アドレス」を参照してください。
-
awswaf:managed:aws:bot-control:bot:user_triggered:verified– 検証済みのボットに類似しているが、エンドユーザーによって直接呼び出される可能性のあるボットを示すために使用されます。このカテゴリのボットは、Bot Control のルールによって未検証のボットのように扱われます。 -
awswaf:managed:aws:bot-control:bot:developer_platform:verified– 検証済みのボットに類似しているが、Google Apps Script などのデベロッパープラットフォームによってスクリプト作成のために使用されるボットを示すために使用されます。このカテゴリのボットは、Bot Control のルールによって未検証のボットのように扱われます。 -
awswaf:managed:aws:bot-control:bot:unverified– 自己を識別するボットを示すために使用されるため、名前を付けて分類できます。ただし、そのボットのアイデンティティを個別に検証する場合に使用する情報は公開されていません。これらの種類のボットシグネチャは改ざんされる可能性があるため、未検証として扱われます。
-
-
awswaf:managed:aws:bot-control:targeted:— Bot Control の対象となる保護に固有のラベルに使用されます。<additional-details> -
awswaf:managed:aws:bot-control:signal:および<signal-details>awswaf:managed:aws:bot-control:targeted:signal:— 一部の状況において、リクエストに関する追加情報を提供するために使用されます。<signal-details>シグナルラベルの例は、次のとおりです。これは網羅的なリストではありません。
-
awswaf:managed:aws:bot-control:targeted:signal:browser_automation_extension— Selenium IDE など、自動化をサポートするブラウザー拡張機能が検出されたことを示します。このラベルは、ユーザーがこのタイプの拡張をインストールすると、ユーザーが自発的に使用していない場合でも追加されます。このためのラベル照合ルールを実装する場合は、ルールロジックとアクション設定で誤検出が発生する可能性があることに注意してください。たとえば、オートメーションが使用されていることを確保するために、Block の代わりに CAPTCHA アクションを使用したり、このラベルマッチを他のラベルマッチと組み合わせたりすることができます。
-
awswaf:managed:aws:bot-control:signal:automated_browser— リクエストに、クライアントブラウザが自動化されている可能性があることを示す要素が含まれていることを示します。 -
awswaf:managed:aws:bot-control:targeted:signal:automated_browser— AWS WAF リクエストのトークンに、クライアントブラウザが自動化されている可能性があることを示す指標が含まれていることを示します。
-
DescribeManagedRuleGroup を呼び出すことにより、API を介してルールグループのすべてのラベルを取得できます。ラベルは、応答の AvailableLabels プロパティにリストされています。
Bot Control マネージドルールグループは、一般的に許可されている検証可能な一連のボットにラベルを適用します。ルールグループは、これらの検証済みボットをブロックしません。必要に応じて、Bot Control マネージドルールグループによって適用されたラベルを使用するカスタムルールを記述することで、それらのボットまたはそのサブセットをブロックできます。これと例の詳細については、「AWS WAF ボットコントロール」を参照してください。
Bot Control のルールリスト
このセクションには Bot Control ルールが表示されています。
注記
AWS Managed Rulesルールグループのルールについて公開する情報は、ルールを使用するのに十分な情報を提供することを目的としていますが、悪意のある人物がルールを回避するために悪用する可能性のある情報は提供していません。このドキュメントに記載されている以上の情報が必要な場合は、AWS Support センター
| ルール名 | 説明 |
|---|---|
CategoryAdvertising |
広告目的で使用されるボットを検査します。例えば、プログラムによるウェブサイトへのアクセスを必要とするサードパーティーの広告サービスを使用する場合があります。 未検証のボットにのみ適用されるルールアクション: Block ラベル: 検証済みボットについては、ルールグループはアクションを実行しませんが、ルールラベルとラベル |
CategoryArchiver |
アーカイブ目的で使用されるボットを検査します。これらのボットは、アーカイブを作成する目的でウェブをクロールし、コンテンツをキャプチャします。 未検証のボットにのみ適用されるルールアクション: Block ラベル: 検証済みボットについては、ルールグループはアクションを実行しませんが、ルールラベルとラベル |
CategoryContentFetcher |
ユーザーに代わってアプリケーションのウェブサイトにアクセスし、RSS フィードのようなコンテンツを取得したり、コンテンツを検証したりするボットを検査します。 未検証のボットにのみ適用されるルールアクション: Block ラベル: 検証済みボットについては、ルールグループはアクションを実行しませんが、ルールラベルとラベル |
CategoryEmailClient |
アプリケーションのウェブサイトを指し示すメール内のリンクをチェックするボットを検査します。これには、E メール内のリンクを確認したり、疑わしい電子メールにフラグを立てたりする企業や E メールプロバイダーによって実行されるボットが含まれます。 未検証のボットにのみ適用されるルールアクション: Block ラベル: 検証済みボットについては、ルールグループはアクションを実行しませんが、ルールラベルとラベル |
CategoryHttpLibrary |
さまざまなプログラミング言語の HTTP ライブラリからボットによって生成されたリクエストを検査します。これらには、許可またはモニタリングする API リクエストが含まれる場合があります。 未検証のボットにのみ適用されるルールアクション: Block ラベル: 検証済みボットについては、ルールグループはアクションを実行しませんが、ルールラベルとラベル |
CategoryLinkChecker |
壊れたリンクをチェックするボットを検査します。 未検証のボットにのみ適用されるルールアクション: Block ラベル: 検証済みボットについては、ルールグループはアクションを実行しませんが、ルールラベルとラベル |
CategoryMiscellaneous |
他のカテゴリに一致しないその他のボットを検査します。 未検証のボットにのみ適用されるルールアクション: Block ラベル: 検証済みボットについては、ルールグループはアクションを実行しませんが、ルールラベルとラベル |
CategoryMonitoring |
モニタリング目的で使用されるボットを検査します。例えば、パフォーマンスや稼働時間などをモニタリングするために、アプリケーションのウェブサイトに定期的に ping を送信するボットモニタリングサービスを使用することができます。 未検証のボットにのみ適用されるルールアクション: Block ラベル: 検証済みボットについては、ルールグループはアクションを実行しませんが、ルールラベルとラベル |
CategoryScrapingFramework |
ウェブサイトからのコンテンツのクロールと抽出を自動化するために使用される、ウェブスクレイピングフレームワークからのボットを検査します。 未検証のボットにのみ適用されるルールアクション: Block ラベル: 検証済みボットについては、ルールグループはアクションを実行しませんが、ルールラベルとラベル |
CategorySearchEngine |
ウェブサイトをクロールしてコンテンツをインデックス化し、その情報を検索エンジンの結果に利用できるようにする検索エンジンボットを検査します。 未検証のボットにのみ適用されるルールアクション: Block ラベル: 検証済みボットについては、ルールグループはアクションを実行しませんが、ルールラベルとラベル |
CategorySecurity |
ウェブアプリケーションの脆弱性をスキャンしたり、セキュリティ監査を実施したりするボットを検査します。例えば、ウェブアプリケーションのセキュリティをスキャン、モニタリング、または監査するサードパーティーのセキュリティベンダーを利用することができます。 未検証のボットにのみ適用されるルールアクション: Block ラベル: 検証済みボットについては、ルールグループはアクションを実行しませんが、ルールラベルとラベル |
CategorySeo |
検索エンジンの最適化に使用されるボットを検査します。例えば、検索エンジンのランキングを向上させるために、サイトをクロールする検索エンジンツールを使用することができます。 未検証のボットにのみ適用されるルールアクション: Block ラベル: 検証済みボットについては、ルールグループはアクションを実行しませんが、ルールラベルとラベル |
CategorySocialMedia |
ユーザーがコンテンツを共有するときに、コンテンツの概要を提供するためにソーシャルメディアプラットフォームで使用されるボットを検査します。 未検証のボットにのみ適用されるルールアクション: Block ラベル: 検証済みボットについては、ルールグループはアクションを実行しませんが、ルールラベルとラベル |
CategoryAI |
人工知能 (AI) ボットを検査します。 ルールアクション: Block ラベル: |
SignalAutomatedBrowser |
クライアントブラウザが自動化されている可能性があることを示す要素がないか、リクエストを検査します。自動ブラウザはテストやスクレイピングに使用できます。例えば、以下のようなタイプのブラウザを使用して、アプリケーションウェブサイトのモニタリングや検証を行うことができます。 ルールアクション: Block ラベル: |
SignalKnownBotDataCenter |
ボットが通常使用するデータセンターのインジケーターがないかどうかを検査します。 ルールアクション: Block ラベル: |
SignalNonBrowserUserAgent |
ウェブブラウザからではないと考えられるユーザーエージェント文字列を検査します。このカテゴリには API リクエストが含まれる場合があります。 ルールアクション: Block ラベル: |
TGT_VolumetricIpTokenAbsent |
過去 5 分間のクライアントからのリクエストで、有効なチャレンジトークンが含まれていないものが 5 つ以上あるかどうかを検査します。トークンの詳細については、「AWS WAF Web リクエストトークン」を参照してください。 注記同じクライアントからのリクエストで、最近トークンの欠落が発生するようになったという場合は、このルールがトークンを有するリクエストに一致する可能性があります。 このルールが適用されるしきい値は、レイテンシーによって若干異なる場合があります。 このルールは、トークンラベル 検証済みボットではないクライアントにのみ適用されるルールアクション: Challenge ラベル: 検証済みボットについては、ルールグループはアクションを実行しませんが、ルールラベルとラベル |
TGT_VolumetricSession |
5 分ウィンドウ内でクライアントセッションからのリクエスト数が異常に多いかどうかを検査します。評価は、過去のトラフィックパターンをそのまま使用した標準的なボリュームベースラインとの比較に基づいています。 AWS WAF この検査は、ウェブリクエストにトークンがある場合にのみ適用されます。トークンは、アプリケーション統合 SDK、ならびに CAPTCHA および Challenge のルールアクションによってリクエストに追加されます。詳細については、「AWS WAF Web リクエストトークン」を参照してください。 注記このルールは、有効にしてから有効になるまでに 5 分かかることがあります。Bot Control は、現在のトラフィックを計算するトラフィックベースラインと比較することで、Web トラフィックの異常な動作を特定します。 AWS WAF 検証済みボットではないクライアントにのみ適用されるルールアクション: CAPTCHA ラベル: ルールグループは、最小しきい値を超える中規模および低ボリュームのリクエストに次のラベルを適用します。これらのレベルでは、クライアントが検証されているかどうかにかかわらず、ルールは何も実行しません。すなわち、 検証済みボットについては、ルールグループはアクションを実行しませんが、ルールラベルとラベル |
TGT_SignalAutomatedBrowser |
リクエストのトークンで、クライアントブラウザが自動化されている可能性があることを示す要素がないかを検査します。詳細については、「トークンの特徴」を参照してください。 この検査は、ウェブリクエストにトークンがある場合にのみ適用されます。トークンは、アプリケーション統合 SDK、ならびに CAPTCHA および Challenge のルールアクションによってリクエストに追加されます。詳細については、「AWS WAF Web リクエストトークン」を参照してください。 検証済みボットではないクライアントにのみ適用されるルールアクション: CAPTCHA ラベル: 検証済みボットについては、ルールグループはアクションを実行しませんが、ルールラベルとラベル |
TGT_SignalBrowserInconsistency |
ブラウザ調査のデータに一貫性がないかどうか検査します。詳細については、「トークンの特徴」を参照してください。 この検査は、ウェブリクエストにトークンがある場合にのみ適用されます。トークンは、アプリケーション統合 SDK、ならびに CAPTCHA および Challenge のルールアクションによってリクエストに追加されます。詳細については、「AWS WAF Web リクエストトークン」を参照してください。 検証済みボットではないクライアントにのみ適用されるルールアクション: CAPTCHA ラベル: 検証済みボットについては、ルールグループはアクションを実行しませんが、ルールラベルとラベル |
TGT_TokenReuseIp |
5 つを超える異なる IP アドレス間で単一のトークンが使用されているかどうかを検査します。 注記このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールアクションが適用される前に、いくつかのリクエストが制限を超えることがあります。 ルールアクション: Count ラベル: |
TGT_ML_CoordinatedActivityMedium および TGT_ML_CoordinatedActivityHigh |
分散または協調ボットのアクティビティと一致する異常な動作がないか検査します。ルールレベルは、リクエストのグループが協調攻撃に参加しているかどうかの信頼度のレベルを示します。 注記これらのルールは、ルールグループが機械学習 (ML) を使用するように設定されている場合にのみ実行されます。この場合の設定については、「AWS WAF ボットコントロールマネージドルールグループをウェブ ACL に追加する」を参照してください。 AWS WAF ウェブサイトのトラフィック統計を機械学習で分析することで、この検査を行います。 AWS WAF Web トラフィックを数分おきに分析し、多数の IP アドレスに分散している低強度で長時間続くボットを検出できるように分析を最適化します。 これらのルールは、協調攻撃が進行中ではないと判断される前に、ごく少数のリクエストに一致する場合があります。そのため、表示された一致が 1 つか 2 つしかない場合は、結果が誤検出である可能性があります。ただし、これらのルールからの一致が多数表示されている場合は、協調攻撃を受けていると考えられます。 注記ML オプションで Bot Control ターゲットルールを有効にしてから、これらのルールが有効になるまでに最大 24 時間かかることがあります。Bot Control は、現在のトラフィックと計算済みのトラフィックベースラインを比較することで、Web トラフィックの異常な動作を特定します。 AWS WAF AWS WAF Bot Control のターゲットルールを ML オプションとともに使用している間のみベースラインを計算するため、有意義なベースラインを確立するまでに最大 24 時間かかることがあります。 ボットの予測を改善するために、これらのルールに対応する機械学習モデルを定期的に更新しています。これらのルールによるボットの予測に突然大きな変化が見られた場合は、アカウントマネージャーに連絡するか、Center AWS Support でケースをオープンしてください。 検証済みボットではないクライアントにのみ適用されるルールアクション:
ラベル: 検証済みボットについては、ルールグループはアクションを実行しませんが、ルールラベルとラベル ルールグループには信頼度が低いことを示すラベル |
