ネイティブの iOS および Android アプリは、Web Application Firewall (WAF) がネットワーク層だけで傍受できないボット攻撃に直面しています。攻撃者は、正当なデバイスの動作をエミュレートして標準的な保護をバイパスします。アプリ保護は、Anti-Bot SDK をアプリに直接組み込み、Alibaba Group のデバイスフィンガープリントライブラリを使用してクライアントレベルですべてのリクエストを認証し、Tmall、Taobao、Alipay で使用されているものと同じ信頼モデルで悪意のあるクライアントを識別します。
防御される脅威
Anti-Bot SDK と統合されたアプリは、以下の脅威から保護されます。
| 脅威カテゴリ | 例 |
|---|---|
| アカウントの不正利用 | スパムユーザー登録、辞書攻撃、ブルートフォース攻撃 |
| トラフィックフラッディング | HTTP フラッド攻撃、SMS フラッド攻撃 |
| ビジネス詐欺 | プロモーションの不正利用、スナッチャーボット、自動購入ボット |
| 不正なアクティビティ | ブラッシング (例: 航空券、ホテル予約)、投票操作、スパムおよび悪意のあるコメント |
| データ盗難 | 価格、信用、融資、フィクション、その他の機密情報のクローリング |
課金
アプリ保護は、WAF が提供する付加価値サービスです。この機能を有効にするには、Mobile App Protection アドオンを購入する必要があります。
アプリ保護の有効化
アプリ保護を有効にするには、WAF コンソールとご利用のアプリ開発環境で 7 つのステップが必要です。SDK の統合には 1 ~ 2 人日かかる場合があります。
ステップ 1: Mobile App Protection アドオンの追加
WAF がまだアクティブ化されていない場合:WAF 購入ページで、購入時に [Mobile App Protection] を [はい] に設定します。
WAF がすでにアクティブ化されている場合:WAF インスタンスの [アップグレード/ダウングレード] ページに移動し、[Mobile App Protection] を [はい] に設定して、アップグレードを確認します。詳細については、「サブスクリプション WAF インスタンスの更新とアップグレード」をご参照ください。
ステップ 2: アプリ保護の有効化とポリシーの構成
WAF コンソールにログインします。
[保護設定] > [ウェブサイト保護] に移動し、[ボット管理] タブをクリックします。
[アプリ保護] を有効にします。
[Appkey の取得とコピー] をクリックして
app keyを取得します。この app key は SDK 初期化コードで必要です。保護する API のアプリ保護ポリシーを構成します。
(オプション) ビジネス要件に基づいて [バージョン保護] を有効にします。
ポリシー構成の詳細については、「アプリケーション保護の構成」をご参照ください。
ステップ 3: Anti-Bot SDK のアプリへの統合
WAF テクニカルサポートに連絡して Anti-Bot SDK パッケージを入手し、ステップ 2 で取得した app key を使用してご利用のアプリに統合します。
統合ガイド:
ステップ 4: アプリのドメインを WAF に追加
ご利用のアプリで使用するドメイン名を WAF に追加します。詳細については、「ウェブサイトを WAF に追加」をご参照ください。
ステップ 5: DNS レコードの更新
ご利用のドメインの DNS レコードを、WAF によって割り当てられた CNAME ドメイン名に解決するように変更します。詳細については、「DNS レコードの変更」をご参照ください。
ステップ 6: テストと検証
ご利用のアプリを使用してテストリクエストを送信し、応答と WAF ログデータを確認して、Anti-Bot SDK が正しく動作していることを確認します。続行する前に、エラーをデバッグしてください。
ステップ 7: 更新されたアプリのリリース
統合された SDK を含む新しいアプリバージョンを公開します。
すべてのデバイスに速やかに更新をプッシュしてください。SDK なしの以前のバージョンを実行しているデバイスは、保護されないままになります。
次のステップ
アプリケーション保護の構成 — API の保護ポリシーを設定します