AndgelListがCloudflareで悪性ボットを根絶

背景

AngelListは、世界最大のスタートアップコミュニティです。スタートアップに関心を持つすべての人の成功のために適切なリソースを見つけられるように支援することをミッションとし、スタートアップのための資金調達、優れた人材の雇用、世界市場での製品発売などのお手伝いを目標にしています。AngelListの企業グループは、AngelList Talent、AngelList venture、Product Huntから構成され、2018年には、10億ドル以上の資産を一括管理し、求人では200万人の候補者、各種メーカーによる2万点以上の製品発売を支援しました。

課題

ソーシャルネットワークの価値は、プラットフォームを利用し、貢献する人によって決定されます。もし自動化されたボットを使って作成された偽のアカウントがプラットフォームに殺到したら、中核となる価値提案が損なわれることになりかねません。AngelListは、ソーシャルネットワークがボット主導のアカウント流入で氾濫し始め、収益やユーザーリテンション率の低下、さらに重要なAngelListの評判を脅かすという事態に直面しました。

2018年後半、AngelListの製品エンジニアは、スパムボットが偽のプロフィールを構築し、AngelListが所有する機密情報や貴重な情報（候補者の履歴書、スタートアッププロフィール、投資家プロフィール、求人情報など）をスクレイピングしているのを発見しました。

AngelListはまず、偽のアカウントを特定し、悪意のあるボットトラフィックを防止するソリューションを構築して、この問題を社内で解決しようとしました。そして、悪質なボットのいくつかを阻止することに成功しましたが、プラットフォームではさらに多くの悪意のあるボットが動作していることがわかりました。結局、プロセス全体が想定していたよりも時間のかかるもので、リソースを消費することだということが判明したのです。この時、AngelListはCloudflareがボット攻撃の軽減に特化した新製品を開始したことを知りました。

Cloudflareでボット管理

AngelListでは、JavaScriptやその他のクライアント側のコードなどを注入するという面倒なことをせずに、簡単にCloudflareのボット管理をデプロイすることができました。初日から、ボットトラフィックを迅速に特定し、はるかに高い精度でリアルタイムに軽減することができました。

ネットワーク上にある 2500万ものインターネットプロパティ全体で、機械学習と行動分析を活用することで、Cloudflareのボット管理ソリューションは、自動的にAngelListが受信するすべてのリクエストを記録し、脅威と信頼できるソースと区別するために、しきい値を設定します。最初の1か月間で、AngelListのドメインは50万以上のIPアドレスに3900万ものCAPTCHAを発行しました。こうしたCAPTCHAのうち、誤検知（実際のユーザーに発行された）のは、わずか0.0033%でした。

決定処理（良性トラフィックと悪性トラフィックを区別する処理）が配信元ではなくCloudflareのエッジでサポートされるため、Cloudflareのボット保護技術を利用することで、AngelListはレイテンシーを短縮し、パフォーマンスの高速化を図ることができました。さらに、AngelListはCloudflareの包括的なパフォーマンスとセキュリティポートフォリオ（Argo、DDoS対策、多様なIPレピュテーションデータベースを含む）を備えたボット管理を統合することができています。これにより、悪意のあるボットとの戦いに向け、一層強化されました。