事例

北米の銀行のうち上位10行がクレデンシャル スタッフィングを排除

お客様:カナダの5大銀行の一つ

年間200億ドル超の収益を上げるカナダの5大銀行の一つ(以下、「同行」)は、数か月にわたってWebおよびモバイル用のログイン アプリケーションを狙った自動化攻撃に悩まされていました。*

攻撃者は、カナダと米国のWebサイト、モバイル アプリ、OFX APIエンドポイントなど、考えられるあらゆるチャネルに対してクレデンシャル スタッフィング攻撃を仕掛けてきました。アカウント乗っ取りの不正行為による損失が生じるだけでなく、大量の攻撃によって同行のインフラストラクチャに大きな負担がかかっていました。カナダと米国のWebサイトが何度も停止し、顧客が自分のアカウントにアクセスできない事態が生じていました。このようなサービス停止は、同行の経営陣にとって容認できないことでした。そこで、セキュリティ チームはソリューションを探すことにしました。

課題:CDNで提供されるツールでは不十分

自動化攻撃を緩和するために、同行はまずCDNで提供されるボット緩和ツール(以下、「ベンダー」)を導入しました。ベンダーは短期的には有効でしたが、長期的な効果を上げることはできませんでした。ベンダーでは、攻撃を阻止するためにルールベースのシステムを利用していました。しかし、攻撃者は数時間のうちに戦術を変え、そのルールを回避するようになったため、ツールを手動で設定せざるを得ませんでした。

同行のインシデント対応チームは、攻撃者の監視と新しいルールの設定に四六時中忙殺され、疲労困憊していました。攻撃者とのいたちごっこは数か月に及び、同行はより高性能のソリューションを探すことを決断し、F5に連絡したのです。

*「5大銀行」とはカナダの大手銀行の上位5行のことであり、他国の「4大銀行」に相当します。

評価:F5 Distributed Cloud Bot Defenseとベンダーの比較

セキュリティ チームは、ベンダーのソリューションを利用し続けながら、Distributed Cloud Bot Defenseの評価を行って、両ソリューションの有効性とサービス品質を比較対照することにしました。この評価のために、同行はカナダのWebおよびモバイル用のログイン アプリケーションにDistributed Cloud Bot Defenseを導入しました。

Distributed Cloud Bot Defenseの導入には、観察モードと緩和モードの2段階があります。観察モードでは、F5は防御機能をカスタマイズし、お客様にとって最善の結果を保証するために、アプリケーションが受信するすべてのリクエストを分析します。人間による正当なトラフィックに影響がないことをF5とお客様が確認した後、F5が緩和モードを有効にします。

観察モード

観察モードのDistributed Cloud Bot Defenseにより、ログイン試行のほぼ10回に1回が悪質なものであることが判明しました。同行は、このサービスの検知能力と、定期的なブリーフィングの際にインテリジェンス チームが提供したインサイトのレベルにたちまち好印象を持ってくれました。

Distributed Cloud Bot Defenseは、悪質なログイン トラフィックと正当なログイン トラフィックを区別するだけでなく、リクエストをさまざまな攻撃グループ(「キャンペーン」)に分類して分析することができます。例えば、攻撃グループが攻撃方法の変更(ソフトウェアの更新や新しいプロキシの利用など)によって迂回しようとしても、このサービスは他の数百ものシグナルに基づいて引き続き攻撃グループを正しく識別します。

導入後の最初の1週間で、Distributed Cloud Bot Defenseは4種類のキャンペーンを特定し、それぞれのクレデンシャル スタッフィング活動を追跡しました。

北米の銀行のうち上位10行がクレデンシャル スタッフィングを排除
これは、F5 Distributed Cloud Bot Defenseが特定のクレデンシャル スタッフィング キャンペーンに関して同行に提供したデータの一例です。インサイトには、キャンペーンで使用されたIPアドレスおよびASNの数と、キャンペーンの成功率(ログインに成功した認証情報の割合)が含まれます。

大至急、緩和モードにする

観察モードの開始から5週間後、同行は突然、前代未聞の大規模なクレデンシャル スタッフィング キャンペーンの攻撃を受け、トラフィック量がそれまでの攻撃の5倍にも膨れ上がりました。トラフィック量がそれ以上増えれば、インフラストラクチャの能力を超え、カナダのWebサイト全体がダウンしてしまうため、同行では不安を募らせていました。

既存のベンダーから十分な支援を得られなかったため、同行のCISO(情報セキュリティ最高責任者)は自らF5に連絡して対処を要請しました。それは、観察モードから緩和モードへの移行を予定より数週間前倒しして、組織を弱体化させる攻撃を止めてほしいという依頼でした。F5プロフェッショナル サービス チームが出動し、数時間後には同行のカナダのサイトにDistributed Cloud Bot Defenseが緩和モードで設定および導入されました。

Distributed Cloud Bot Defenseが緩和モードになるとすぐ、上のグラフでトラフィックが黄色から赤色に変化しているように、攻撃が緩和されました。大量の自動化トラフィックが同行のオリジン サーバーに到達するのをこのサービスが完全に阻止したことで、同行のインシデント対応チームはトラフィックを安定させ、サービスの可用性を確保することができました。

北米の銀行のうち上位10行がクレデンシャル スタッフィングを排除

今後の計画:ベンダーのソリューションを総入れ替え

F5は、Distributed Cloud Bot DefenseサービスとThreat Intelligenceチームを通じて、そのベンダーよりも優れていることを証明し、困難な状況においてピンチヒッターを務めました。同行は、Distributed Cloud Bot Defenseの有効性だけでなく、F5チームが大規模な攻撃の真っ只中でも導入をやり遂げた気概と能力を高く評価しました。

F5がカナダのログイン アプリケーションの防御に成功したことを受けて、同行はDistributed Cloud Bot Defenseの使用の拡大に向けて、次のような重要なステップを進める予定です。

  • すべてのWebプロパティから元のボット緩和ベンダーを排除
  • Distributed Cloud Bot Defenseのサービス対象範囲を、すべての地域のすべてのWebおよびモバイル プロパティに拡大
  • サービスのダッシュボードで提供されるデータを利用して、不正行為の分析能力を強化

同行がDistributed Cloud Bot Defenseから得ているメリット
  • 悪意のあるログイン トラフィックを排除して、サイトの可用性を保証
  • 金融情報アグリゲータ(Plaid、Mint、Yodleeなど)に対するきめ細やかな管理を実現
  • 顧客のアカウントを不正行為から保護

ダウンロード(PDF)