パスワードリスト攻撃とは? AIを駆使した対策ツールもご紹介。

加速するデジタル社会と増加する情報流出の危険性

コロナ禍により、ビジネスを拡大するためを新規のアプリケーション開発や提供を進めている企業が多くなっています。

それにともない、ビジネスを企画する担当者だけでなくIT担当者も急速にデジタルシフトする対応に追われ始めている。

しかし、このデジタル化の波は企業にとって契機でもありますが、ビジネスリスクも増加させているという現実を正面から捉える必要があります。

例えば、2019年7月には、セブン&アイ・ホールディングスが取り組んだQRコード決済サービス「7pay」で不正アクセスによる金銭的な被害が発生し、サービスを廃止せざるを得ないインシデントが発生しました。また、2020年9月、NTTドコモの「ドコモ口座」を不正利用して他人の預金口座からお金を引き出すという事件が相次ぎました。事態を複雑にしたのはNTTドコモだけでなく銀行側のセキュリティレベルの低さも関連しており、他のキャッシュレス決済などでの被害もあらわになるなど大きな社会問題へと発展したことを記憶に新しい人もいるのではないでしょうか。

本ページでは、最近 特に増加傾向にある不正にIDとパスワードを悪用する攻撃についてご紹介します。攻撃者が正規のIDとパスワードを何らかの方法で不正に取得していた場合、Webサイトのセキュリティ担当者が的確に防御するのが難しいというのが長い間 悩みでしたが、どのように対策できるか説明します。

file

基礎から学ぶパスワードリスト攻撃。 ブルートフォース(総当たり攻撃)との 違いとは

パスワードリスト攻撃とは、リスト型攻撃・アカウントリスト攻撃とも呼ばれ、攻撃者が何らかの方法でID・パスワードをあらかじめ入手し、そのIDとパスワードを利用して別のサイトなどで不正ログインを行うものです。
複数のサイトで共通したID・パスワードを用いる傾向を利用した攻撃方法で、攻撃者は実行のために必要なパスワードリストを、セキュリティの脆弱なサイトから入手してきます。

パスワードリスト攻撃とよく混在されるのが「ブルートフォース(総当たり)攻撃」です。
「ブルートフォース(総当たり)攻撃」は、その名の通り、パスワードに使われると推測される文字列全てを総当たり式に当てはめていく方法です。

例えば、4桁のパスワードであれば、アルファベット、数字、記号、すべての考えられるパターンを総当たりで入力していきます。
この方法は、もちろん人間が行うと膨大な時間がかかるため、ロボットが実施しますが、「総当たり」のため、ログイン試行回数が多くなり、不正アクセスの検出は比較的容易でした。
この点、パスワードリスト攻撃は、ログイン試行回数が少ないため、正規アクセスとの判別が難しいのです。

file

パスワードリスト攻撃が増加している背景

パスワードリスト攻撃が増加している要因としては、以下3つが挙げられます。

 

①認証情報の流出量が増加

2020 Identity Breach Reportのデータによると、2019年の1年間で漏洩・流出した認証情報は42億と言われています。

これだけの認証情報が流出しているため、攻撃者はパスワードリスト攻撃がしやすくなっています。

 

②攻撃者が利用できるツールの低価格化

攻撃者が利用できるツールが低価格になっていることも、パスワードリスト攻撃が増加している背景として挙げられます。

 

③ボットではなく多数の人間を使ったオペレーションによる攻撃

昨今攻撃者は、不正ログインのボット対策に対応するよう組織をつくって人海戦術で不正ログインを行うケースも増えています。

 

パスワードリスト攻撃対策ツール Shape Securityとは?

以上のように、「パスワードリスト攻撃」はいつ貴社にも襲い掛かるかわからない経営上とても大きなリスクに発展しています。

F5では、このようなセキュリティリスクに対応すべく、Shape Securityをご提供しています。

ShapeSecurityでは、以下のような攻撃パターンを防御できます。

Shape Securityの防御可能な攻撃パターン

 

特にパスワードリスト攻撃では、独自AIの高度なシグナル分析により正規ユーザーなのか、攻撃者なのかを判別します。

 

 

パスワードリスト攻撃の防御例

 

よくある質問

Q.費用を教えてもらえますか?

A.お客様のWebアプリケーションに合わせた個別見積もりになります。アクティブユーザ数や保護対象のURLの数などにより金額が変動します。

Q. 導入形態はどのようなものですか?

A. Shape Security は、クラウド型のサービス提供です。マネージドSOCが標準サービスであり、24時間365日 F5のセキュリティ専門家が監視をおこないます。お客様はSOCチームから報告される攻撃状況を把握し、判断をする運用です。

Q. Webアプリケーションに改修を加える必要はありますか?

A.必要ありません。Shape Securityは、クライアントの状況や動作を詳細に把握するためにJava Scriptを利用していますが、そのJava Scriptは自動で挿入されるため、お客様のWebアプリケーションの改修は必要ありませんので、容易な導入を実現しています。

Q.Shape Securityの特徴は何ですか?

A.最大の特徴は、Java Scriptをクライアントにロードすることにより、クライアントの動作を詳細に把握できることです。詳細にクライアントの振る舞いを把握することで、プログラムによる操作なのか、あるいは人間による操作なのかを正確に把握することができます。そのため、通常では判別できないような、人間による高度かつ巧妙な攻撃を防ぐことができます。

Q.導入事例を教えてください。

A.海外企業の事例ですが、STARBUCK COFFEE様がご利用いただいています。こちらの動画(英語)をご覧ください。また、日本国内では大手のアパレルメーカー様でご利用いただいてます。

無料お役立ち情報

file

【無料ウェビナー】30分で分かるAIを活用したパスワードリスト攻撃対策

file

【無料ダウンロード】Shape Securityサービス資料