パスワードリスト攻撃とは? AIを駆使した対策ツールをご紹介いたします
加速するデジタル社会と増加する情報流出の危険性
コロナ禍により、ビジネスを拡大するためを新規のアプリケーション開発や提供を進めている企業が多くなっています。
それにともない、ビジネスを企画する担当者だけでなくIT担当者も急速にデジタルシフトする対応に追われ始めている。
しかし、このデジタル化の波は企業にとって契機でもありますが、ビジネスリスクも増加させているという現実を正面から捉える必要があります。
例えば、2019年7月には、セブン&アイ・ホールディングスが取り組んだQRコード決済サービス「7pay」で不正アクセスによる金銭的な被害が発生し、サービスを廃止せざるを得ないインシデントが発生しました。また、2020年9月、NTTドコモの「ドコモ口座」を不正利用して他人の預金口座からお金を引き出すという事件が相次ぎました。事態を複雑にしたのはNTTドコモだけでなく銀行側のセキュリティレベルの低さも関連しており、他のキャッシュレス決済などでの被害もあらわになるなど大きな社会問題へと発展したことを記憶に新しい人もいるのではないでしょうか。
本ページでは、最近 特に増加傾向にある不正にIDとパスワードを悪用する攻撃についてご紹介します。攻撃者が正規のIDとパスワードを何らかの方法で不正に取得していた場合、Webサイトのセキュリティ担当者が的確に防御するのが難しいというのが長い間 悩みでしたが、どのように対策できるか説明します。
パスワードリスト攻撃とは? ブルートフォース(総当たり攻撃)・辞書攻撃との違い
パスワードリスト攻撃とは、リスト型攻撃・アカウントリスト攻撃とも呼ばれ、攻撃者が何らかの方法でID・パスワードをあらかじめ入手し、そのIDとパスワードを利用して別のサイトなどで不正ログインを行うものです。
複数のサイトで共通したID・パスワードを用いる傾向を利用した攻撃方法で、攻撃者は実行のために必要なパスワードリストを、セキュリティの脆弱なサイトから入手してきます。
パスワードリスト攻撃とよく混在されるのが「ブルートフォース(総当たり)攻撃」「辞書攻撃」です。
「ブルートフォース(総当たり)攻撃」は、その名の通り、パスワードに使われると推測される文字列全てを総当たり式に当てはめていく方法です。
「辞書攻撃」は辞書に登録された単語などを組み合わせて当てはめていきます。
例えば、4桁のパスワードであれば、「ブルートフォース(総当たり)攻撃」はアルファベット、数字、記号、すべての考えられるパターンを総当たりで入力、「辞書攻撃」も考えられる既存の単語を組み合わせて入力していきます。
パスワードリスト攻撃が増加している原因
パスワードリスト攻撃が増加している原因としては、以下3つが挙げられます。
①認証情報の流出量が増加
2020 Identity Breach Reportのデータによると、2019年の1年間で漏洩・流出した認証情報は42億と言われています。
これだけの認証情報が流出しているため、攻撃者はパスワードリスト攻撃がしやすくなっています。
②攻撃者が利用できるツールの低価格化
攻撃者が利用できるツールが低価格になっていることも、パスワードリスト攻撃が増加している背景として挙げられます。
③ボットではなく多数の人間を使ったオペレーションによる攻撃
昨今攻撃者は、不正ログインのボット対策に対応するよう組織をつくって人海戦術で不正ログインを行うケースも増えています。
パスワードリスト攻撃対策ツール F5 Distributed Cloud Bot Defenseとは?
以上のように、「パスワードリスト攻撃」はいつ貴社にも襲い掛かるかわからない経営上とても大きなリスクに発展しています。
F5では、このようなセキュリティリスクに対応すべく、F5 Distributed Cloud Bot Defenseをご提供しています。
F5 Distributed Cloud Bot Defenseでは、以下のような攻撃パターンを防御できます。
F5 Distributed Cloud Bot Defenseの防御可能な攻撃パターン
特にパスワードリスト攻撃では、独自AIの高度なシグナル分析により正規ユーザーなのか、攻撃者なのかを判別します。
パスワードリスト攻撃の防御例
よくある質問
Q.費用を教えてもらえますか?
A.お客様のWebアプリケーションに合わせた個別見積もりになります。アクティブユーザ数や保護対象のURLの数などにより金額が変動します。
Q. 導入形態はどのようなものですか?
A. F5 Distributed Cloud Bot Defense は、クラウド型のサービス提供です。マネージドSOCが標準サービスであり、24時間365日 F5のセキュリティ専門家が監視をおこないます。お客様はSOCチームから報告される攻撃状況を把握し、判断をする運用です。
Q. Webアプリケーションに改修を加える必要はありますか?
A.必要ありません。F5 Distributed Cloud Bot Defenseは、クライアントの状況や動作を詳細に把握するためにJava Scriptを利用していますが、そのJava Scriptは自動で挿入されるため、お客様のWebアプリケーションの改修は必要ありませんので、容易な導入を実現しています。
Q.F5 Distributed Cloud Bot Defenseの特徴は何ですか?
A.最大の特徴は、Java Scriptをクライアントにロードすることにより、クライアントの動作を詳細に把握できることです。詳細にクライアントの振る舞いを把握することで、プログラムによる操作なのか、あるいは人間による操作なのかを正確に把握することができます。そのため、通常では判別できないような、人間による高度かつ巧妙な攻撃を防ぐことができます。
Q.導入事例を教えてください。
A.海外企業の事例ですが、STARBUCKS COFFEE様がご利用いただいています。こちらの動画(英語)をご覧ください。また、日本国内では大手のアパレルメーカー様でご利用いただいてます。
