2016.08.26(金)

急増するID、パスワードへの攻撃にどう対処するか(ペンタセキュリティ)

特集 特集

韓国に本社を持ち、WAFとデータベース暗号化製品を提供するペンタセキュリティシステムズ株式会社(ペンタセキュリティ)。同社はWAF製品に「ブルートフォース遮断機能」を新たに追加した。

今回は同社の代表取締役社長 桜田仁隆氏に、IDとパスワードを取り巻く攻撃の現状とリリースされた新機能について話を聞いた。


――ブルートフォース攻撃の定義と現状について教えてください

Windowsへのログオンをはじめ、多くのシステムやWebサービスで認証が用意されています。これらはIDとパスワードの組み合わせが一般的で、パスワードにはなるべく意味のない文字列の組み合わせでなおかつ出来るだけ長い方が良いとされています。しかし、人間はパスワードの文字列にも意味を持たせようとします。パスワードを忘れないようにするためですが、ログイン認証を突破しようと企む攻撃者にとってはパスワードを推測しやすくしています。

そこで攻撃者は、パスワードによく使われる文字列を中心とした辞書を用意し、ひとつずつログインを試していきます。これがブルートフォース攻撃で、辞書攻撃や総当たり攻撃とも呼ばれます。

ログインを起点としたブルートフォースによるサイバー攻撃は、大きく3種類に分けることができます。ひとつは、ログインIDを固定し、パスワードを大量に試行するという一般的なブルートフォース攻撃。逆に判明しているパスワードを固定し、ログインIDを大量に試行するリバース型。さらに最近では、情報漏えいによって入手したログインIDとパスワードのリストを、他のシステムやWebサービスで試行していく「リスト型」が急増しています。

現在はログイン認証を求めるサイトが増加し、IDとパスワードの組み合わせ管理が困難になりつつあります。そのため、ユーザは同じ組み合わせを複数のサービスで使い回す傾向があり、漏えいした情報を利用しようとする攻撃者にとっては非常に効率がよくなるわけです。

また最近の傾向として、ステルス型のブルートフォース攻撃も確認されています。従来のブルートフォース攻撃は短時間に大量のログイン試行を行っていました。5月末に発生した動画投稿サイトへの攻撃では、8日間で220万回以上のアクセスがあったといいます。1時間あたり1万1千回ということになりますから、すぐに攻撃に気づくことができます。しかしステルス型では、例えば5分に1回といったペースでログイン試行を行います。これを365日繰り返していくわけです。ステルス型は標的型攻撃の手法のひとつとしても活用されています。

――ブルートフォース攻撃に対して、個人ユーザができる対策はありますか

システムごと、サービスごとに異なるパスワードを使うことに尽きますが、実際問題として難しいでしょう。複数のパスワードを用意して切り替えていくという方法もありますが、システムによってパスワードの文字数に違いがあったり、使える文字種にも違いがあります。

また、セキュリティはパスワードひとつ考えても、レベルを高めること利便性とのトレードオフが発生します。サービス側もいろいろと工夫を重ねていて、パスワード以外の方法、CAPCHAや図形のドラッグといったものも採用が進んでいます。二元認証もそうですね。認証のレベルを上げるには有効な手法だと思います。

――WAPPLESに追加された「ブルートフォース遮断機能」について教えてください

もともとWAPPLESには、IPという名前のつく機能が2つあります。それがIPフィルタリングとIPブロックという機能です。IPフィルタリングは、スタティックにソースIPアドレスを決め打ちしてアクセスさせない、あるいは特定のドメインを指定してアクセスさせない機能です。一方IPブロックは、IPの自動遮断機能です。IPアドレスに評価点をつけていき、一定の評価点を超えたIPアドレスを自動的に遮断するというものです。

評価点には複数の要素がありますが、そのひとつに一定時間内の特定サイトへのアクセス入力回数というものがあります。普通のWebページに何回もアクセスすることは珍しくありません。でも、ログインページは何回もアクセスしませんよね。このため、ログインページを指定し、たとえば30秒に10回あったらそのソースIPを遮断するといった対策を行います。

ただし、ログインページへの複数回のアクセスには、誤検知の可能性もあります。それを加味して時間とアクセス回数を設定することが可能です。WAPPLESではアクセス遮断時間の設定も可能で、最短で300秒、最長365日までとなっており、サイトのポリシーに合わせて利用可能です。この2つの機能をブルートフォース攻撃対策として改めて提供した形です。ブルートフォース攻撃遮断機能をオンにすることで、ログも取得できるようになりますから、社員が自宅から社内にアクセスする場合にブロードバンドルータが使っているグローバルIPアドレスを調べて、IP遮断リストから削除するなども可能になります。

――ほかにもIDやパスワードへの攻撃に有効な機能はありますか

例えば先ほどの動画投稿サイトへの攻撃の際には、1時間に1万1千回のアクセス試行があったのですから、DDoS攻撃ともいえると思います。WAPPLESには、無駄なトラフィックを渡さない機能もありますので、このような場合においても重要な役割を果たします。しかもUDPプロトコルは見ませんので、DDoS攻撃を受けている状態でも無駄なトラフィックをブロックしながらユーザに快適な環境を提供できます。

また、ブルートフォース攻撃を含む疑わしいアクセスは、ボットを使っているケースもあります。ボットはブラウザではない端末がブラウザに偽装してアクセスしてきますので、クッキーを投げることでボットを検出しブロックするといった機能も有しています。

――ありがとうございました
《吉澤 亨史》

編集部おすすめの記事

特集

特集 アクセスランキング

  1. KPMG のサイバーセキュリティ経営 (1) 経営者の 3 つの関心事とは

    KPMG のサイバーセキュリティ経営 (1) 経営者の 3 つの関心事とは

  2. [数字でわかるサイバーセキュリティ] 約4割がセキュリティ被害、総務省「通信利用動向調査」

    [数字でわかるサイバーセキュリティ] 約4割がセキュリティ被害、総務省「通信利用動向調査」

  3. [セキュリティ ホットトピック] 話題の「ポケモンGO」、その面白さと危険度

    [セキュリティ ホットトピック] 話題の「ポケモンGO」、その面白さと危険度

  4. 仮想化によって拡大するセキュリティリスク、海外子会社で発生したVM削除事件

  5. [インタビュー] 脆弱性を探す「バウンティハンター」を育てる、高度サイバーセキュリティ人材育成の一環 (MBSD)

  6. 生体認証は危険!? 課題と危険が山積みで利用者にはデメリットだけ!?(1)

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. [緊急寄稿] 電脳コイルとポケモンGO の誘う AR 犯罪新時代

  9. ISMS認証とは何か■第1回■

  10. Scan BASIC MEMBERS 登録方法(お土産大放出キャンペーン実施中!)

  11. [特別レポート] リアル DMZ 訪問記

  12. [Security Days 2016 インタビュー] コンサルティングファームが提供するセキュリティの「全体最適」(KPMGコンサルティング)

  13. 【インタビュー】忘れられがちな内部対策、標的型サイバー攻撃対策

  14. 工藤伸治のセキュリティ事件簿シーズン6 誤算 第1回「プロローグ:七月十日 夕方 犯人」

  15. ここが変だよ日本のセキュリティ 第21回「セキュリティ人材は生き残ることができるか?」

  16. piyolog Mk-II 第10回 「DoS攻撃対策、必要とする人本位で考えて欲しいコト」

  17. [インタビュー]キャリア15年目、新井悠が描くマルウェア研究者のキャリア(トレンドマイクロ)

  18. [DEF CON 23] 米で相次ぐサイバー攻撃、ソーシャルエンジニアリングはどう悪用されるのか~クリス・ハドナジー インタビュー

  19. 日本企業における情報セキュリティ国際資格CISSP取得の現状

  20. NSS LabsがNGFWの性能評価マップSVMを公開――各製品の特徴を可視化

アクセスランキングをもっと見る

★~(=^・ω・^)ノ☆★9月15日まで ノベルティや海外カンファレンスのお土産大放出キャンペーンを実施中 ★★
★~(=^・ω・^)ノ☆★9月15日まで ノベルティや海外カンファレンスのお土産大放出キャンペーンを実施中 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事はもちろんのこと、掲載された全ての限定コンテンツに、フルアクセスが可能となります。

×