2016.06.25(土)

急増するID、パスワードへの攻撃にどう対処するか(ペンタセキュリティ)

特集 特集

韓国に本社を持ち、WAFとデータベース暗号化製品を提供するペンタセキュリティシステムズ株式会社(ペンタセキュリティ)。同社はWAF製品に「ブルートフォース遮断機能」を新たに追加した。

今回は同社の代表取締役社長 桜田仁隆氏に、IDとパスワードを取り巻く攻撃の現状とリリースされた新機能について話を聞いた。


――ブルートフォース攻撃の定義と現状について教えてください

Windowsへのログオンをはじめ、多くのシステムやWebサービスで認証が用意されています。これらはIDとパスワードの組み合わせが一般的で、パスワードにはなるべく意味のない文字列の組み合わせでなおかつ出来るだけ長い方が良いとされています。しかし、人間はパスワードの文字列にも意味を持たせようとします。パスワードを忘れないようにするためですが、ログイン認証を突破しようと企む攻撃者にとってはパスワードを推測しやすくしています。

そこで攻撃者は、パスワードによく使われる文字列を中心とした辞書を用意し、ひとつずつログインを試していきます。これがブルートフォース攻撃で、辞書攻撃や総当たり攻撃とも呼ばれます。

ログインを起点としたブルートフォースによるサイバー攻撃は、大きく3種類に分けることができます。ひとつは、ログインIDを固定し、パスワードを大量に試行するという一般的なブルートフォース攻撃。逆に判明しているパスワードを固定し、ログインIDを大量に試行するリバース型。さらに最近では、情報漏えいによって入手したログインIDとパスワードのリストを、他のシステムやWebサービスで試行していく「リスト型」が急増しています。

現在はログイン認証を求めるサイトが増加し、IDとパスワードの組み合わせ管理が困難になりつつあります。そのため、ユーザは同じ組み合わせを複数のサービスで使い回す傾向があり、漏えいした情報を利用しようとする攻撃者にとっては非常に効率がよくなるわけです。

また最近の傾向として、ステルス型のブルートフォース攻撃も確認されています。従来のブルートフォース攻撃は短時間に大量のログイン試行を行っていました。5月末に発生した動画投稿サイトへの攻撃では、8日間で220万回以上のアクセスがあったといいます。1時間あたり1万1千回ということになりますから、すぐに攻撃に気づくことができます。しかしステルス型では、例えば5分に1回といったペースでログイン試行を行います。これを365日繰り返していくわけです。ステルス型は標的型攻撃の手法のひとつとしても活用されています。

――ブルートフォース攻撃に対して、個人ユーザができる対策はありますか

システムごと、サービスごとに異なるパスワードを使うことに尽きますが、実際問題として難しいでしょう。複数のパスワードを用意して切り替えていくという方法もありますが、システムによってパスワードの文字数に違いがあったり、使える文字種にも違いがあります。

また、セキュリティはパスワードひとつ考えても、レベルを高めること利便性とのトレードオフが発生します。サービス側もいろいろと工夫を重ねていて、パスワード以外の方法、CAPCHAや図形のドラッグといったものも採用が進んでいます。二元認証もそうですね。認証のレベルを上げるには有効な手法だと思います。

――WAPPLESに追加された「ブルートフォース遮断機能」について教えてください

もともとWAPPLESには、IPという名前のつく機能が2つあります。それがIPフィルタリングとIPブロックという機能です。IPフィルタリングは、スタティックにソースIPアドレスを決め打ちしてアクセスさせない、あるいは特定のドメインを指定してアクセスさせない機能です。一方IPブロックは、IPの自動遮断機能です。IPアドレスに評価点をつけていき、一定の評価点を超えたIPアドレスを自動的に遮断するというものです。

評価点には複数の要素がありますが、そのひとつに一定時間内の特定サイトへのアクセス入力回数というものがあります。普通のWebページに何回もアクセスすることは珍しくありません。でも、ログインページは何回もアクセスしませんよね。このため、ログインページを指定し、たとえば30秒に10回あったらそのソースIPを遮断するといった対策を行います。

ただし、ログインページへの複数回のアクセスには、誤検知の可能性もあります。それを加味して時間とアクセス回数を設定することが可能です。WAPPLESではアクセス遮断時間の設定も可能で、最短で300秒、最長365日までとなっており、サイトのポリシーに合わせて利用可能です。この2つの機能をブルートフォース攻撃対策として改めて提供した形です。ブルートフォース攻撃遮断機能をオンにすることで、ログも取得できるようになりますから、社員が自宅から社内にアクセスする場合にブロードバンドルータが使っているグローバルIPアドレスを調べて、IP遮断リストから削除するなども可能になります。

――ほかにもIDやパスワードへの攻撃に有効な機能はありますか

例えば先ほどの動画投稿サイトへの攻撃の際には、1時間に1万1千回のアクセス試行があったのですから、DDoS攻撃ともいえると思います。WAPPLESには、無駄なトラフィックを渡さない機能もありますので、このような場合においても重要な役割を果たします。しかもUDPプロトコルは見ませんので、DDoS攻撃を受けている状態でも無駄なトラフィックをブロックしながらユーザに快適な環境を提供できます。

また、ブルートフォース攻撃を含む疑わしいアクセスは、ボットを使っているケースもあります。ボットはブラウザではない端末がブラウザに偽装してアクセスしてきますので、クッキーを投げることでボットを検出しブロックするといった機能も有しています。

――ありがとうございました
《吉澤 亨史》

編集部おすすめの記事

特集

特集 アクセスランキング

  1. ソリトンシステムズのサイバーセキュリティ 第6回 「理解されないデジタル・フォレンジック(後編) - 攻撃者優位を打破 できるか?」

    ソリトンシステムズのサイバーセキュリティ 第6回 「理解されないデジタル・フォレンジック(後編) - 攻撃者優位を打破 できるか?」

  2. ここが変だよ日本のセキュリティ 第3回「台湾HITCON突撃レポート 前編」

    ここが変だよ日本のセキュリティ 第3回「台湾HITCON突撃レポート 前編」

  3. ソリトンシステムズのサイバーセキュリティ 第5回 「理解されないデジタル・フォレンジック(前編) - お願いだから端末に触らないで!」

    ソリトンシステムズのサイバーセキュリティ 第5回 「理解されないデジタル・フォレンジック(前編) - お願いだから端末に触らないで!」

  4. 生体認証は危険!? 課題と危険が山積みで利用者にはデメリットだけ!?(1)

  5. 顧客視点のサイバーセキュリティスタンダードを発信 ~ デロイト、インテリジェンスセンター(CIC)設立

  6. ここが変だよ日本のセキュリティ 第22回「セキュリティ対策の弱点探しキーワード 前篇」

  7. ISMS認証とは何か■第1回■

  8. [インタビュー]ソリトンシステムズ 荒木粧子氏に聞く、 「年金機構」以降のサイバー攻撃とマイナンバー対策(後編)

  9. ここが変だよ日本のセキュリティ 第1回「被害総額14億円という規模」

  10. ここが変だよ日本のセキュリティ 第21回「セキュリティ人材は生き残ることができるか?」

アクセスランキングをもっと見る

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×