急増するID、パスワードへの攻撃にどう対処するか(ペンタセキュリティ) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2016.12.11(日)

急増するID、パスワードへの攻撃にどう対処するか(ペンタセキュリティ)

特集 特集

韓国に本社を持ち、WAFとデータベース暗号化製品を提供するペンタセキュリティシステムズ株式会社(ペンタセキュリティ)。同社はWAF製品に「ブルートフォース遮断機能」を新たに追加した。

今回は同社の代表取締役社長 桜田仁隆氏に、IDとパスワードを取り巻く攻撃の現状とリリースされた新機能について話を聞いた。


――ブルートフォース攻撃の定義と現状について教えてください

Windowsへのログオンをはじめ、多くのシステムやWebサービスで認証が用意されています。これらはIDとパスワードの組み合わせが一般的で、パスワードにはなるべく意味のない文字列の組み合わせでなおかつ出来るだけ長い方が良いとされています。しかし、人間はパスワードの文字列にも意味を持たせようとします。パスワードを忘れないようにするためですが、ログイン認証を突破しようと企む攻撃者にとってはパスワードを推測しやすくしています。

そこで攻撃者は、パスワードによく使われる文字列を中心とした辞書を用意し、ひとつずつログインを試していきます。これがブルートフォース攻撃で、辞書攻撃や総当たり攻撃とも呼ばれます。

ログインを起点としたブルートフォースによるサイバー攻撃は、大きく3種類に分けることができます。ひとつは、ログインIDを固定し、パスワードを大量に試行するという一般的なブルートフォース攻撃。逆に判明しているパスワードを固定し、ログインIDを大量に試行するリバース型。さらに最近では、情報漏えいによって入手したログインIDとパスワードのリストを、他のシステムやWebサービスで試行していく「リスト型」が急増しています。

現在はログイン認証を求めるサイトが増加し、IDとパスワードの組み合わせ管理が困難になりつつあります。そのため、ユーザは同じ組み合わせを複数のサービスで使い回す傾向があり、漏えいした情報を利用しようとする攻撃者にとっては非常に効率がよくなるわけです。

また最近の傾向として、ステルス型のブルートフォース攻撃も確認されています。従来のブルートフォース攻撃は短時間に大量のログイン試行を行っていました。5月末に発生した動画投稿サイトへの攻撃では、8日間で220万回以上のアクセスがあったといいます。1時間あたり1万1千回ということになりますから、すぐに攻撃に気づくことができます。しかしステルス型では、例えば5分に1回といったペースでログイン試行を行います。これを365日繰り返していくわけです。ステルス型は標的型攻撃の手法のひとつとしても活用されています。

――ブルートフォース攻撃に対して、個人ユーザができる対策はありますか

システムごと、サービスごとに異なるパスワードを使うことに尽きますが、実際問題として難しいでしょう。複数のパスワードを用意して切り替えていくという方法もありますが、システムによってパスワードの文字数に違いがあったり、使える文字種にも違いがあります。

また、セキュリティはパスワードひとつ考えても、レベルを高めること利便性とのトレードオフが発生します。サービス側もいろいろと工夫を重ねていて、パスワード以外の方法、CAPCHAや図形のドラッグといったものも採用が進んでいます。二元認証もそうですね。認証のレベルを上げるには有効な手法だと思います。

――WAPPLESに追加された「ブルートフォース遮断機能」について教えてください

もともとWAPPLESには、IPという名前のつく機能が2つあります。それがIPフィルタリングとIPブロックという機能です。IPフィルタリングは、スタティックにソースIPアドレスを決め打ちしてアクセスさせない、あるいは特定のドメインを指定してアクセスさせない機能です。一方IPブロックは、IPの自動遮断機能です。IPアドレスに評価点をつけていき、一定の評価点を超えたIPアドレスを自動的に遮断するというものです。

評価点には複数の要素がありますが、そのひとつに一定時間内の特定サイトへのアクセス入力回数というものがあります。普通のWebページに何回もアクセスすることは珍しくありません。でも、ログインページは何回もアクセスしませんよね。このため、ログインページを指定し、たとえば30秒に10回あったらそのソースIPを遮断するといった対策を行います。

ただし、ログインページへの複数回のアクセスには、誤検知の可能性もあります。それを加味して時間とアクセス回数を設定することが可能です。WAPPLESではアクセス遮断時間の設定も可能で、最短で300秒、最長365日までとなっており、サイトのポリシーに合わせて利用可能です。この2つの機能をブルートフォース攻撃対策として改めて提供した形です。ブルートフォース攻撃遮断機能をオンにすることで、ログも取得できるようになりますから、社員が自宅から社内にアクセスする場合にブロードバンドルータが使っているグローバルIPアドレスを調べて、IP遮断リストから削除するなども可能になります。

――ほかにもIDやパスワードへの攻撃に有効な機能はありますか

例えば先ほどの動画投稿サイトへの攻撃の際には、1時間に1万1千回のアクセス試行があったのですから、DDoS攻撃ともいえると思います。WAPPLESには、無駄なトラフィックを渡さない機能もありますので、このような場合においても重要な役割を果たします。しかもUDPプロトコルは見ませんので、DDoS攻撃を受けている状態でも無駄なトラフィックをブロックしながらユーザに快適な環境を提供できます。

また、ブルートフォース攻撃を含む疑わしいアクセスは、ボットを使っているケースもあります。ボットはブラウザではない端末がブラウザに偽装してアクセスしてきますので、クッキーを投げることでボットを検出しブロックするといった機能も有しています。

――ありがとうございました
《吉澤 亨史》

関連記事

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [インタビュー] セキュリティ人材育成は日本だけの課題ではない、デロイトサイバーチーム日蘭対談

    [インタビュー] セキュリティ人材育成は日本だけの課題ではない、デロイトサイバーチーム日蘭対談

  2. 生体認証は危険!? 課題と危険が山積みで利用者にはデメリットだけ!?(1)

    生体認証は危険!? 課題と危険が山積みで利用者にはデメリットだけ!?(1)

  3. KPMG のサイバーセキュリティ経営 (3) セキュリティ部門と経営者のギャップ

    KPMG のサイバーセキュリティ経営 (3) セキュリティ部門と経営者のギャップ

  4. [セキュリティ ホットトピック] 未成年によるサイバー犯罪が多発、営利目的と違う動機に注目

  5. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  6. [数字でわかるサイバーセキュリティ] 2016年上半期サイバー脅威、8割以上「非公開アドレス」を標的

  7. [数字でわかるサイバーセキュリティ] 個人情報1492人分、放射性物質の研究成果も流出? 富山大学にサイバー攻撃

  8. [インタビュー] セキュリティ診断で検知される脆弱性の傾向に変化あり(NTTデータ先端技術)

  9. ここが変だよ日本のセキュリティ 第25回 「天才少年ハッカーって言い方はどうよ?」

  10. シーズン1 「R式サイバーシステム」 第1回「プロローグ:身代金」

全カテゴリランキング

特集

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×