急増するID、パスワードへの攻撃にどう対処するか(ペンタセキュリティ) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.02.28(火)

急増するID、パスワードへの攻撃にどう対処するか(ペンタセキュリティ)

特集 特集

韓国に本社を持ち、WAFとデータベース暗号化製品を提供するペンタセキュリティシステムズ株式会社(ペンタセキュリティ)。同社はWAF製品に「ブルートフォース遮断機能」を新たに追加した。

今回は同社の代表取締役社長 桜田仁隆氏に、IDとパスワードを取り巻く攻撃の現状とリリースされた新機能について話を聞いた。


――ブルートフォース攻撃の定義と現状について教えてください

Windowsへのログオンをはじめ、多くのシステムやWebサービスで認証が用意されています。これらはIDとパスワードの組み合わせが一般的で、パスワードにはなるべく意味のない文字列の組み合わせでなおかつ出来るだけ長い方が良いとされています。しかし、人間はパスワードの文字列にも意味を持たせようとします。パスワードを忘れないようにするためですが、ログイン認証を突破しようと企む攻撃者にとってはパスワードを推測しやすくしています。

そこで攻撃者は、パスワードによく使われる文字列を中心とした辞書を用意し、ひとつずつログインを試していきます。これがブルートフォース攻撃で、辞書攻撃や総当たり攻撃とも呼ばれます。

ログインを起点としたブルートフォースによるサイバー攻撃は、大きく3種類に分けることができます。ひとつは、ログインIDを固定し、パスワードを大量に試行するという一般的なブルートフォース攻撃。逆に判明しているパスワードを固定し、ログインIDを大量に試行するリバース型。さらに最近では、情報漏えいによって入手したログインIDとパスワードのリストを、他のシステムやWebサービスで試行していく「リスト型」が急増しています。

現在はログイン認証を求めるサイトが増加し、IDとパスワードの組み合わせ管理が困難になりつつあります。そのため、ユーザは同じ組み合わせを複数のサービスで使い回す傾向があり、漏えいした情報を利用しようとする攻撃者にとっては非常に効率がよくなるわけです。

また最近の傾向として、ステルス型のブルートフォース攻撃も確認されています。従来のブルートフォース攻撃は短時間に大量のログイン試行を行っていました。5月末に発生した動画投稿サイトへの攻撃では、8日間で220万回以上のアクセスがあったといいます。1時間あたり1万1千回ということになりますから、すぐに攻撃に気づくことができます。しかしステルス型では、例えば5分に1回といったペースでログイン試行を行います。これを365日繰り返していくわけです。ステルス型は標的型攻撃の手法のひとつとしても活用されています。

――ブルートフォース攻撃に対して、個人ユーザができる対策はありますか

システムごと、サービスごとに異なるパスワードを使うことに尽きますが、実際問題として難しいでしょう。複数のパスワードを用意して切り替えていくという方法もありますが、システムによってパスワードの文字数に違いがあったり、使える文字種にも違いがあります。

また、セキュリティはパスワードひとつ考えても、レベルを高めること利便性とのトレードオフが発生します。サービス側もいろいろと工夫を重ねていて、パスワード以外の方法、CAPCHAや図形のドラッグといったものも採用が進んでいます。二元認証もそうですね。認証のレベルを上げるには有効な手法だと思います。

――WAPPLESに追加された「ブルートフォース遮断機能」について教えてください

もともとWAPPLESには、IPという名前のつく機能が2つあります。それがIPフィルタリングとIPブロックという機能です。IPフィルタリングは、スタティックにソースIPアドレスを決め打ちしてアクセスさせない、あるいは特定のドメインを指定してアクセスさせない機能です。一方IPブロックは、IPの自動遮断機能です。IPアドレスに評価点をつけていき、一定の評価点を超えたIPアドレスを自動的に遮断するというものです。

評価点には複数の要素がありますが、そのひとつに一定時間内の特定サイトへのアクセス入力回数というものがあります。普通のWebページに何回もアクセスすることは珍しくありません。でも、ログインページは何回もアクセスしませんよね。このため、ログインページを指定し、たとえば30秒に10回あったらそのソースIPを遮断するといった対策を行います。

ただし、ログインページへの複数回のアクセスには、誤検知の可能性もあります。それを加味して時間とアクセス回数を設定することが可能です。WAPPLESではアクセス遮断時間の設定も可能で、最短で300秒、最長365日までとなっており、サイトのポリシーに合わせて利用可能です。この2つの機能をブルートフォース攻撃対策として改めて提供した形です。ブルートフォース攻撃遮断機能をオンにすることで、ログも取得できるようになりますから、社員が自宅から社内にアクセスする場合にブロードバンドルータが使っているグローバルIPアドレスを調べて、IP遮断リストから削除するなども可能になります。

――ほかにもIDやパスワードへの攻撃に有効な機能はありますか

例えば先ほどの動画投稿サイトへの攻撃の際には、1時間に1万1千回のアクセス試行があったのですから、DDoS攻撃ともいえると思います。WAPPLESには、無駄なトラフィックを渡さない機能もありますので、このような場合においても重要な役割を果たします。しかもUDPプロトコルは見ませんので、DDoS攻撃を受けている状態でも無駄なトラフィックをブロックしながらユーザに快適な環境を提供できます。

また、ブルートフォース攻撃を含む疑わしいアクセスは、ボットを使っているケースもあります。ボットはブラウザではない端末がブラウザに偽装してアクセスしてきますので、クッキーを投げることでボットを検出しブロックするといった機能も有しています。

――ありがとうございました
《吉澤 亨史》

関連記事

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. piyolog Mk-II 第11回 「佐賀県学校教育ネットワークへの不正アクセス事件を振り返り気になったコト」

    piyolog Mk-II 第11回 「佐賀県学校教育ネットワークへの不正アクセス事件を振り返り気になったコト」

  2. [新春対談] 一田 和樹 vs 辻 伸弘 : インターネットの善悪と2017年展望

    [新春対談] 一田 和樹 vs 辻 伸弘 : インターネットの善悪と2017年展望

  3. [セキュリティ ホットトピック] 業務連絡に見せかけたウイルス付きメールが大量発生、「発注書」「添付写真」に注意を

    [セキュリティ ホットトピック] 業務連絡に見せかけたウイルス付きメールが大量発生、「発注書」「添付写真」に注意を

  4. 生体認証は危険!? 課題と危険が山積みで利用者にはデメリットだけ!?(1)

  5. [数字でわかるサイバーセキュリティ] 2016年「セキュリティ十大ニュース」、1位は“IoT機器によるサイバー攻撃”

  6. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. 工藤伸治のセキュリティ事件簿 シーズン1 「R式サイバーシステム」 第1回「プロローグ:身代金」

  9. 工藤伸治のセキュリティ事件簿シーズン6 誤算 第4回「不在証明」

  10. [数字でわかるサイバーセキュリティ] 2割超がインシデント対応計画「まったく無い」、組織運用実態

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×