「一般的な対策」のメリットとデメリット
――では、Webサイトを提供している企業側では、この「パスワードリスト攻撃」にどのように備えればいいのでしょうか。
|
|
田中氏 : いくつかの方法が考えられますが、それぞれにメリットとデメリットがあります。
まずは、サイトにおける「パスワードポリシーの強化」です。これは、ユーザーに対して、サイトで利用するパスワードの桁数を増やしたり、英数字や記号、大文字小文字の混在を強制したりといった形で、より強いパスワードの使用を求めるものです。「他サイトと同じパスワードを使わない」ことを求めるといった対策も含まれます。
この方法はサイト運営側にとっては手軽ですが、ユーザー側の負担が大きくなるというデメリットがあります。
もうひとつは、「複数要素認証」や「リスクベース認証」といった新たな認証システムを導入して、認証システムそのものの強度を高める方法です。この場合、導入にあたって運営側に大規模な投資が必要になるケースが多くなります。
これらに加えて、システム監視にポリシーの追加を行い、パスワードリスト攻撃時の特徴である「短時間での大量のアクセス」を早期に発見し、見つけ次第アクセス遮断などの対応を行うという方法も考えられます。ただ、大量のアクセスが「攻撃」であるかどうかの判断には、ある程度のスキルが必要になりますし、やはりサイト運営側のコストが大きくなってしまうというデメリットは避けられません。
境氏 : ユーザーに利便を提供することが目的であるITサービスにおいて、ユーザーに負担を強要することは本末転倒ともいえます。「他サイトと同じパスワードを使わない」ことをユーザーに求めるのであれば、ユーザーがなぜ同じパスワードが使うのかを理解した上で、ユーザーが自然に同じパスワードを使わないようになるサービスを提供すべきでしょう。
実際には、こうしたそれぞれの対策を、許容できるリスクとコストに照らし合わせながら、適切なレベルで組み合わせて導入するといった形になると思います。
場合によっては、外部のユーザー認証サービスを使ってリスクを移転させるという選択肢も検討するべきです。例えば、YahooやGoogleなどでは、OpenIDによる認証サービスを提供していますし、MozillaからはPersona と呼ばれる独自の認証サービスが提供されています。こうした大手サービスでは最新の対策を施した認証環境を使っていますので、それを活用することでリスクが軽減されるはずです。
もっとも、こうした外部サービスによりリスクを移転した場合でも、何かあったときの責任までは移転できません。仮に外部の認証サービスに問題があって不正にログインされ、個人情報が漏えいしたとしても、責任はサービス提供者側でとらなければなりません。この点は留意しておく必要があるでしょう。
WAFで「攻撃のコスト」を上げる
――これらの一般的な対策に加えて、サービスの運営者側にできることはあるのでしょうか。
田中氏 : われわれはSIerの立場で、エンドユーザーの負荷をできる限り増やさずに、運営者側で新たなシステムを導入するコストも下げられる方法をご提供できないかと考えています。その中で、ひとつ有効だと考えているのが、Web Application Firewall(WAF)の導入による、パスワードリスト攻撃への対策です。
先ほどもお話ししましたが、パスワードリスト攻撃は現在、「攻撃者側のコストが低くなっている」ために大流行しています。そこで、従来の対策手法に加えて、WAFの設定により攻撃のためのコストを上げてしまい、それによって攻撃を沈静化させることができるのではないかと考えています。
――「攻撃のためのコストを上げる」とは、具体的にどういうことなのでしょうか。
田中氏 : SCSKが、WAFの導入コンサルティングサービスの一環として提供している「パスワードリスト攻撃対策ソリューション」では、サイトのログインページに対して一定時間に「ログイン失敗」が大量に発生している状況を検知すると、攻撃者に対してのみ「偽のレスポンス」を返答するように、サイトの設定を自動的に切り替えてしまいます。
攻撃されているかどうかは、単位時間当たりのログイン失敗回数や、アクセス元のIPアドレスなどから判断します。
具体的には、攻撃者に「自分のアクセスがサイト側で拒否されている」ことを悟られないよう、単に「ログインに失敗した」時と同様のレスポンスをWebサーバ側から行うように設定を切り替えます。
すると、攻撃者側では、攻撃に使っているパスワードリストがこのサイトに対しては完全に「無効」であるように見えます。攻撃収束後、つまり攻撃と判断されるアクセスが減った後には、自動的に防御状態を解除します。
|
|
WAFを使ったソリューションの概要(⇒資料の全ページダウンロードはこちら) |
WAFでこうした対処を行うことにより、攻撃者側からしてみれば、そのサイトへの攻撃が、かけた時間と試行回数に対するログイン成功率が低い、つまり「コストの高い」ものになるのです。
|
|
境氏 : 今回、WAFを使用した対策例をお話ししましたが、我々もWAFですべてのパスワードリスト攻撃が防げるとは考えていません。サービス提供側の取れる、多くある対策の内、その選択肢の一つとしてWAFによる防御を例として挙げさせて頂きました。 SCSKはSIerですので、ネットワークだけでなく、その背後で動いているWebアプリケーションやアプリケーション基盤そのものにも精通しています。お客様や、サービスの種類、規模によっては、WAFの設定だけでなく、Webアプリケーション自体の改修や運用方法の見直しなど、各企業が予算に応じて、最も効果的にセキュリティレベルを高めるためのご提案を、総合的な視点で行える点が強みだと考えています。
――ありがとうございました。
資料のご提供BIG-IP ASMによるパスワードリスト攻撃対策ソリューション
![]()
本稿内でも引用しておりますSCSK株式会社の「BIG-IP ASMによるパスワードリスト攻撃対策ソリューション」PDF資料を全ページ無料でご提供中です。「パスワードリスト攻撃」に対してより具体的な対策を打っていきたいと思っている方は、この機会にせひご覧ください。
