1. HOME
  2. ブログ
  3. Blog
  4. 不正ログインを試みる代表的な3種の攻撃「ブルートフォース攻撃」、「リバースブルートフォース攻撃」、「パスワードリスト型攻撃」をどう防ぐ? 〜Barracuda Web Application Firewallの使用で、最適な防御を実現〜

Info.

お知らせ

Blog

不正ログインを試みる代表的な3種の攻撃「ブルートフォース攻撃」、「リバースブルートフォース攻撃」、「パスワードリスト型攻撃」をどう防ぐ? 〜Barracuda Web Application Firewallの使用で、最適な防御を実現〜

不正ログインを試みる代表的な3種の攻撃「ブルートフォース攻撃」、「リバースブルートフォース攻撃」、「パスワードリスト型攻撃」をどう防ぐ? 〜Barracuda Web Application Firewallの使用で、最適な防御を実現〜 のページ写真 1

一般的な企業の業務においても、または生活の中でも、Web上のサービスの利用は欠かせないものとなっています。特に、コロナパンデミックによって、その利用頻度や範囲はさらに拡大していると言えます。サービスを利用するユーザーの個人情報や、業務上の情報、金銭などの重要な情報を守るために、サービス利用時には、IDとパスワードでの認証が要求されます。一方で、このIDとパスワードの仕組みを悪用することで、サービス上のデータを利用しようと考える犯罪者が存在します。警察庁の発表によると、2019年の不正アクセス行為は前年と比較して約99.2%増加しており、「インターネットバンキングでの不正送金等」や、「インターネットショッピングでの不正購入」、「メールの盗み見等の情報の不正入手」などが、不正アクセス後の行為に含まれます。

不正ログインを試みる手段として、大きく分けると2種類の攻撃が利用されます。第一に、何らかの方法で流出したIDとパスワードのリストを攻撃者が入手し、そのID/パスワード情報を利用してログインする「パスワードリスト型攻撃」があります。第二に、事前にID/パスワードを入手せずに、ID/パスワードの文字列を総当たりで試行する攻撃の形があります。これには、「ブルートフォース攻撃(総当たり攻撃)」と「リバースブルートフォース攻撃(逆総当たり攻撃)」が含まれます。国内においても本年9月に、NTTドコモ等の複数の決済サービスを通じた、ゆうちょ銀行等の金融機関口座の不正利用が発表され、その手口に「リバースブルートフォース攻撃」が使用された可能性が報じられました。

本稿では、不正ログインを試みる手段として代表的な三つの攻撃である、「ブルートフォース攻撃」、「リバースブルートフォース攻撃」、「パスワードリスト型攻撃」についてそれぞれの特徴を紹介し、さらに、当社の「Barracuda Web Application Firewall」を用いた具体的な対策について解説します。

代表的な三つの攻撃の特徴

ブルートフォース攻撃

ブルートフォース攻撃とは、Webアプリケーションや企業のシステムへ対し、パスワードの総当たり攻撃を行い、不正ログインを試みる攻撃です。人間による操作では大変な時間と工数がかかるため、通常、BOTなどを用いて攻撃が行われることがほとんどです。単一のクライアントからのブルートフォース攻撃は簡単に発見してブロックできるため、攻撃者はWebアプリケーションを協調して攻撃しようとする複数の攻撃ソースを頻繁に使用します。これにより、ブルートフォース攻撃の一般的な副産物として、サーバ上のリソースの枯渇が挙げられ、正規のクライアントに対するサービスの品質が低下する可能性があります。

リバースブルートフォース攻撃

ブルートフォース攻撃が、パスワードに対する総当たり攻撃を行う一方、特定のパスワードに対し、IDの文字列への総当たり攻撃を行う攻撃手法は、リバースブルートフォース攻撃と呼ばれています。通常のブルートフォース攻撃への対策として、一定回数以上パスワード入力に失敗した場合一定時間アカウントをロックするといった仕組みが普及していますが、リバースブルートフォース攻撃の場合、IDに対する総当たり攻撃となり、このような仕組みでは効果がありません。

パスワードリスト型攻撃

さらに、何らかの理由で漏洩してしまった認証情報から、攻撃者がその認証情報を用いて別のサイトに対し不正アクセスを試みる攻撃をパスワードリスト型攻撃と呼びます。同じIDとパスワードを複数のサイトで使う人が多く、パスワードリスト型攻撃の成功率は一般的なブルートフォース攻撃に比べ高いといった特徴があります。

Barracuda Web Application Firewallで効果的な防御を

  1. ブルートフォース/リバースブルートフォース防止機能の活用

バラクーダのWeb Application Firewall(以下、バラクーダWAF)は、ブルートフォース攻撃、リバースブルートフォース攻撃に対する対策を有しています。

バラクーダWAFのブルートフォース防止機能は、特定の時間内に、すべての、または特定のクライアントから特定のURLへ対し、詳細に定義可能な特定の通信が一定の回数以上行われた場合、その通信をブルートフォース攻撃として検知することが可能です。例えば、不正ログイン攻撃の対策を行いたい場合、ログインに用いられるパラメータの組み合わせが一定回数以上単一のクライアントから送られてきた場合、そのクライアントからの通信を攻撃として検知することが可能です。

検知の条件としては、送信されてくるパラメータ名や値、それらの組み合わせ、およびメソッドやヘッダ情報など詳細に定義できますので、ブルートフォース攻撃だけではなく、リバースブルートフォース攻撃に対しても柔軟に対策が可能です。また、検知ソースとして、クライアントのIPアドレスの他、特定の端末を識別するクライアントフィンガープリント毎に閾値を定義できるため、複数のプロキシを用いて送信元IPアドレスが分散されているような攻撃に対しても対応が可能です。

  1. クレデンシャルスタッフィング機能でパスワードリスト型攻撃を検知

ブルートフォース攻撃対策に加え、バラクーダWAFでは不正ログインを検知するためにより高度な機能も搭載されています。

Barracuda Advanced Bot Protection機能の一部である、バラクーダのクレデンシャルスタッフィング機能を用いることで、利用者は、Webアプリケーションが受信するすべての認証要求と、既知の漏洩してしまっている大規模な認証情報データベースを照合することにより、パスワードリスト型攻撃を容易に検知することが可能です。

漏洩済みの認証情報データベースに格納されている認証情報と合致するリクエストが1回、または一定回数以上送られてきた場合、バラクーダWAFはその攻撃元からの通信を攻撃として検知することが可能です。

  1. さらに高度なBOT対策

さらに、Barracuda Advanced Bot Protection機能を利用することにより、クラウドの機械学習レイヤとWAFを連携させることで、非常に高度なBOTを用いた攻撃を検出できるようになります。

不正ログインを試みる代表的な3種の攻撃「ブルートフォース攻撃」、「リバースブルートフォース攻撃」、「パスワードリスト型攻撃」をどう防ぐ? 〜Barracuda Web Application Firewallの使用で、最適な防御を実現〜 のページ写真 2

Webアプリケーションに送られてくる、リクエストのヘッダ情報やページトラバーサルの順序、送信元のクライアントフィンガープリントなどの情報を脅威インテリジェンス上のAIで解析することにより、より高度な攻撃へ対する防御を実現します。

これらの対策機能が搭載されたバラクーダWAFはアプライアンス製品、仮想版、クラウド版とあらゆる環境向けの導入オプションが用意されており、簡素化された日本語UIにより容易にセットアップが可能です。

製品の概要についてはバラクーダのサイト(www.barracuda.co.jp/products/waf/)をご参照ください。また、無償で30日間お試しいただける評価機/評価版も用意しておりますので、是非ご活用ください。

Barracuda Web Application Firewallについて

Barracuda Web Application Firewallは、Webサーバでホスティングされているアプリケーションや、極秘データあるいは機密データをターゲットとした、増加の一途を辿るWeb ベースの高度な侵入攻撃やその他の攻撃を防御します。インターネットとWebサーバの間に設置され、すべてのインバウンドWebトラフィックをスキャンして、攻撃を防止します。また、アウトバウンドトラフィックをスキャンして、 非常に効果的にデータ損失を防止します。Barracuda Web Application Firewallは、物理アプライアンス及びSaaS型で提供しています。

Barracuda Web Application Firewallの詳細はこちら:

https://www.barracuda.co.jp/products/waf/

※「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」、国家公安委員会、総務省、経済産業省(令和2年、3月5日)

関連記事