安心・安全なWebサイトの作り方 〜なりすましログイン対策〜

IT・IT製品TOP > Key Conductors > 佐藤 栄治(バラクーダネットワークスジャパン株式会社) > 安心・安全なWebサイトの作り方 〜なりすましログイン対策〜
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

安心・安全なWebサイトの作り方 〜なりすましログイン対策〜

ネットワークセキュリティ 2013/09/06

なりすましログイン被害が急増中

 最近、ニュースで大手通販サイトや、ゲーム会社や、プロバイダーのサイトなどで「なりすましログイン事件」が発生したというニュースをよく耳にします。悪意あるハッカーが、他人になりすましてログインを行うというものです。

○ECサイト
       4月24日から5月31日にかけて大量のログインエラーがあったことを確認
       最大9609件の顧客情報が閲覧された可能性がある、うち3909件についてはクレジットカード情報も含まれる。
○デパート オンラインショップ
       15個のIPアドレスを発信元として、5月6日から23日にかけて520万2002回にわたりトライ
       最大8289人が不正にログインされた
 ○大手通販サイト
           特定の複数IPから、5月4日から5月8日にかけて、約111万件のトライ 
           約1万5000アカウントに不正にログインされた
○老舗ゲームメーカー
           6月9日から7月4日にかけて1545万7485回にわたりトライ
            2万3926件のIDが実際にログインされた
○老舗ゲームソフトメーカー
           6月13日から7月7日にかけて394万5927回にわたりトライ
        3万5252件のIDが実際にログインされた。
○大手通販サイト
             6月18日16:48から22:28にかけて1万1031件にたりトライ        
       126アカウントがログインされた

等々、公表されている物だけでも多数存在しています。はたしてハッカー達は、どのように攻撃しているのか?

ブルートフォース攻撃

 従来、ハッカーがなりすましログインをする場合、ブルートフォースという攻撃でパスワードハックを行っていました。インターネットで簡単に入手可能なパスワードクラック辞書ツールを使って、考えられるあらゆるパターンのパスワードを順番に試す攻撃手法です。この攻撃は大量のログイン失敗が起こるため、管理者に非常にばれやすいという欠点がありました。

パスワードリスト攻撃

 最近のなりすまし事件は少し違います。パスワードリスト攻撃と呼ばれています。どこかのサイトAでIDとパスワードが漏れたとします。このIDとパスワードの組み合わせを元に、別のサイトBでログインをトライするのです。
 大抵のユーザはIDとパスワードを使い回していますので、辞書の信頼性は抜群となり、簡単にログインができてしまいます。そして、攻撃者はカード番号、住所など、さらなる情報を取得していくのです(ポイントを勝手に使われてしまった被害なども発生しています)。この攻撃の場合、ブルートフォース攻撃の際に欠点となった、ログイン失敗が出にくいという問題も克服されたので、サイト管理者が気づきにくくなり、被害が大きくなっているのです。

パスワードリスト攻撃の仕組み

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

パスワードリスト攻撃の仕組み

考えられる対策

パスワードの使い回しをやめる

 まずは読者の皆さんの意識改革です。
 今すぐ、パスワードの使い回しは中止し、お使いのサイトのパスワードをすべて異なるパスワードに替えて、定期的に変更を行ってください。そんなに多くのパスワードが覚えられないという方は、パスワード管理ツールなどを使うのも良いかもしれません。なお、マルウェアなどに感染した場合の危険性も考慮して、パソコンにテキストファイル、Excelなどでまとめるのもおすすめしません。
 同僚や、ご家族などにも是非、使い回しの危険性を是非教えてあげてください。

プラスアルファの認証の仕組みの導入

 サイト側の対策としては、従来のユーザ、パスワードの認証に加えもう1つの認証を加えるといった仕組みをサイトに組み込む事が有効とされています。
 たとえば、PIN番号や、図形認証など、ユーザしか知り得ない認証方法。携帯電話のSMS(ショートメール)など、本人しか持ち合わしていない物を使った認証などです。またGoogleなどの外部認証システムを利用されることもいいでしょう。
 しかし、利便性が損なわれてしまいますので、利用者からの反発、サービス離れ、といった、サービス面の影響をはらんでいます。また、システムの大幅改変などの作業が必要となり開発運用側にも大きな負担がかかってしまいます。

対策製品の導入

 WAFなどの対策製品を検討する。
 但しすべてのWAFが、パスワードリスト攻撃に対応している訳ではないので注意が必要です。Barracuda WAFの場合、大量のログイン行動を検知したときだけ、CAPTCHA(キャプチャ)認証画面を挿入します。この認証を通過すれば、従来どおり使い続けられるので、一般ユーザには影響が少ないです。一方攻撃者に対しては、パスワードリスト攻撃は、ルーチン化されたリクエストを送り続けるため、CAPTCHA認証を彼らは突破できず、ログイン失敗と認識されてしまうのです。この方法であれば、普段は従来どおり、サービス提供を行い、緊急時だけ、ユーザにプラスアルファの認証を要求するので、負担も少なくて済みます。

Barracuda WAFによるCAPTCHA(キャプチャ)認証画面挿入イメージ

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

Barracuda WAFによるCAPTCHA(キャプチャ)認証画面挿入イメージ

参考情報
Barracuda Web Application Firewall : http://www.barracuda.co.jp/products/waf

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30006577


IT・IT製品TOP > Key Conductors > 佐藤 栄治(バラクーダネットワークスジャパン株式会社) > 安心・安全なWebサイトの作り方 〜なりすましログイン対策〜

このページの先頭へ

キーマンズネットとは
2009年 バラクーダネットワークスジャパン株式会社に入社。シニアプリセールスエンジニアとして、企業・ECサイト・銀行・ISP・官公庁や自治体などに多数のWebセキュリティ&アプリケーションデリバリソリューションを提案、導入。Webセキュリティに関する話題をわかりやすく解説します。

ページトップへ