ソリューション

マクニカネットワークスが取り扱う製品で、皆様の課題を解決します

“正面突破”だから、たちが悪い。不正ログイン対策はなぜ難しいのか? “効く”対策は?

2013年春ごろから、多数の著名な企業やWebサービスが「不正ログイン」の被害に遭う事件が目立つようになりました。インターネットバンキングやECサイト、ポイントサービスといった直接金銭に結び付くようなサービスだけでなく、ゲームの会員サイト、SNSのように多数のユーザを抱えるサービスも狙われました。

Webサービスの運営企業にとって、不正ログインは大打撃です。対象となったユーザへの対応やお詫びはもちろん、サービス停止に伴う機会損失や影響のあるユーザへの周知と対応、被害状況の調査、今後の対策などに多大なコストが生じます。しかし、社会的な信用を失うことの方が、むしろダメージは大きいかもしれません。

一方で不正ログインは、ソフトウェアの脆弱性を狙った従来型の攻撃とは異なり、正しいログインルートを通じて正面突破を狙うものが多いのが特徴です。ひとつひとつのアクセスは正規のものと変わらないため、Webサーバ側で攻撃だと認識して対処するのは難しいのです。同様に、ファイアウォールや侵入防御システム(IPS)などの一般的なゲートウェイセキュリティでも検知は困難です。

それでは、いかに対処すべきでしょうか? Webアクセスの詳細な解析に基づく制御システムが、効率的な対策となります。

不正ログインの被害がニュースを騒がせた2013年から2年、同様のニュースは減ったように感じますが、これは、この攻撃が目新しくなくなったためメディアが取り上げなくなったことと、被害に遭った企業も対応方法が対象となったユーザへの連絡のみへと変わったことによるものです。このように、被害状況を追うことは難しくなっていますが、実際は依然として被害は起きています。

今回は2013年にマクニカネットワークス セキュリティ研究センター 凌(しのぎ)が解説した「不正ログイン対策」の記事を改めてご紹介します。

「正面突破」で検知が困難な不正アクセス

表1は、2013年に国内で発生した主要な不正ログインのニュースをまとめたものです。「ブルートフォース攻撃」「リスト型攻撃」といった通常のログイン手順に沿った攻撃手法が取られました。

表1. 2013年に国内で発生した主な不正ログイン事例
発表日付 Webサイト種別 攻撃期間 成功件数/試行件数(件)
4月3日 ポータル 4月1日~4月2日 10万8716/不明
4月6日 ポイントカード 不明 299/不明
4月6日 電子ブック関連 4月5日 779/2821
4月17日 鉄道関連 3月31日 97/2万6000
4月24日 決済関連 4月18日~4月19日 5450/不明
5月9日 通信販売 5月4日~5月8日 1万5000/111万
5月22日 化粧品関連 5月6日~5月12日 624/24万
5月27日 小売り関連 5月6日~5月23日 8289/520万
6月18日 通信販売 6月18日 126/1万1301
6月26日 ISP関連 6月21日~6月25日 756/不明
7月5日 ゲーム関連 6月9日~7月4日 2万3926/1545万7485
7月10日 ゲーム関連 6月13日~7月7日 3万5000/394万
7月17日 ISP関連 7月14日~7月16日 28万1184/不明
  • パスワードリスト攻撃
  • ブルートフォース攻撃

※2013年8月時点

ブルートフォース攻撃は、あらかじめ用意したよく使われるパスワードの文言リストを用意し、「1つのアカウント」に対して何度もログインを試みる攻撃手法です(表2)。古くからある攻撃手法であり、Webサイト側でも、例えば「3回連続してログインに失敗したらアカウントをロックする」などの対策を取っていることもあります。

表2. 不正ログインの代表的な手法
攻撃手法 解説 IDとパスワード
1.ブルートフォース 予め用意したパスワードのリストを固定のIDに試す
2.リバースブルートフォース 予め用意したIDのリストに対して固定のパスワードを試す
3.リスト型攻撃 他の認証システムより入手したIDとパスワードの組み合わせを試す

少々聞き慣れませんが、「リバースブルートフォース攻撃」という攻撃手法もあります。リバースブルートフォース攻撃は、パスワードのリストを用意するブルートフォース攻撃とは異なりアカウントのリストを用意して1つのパスワードでログインを順に試行していくタイプの攻撃手法です。単一アカウントで見れば、ログイン失敗は一度きりであるため、アカウントロックはかからず、正規のユーザがパスワードを間違えた場合と見分けが付かないという特徴があります。

リスト型攻撃は、他のシステムやサービスから入手したID/パスワードのリストを用いて、ログインを試行するタイプの手口です。皆さんは、あるSNSで用いているID/パスワードの組み合わせを、ネットショップでも利用していることはないでしょうか? より重要度の高いサービスを狙うために、まずはセキュリティ対策が手薄だとみられるサービスを狙う、巧妙な手口です。

「大手サイトのWebサーバやWebアプリケーションは、セキュリティホールをふさぎ、さまざまな対策を実施しています。そのため攻撃者は、正面突破を狙う不正ログインへ手法を変えてきたのでしょう」。マクニカネットワークス セキュリティ研究センター 主任技師の凌は、不正ログインが目立つようになった背景をこう分析します。実際、攻撃者が不正ログインに使うツールや上述したパスワードリストは、「アンダーグラウンドサイトで容易に手に入る」というのです。

Webサイト側での対策はほぼ不可能

こうした不正ログインは、Webサイトの設定や機能、運用の工夫で防御することはできないのでしょうか。

表3を見ていただきますと、ブルートフォース攻撃以外には殆ど無力であることが分かります。

表3. Webサイト側の主要な不正ログイン対策の効果
対策 解説 効果
ブルートフォース攻撃 リバース
ブルート
フォース攻撃
パスワード
リスト攻撃
パスワード
ポリシーの強化
安易なパスワードを設定できなくする ×
一定時間
ログイン停止
連続で認証に失敗した場合に一定時間(10分など)、ログインをさせない × ×
CAPTCHA 連続で認証に失敗した場合にCAPTCHAを表示する(ツールによる実行の防止) × ×
アカウントロック 連続で認証に失敗した場合に、パスワードリセットが施されるまでログインを停止する × ×

もちろん、Webサイトに高度なセキュリティシステムを導入すれば、一定の防御は可能です。

例えば「環境識別」というシステムはユーザが普段利用している環境(IPアドレスやデバイス識別子)を記録しておき、大きな変化が表れたときには異なる認証方式を利用してもらうという手法です。Yahoo! やGoogleなども採用しています。また、ワンタイムパスワードやマトリクス認証などを併用する「2要素認証」は、オンラインバンクでよく用いられる手法です。

ただし、環境識別はチューニングが難しく、IPv4ネットワークでは精度が低いという課題があります。2要素認証は利便性が低く、ユーザに負担を強いてしまいます。何より、これらのシステムを導入するには多額の費用と労力が必要になるという問題もあります。

それでは、Webサイト本体ではなく外部システムによる対策はどうでしょうか。ファイアウォールや侵入防御システム(IPS)などのゲートウェイセキュリティ製品が考えられますが、解析対象がTCPやIPといったプロトコルが中心であり、不正ログインのように正規のアクセスと変わらない攻撃は検知できず、やはり無力です。

次に考えられる対策が「ログ監視」です。例えば、通常のログイン成功率を記録しておいて、急激に成功率が低下した(認証失敗が増えた)場合には攻撃を受けていると想定できます。Webサイトのアクセスログの場合、単一のIPアドレスから大量のアクセスが発生している場合には、やはり攻撃として認識することが可能です。

ログ監視は、特に長期間にわたって検知されにくいようゆっくりと不正ログインを試行するタイプの攻撃には有効な手法となります。ですがリアルタイムに防御するためには、ログを高速に解析し、ゲートウェイセキュリティ製品と連携させる必要があります。

そこで登場するのが「Webアプリケーションファイアウォール(WAF)」です。例えば、「同じIPアドレスからログインページヘ5分以内に100回のアクセスがあった場合は、該当の通信をブロックする」など、不正ログインの特徴を条件としてリアルタイムにブロックすることができます。

WAFは、Webコンテンツ(レイヤー7)の解析を目的に設計されています。そのため、Webサイトで認証失敗のページが表示されたことを検知して、「認証失敗」と判断する、といったことができます。従って、Webサイト側には特殊な設定や機能の追加が必要ないのが特徴です。

市場には多くのWAF製品が出回っており、機能や性能も千差万別です。「不正ログインへの対策を重視するのであれば、カスタマイズ性に優れたタイプのWAFを選定した方がよい」(凌)。既知の攻撃手法のパターンを基に攻撃を検知/ブロックする「シグネチャベース防御」では、自社特有の認証システムやWebページを狙った攻撃を検知できないためです。

SecureSphere WAFは導入が簡単で防御機能もカスタム性も優れるWAF

以上を踏まえたうえで、凌が不正ログイン対策として適切なWAF製品の代表例として紹介するのが、「Imperva SecureSphere Web Application Firewall(以下、SecureSphere WAF)」です。シグネチャベースの防御や複雑な攻撃を防ぐ「相関攻撃検証」などの基本的な防御機能に優れるだけでなく、ポリシーのカスタマイズ機能も充実しており、条件の組み合わせや入力が容易です。上述したログ監視と組み合わせて、統計的に分析された結果を反映していくこともできます。

悪意のある送信元IPアドレスや匿名プロキシ、フィッシングサイトURLなどを検知して攻撃をブロックする「レピュテーション防御(THREAT RADAR)」は、他のWAFには殆ど見られない特徴的な防御機能です。しかも、通常のゲートウェイセキュリティならば単純にブロックしかできないところを、SecureSphere WAFならばカスタムポリシーによって細かな挙動を制御することもできます。

SecureSphere WAFは、ネットワークセグメント間に設置するインライン型のWAF製品なので、既存のネットワーク構成を変更する必要が殆どなく、導入も用意です。評価導入時など、必要に応じてパケットをミラーリングして監視するノンインライン型でインストールすることもできます。

不正ログインへの対策はまさに待ったなしです。実害を招かないためには、WAF製品をはじめとする効果的な対策に早期に着手することが、必須といえます。

いつか見た景色 from Staff's Albums