パスワードハックのための“辞書”がある…サイバー攻撃の犯行手口

エンターテインメント 話題
ペンタセキュリティシステムズ株式会社 代表取締役社長 桜田仁隆氏
ペンタセキュリティシステムズ株式会社 代表取締役社長 桜田仁隆氏 全 4 枚 拡大写真

韓国に本社を持ち、WAFとデータベース暗号化製品を提供するペンタセキュリティシステムズ株式会社(ペンタセキュリティ)。同社はWAF製品に「ブルートフォース遮断機能」を新たに追加した。

今回は同社の代表取締役社長 桜田仁隆氏に、IDとパスワードを取り巻く攻撃の現状とリリースされた新機能について話を聞いた。

――ブルートフォース攻撃の定義と現状について教えてください

Windowsへのログオンをはじめ、多くのシステムやWebサービスで認証が用意されています。これらはIDとパスワードの組み合わせが一般的で、パスワードにはなるべく意味のない文字列の組み合わせでなおかつ出来るだけ長い方が良いとされています。しかし、人間はパスワードの文字列にも意味を持たせようとします。パスワードを忘れないようにするためですが、ログイン認証を突破しようと企む攻撃者にとってはパスワードを推測しやすくしています。

そこで攻撃者は、パスワードによく使われる文字列を中心とした辞書を用意し、ひとつずつログインを試していきます。これがブルートフォース攻撃で、辞書攻撃や総当たり攻撃とも呼ばれます。

ログインを起点としたブルートフォースによるサイバー攻撃は、大きく3種類に分けることができます。ひとつは、ログインIDを固定し、パスワードを大量に試行するという一般的なブルートフォース攻撃。逆に判明しているパスワードを固定し、ログインIDを大量に試行するリバース型。さらに最近では、情報漏えいによって入手したログインIDとパスワードのリストを、他のシステムやWebサービスで試行していく「リスト型」が急増しています。

現在はログイン認証を求めるサイトが増加し、IDとパスワードの組み合わせ管理が困難になりつつあります。そのため、ユーザは同じ組み合わせを複数のサービスで使い回す傾向があり、漏えいした情報を利用しようとする攻撃者にとっては非常に効率がよくなるわけです。

また最近の傾向として、ステルス型のブルートフォース攻撃も確認されています。従来のブルートフォース攻撃は短時間に大量のログイン試行を行っていました。5月末に発生した動画投稿サイトへの攻撃では、8日間で220万回以上のアクセスがあったといいます。1時間あたり1万1千回ということになりますから、すぐに攻撃に気づくことができます。しかしステルス型では、例えば5分に1回といったペースでログイン試行を行います。これを365日繰り返していくわけです。ステルス型は標的型攻撃の手法のひとつとしても活用されています。

――ブルートフォース攻撃に対して、個人ユーザができる対策はありますか

システムごと、サービスごとに異なるパスワードを使うことに尽きますが、実際問題として難しいでしょう。複数のパスワードを用意して切り替えていくという方法もありますが、システムによってパスワードの文字数に違いがあったり、使える文字種にも違いがあります。

また、セキュリティはパスワードひとつ考えても、レベルを高めること利便性とのトレードオフが発生します。サービス側もいろいろと工夫を重ねていて、パスワード以外の方法、CAPCHAや図形のドラッグといったものも採用が進んでいます。二元認証もそうですね。認証のレベルを上げるには有効な手法だと思います。

――WAPPLESに追加された「ブルートフォース遮断機能」について教えてください

もともとWAPPLESには、IPという名前のつく機能が2つあります。それがIPフィルタリングとIPブロックという機能です。IPフィルタリングは、スタティックにソースIPアドレスを決め打ちしてアクセスさせない、あるいは特定のドメインを指定してアクセスさせない機能です。一方IPブロックは、IPの自動遮断機能です。IPアドレスに評価点をつけていき、一定の評価点を超えたIPアドレスを自動的に遮断するというものです。

評価点には複数の要素がありますが、そのひとつに一定時間内の特定サイトへのアクセス入力回数というものがあります。普通のWebページに何回もアクセスすることは珍しくありません。でも、ログインページは何回もアクセスしませんよね。このため、ログインページを指定し、たとえば30秒に10回あったらそのソースIPを遮断するといった対策を行います。

ただし、ログインページへの複数回のアクセスには、誤検知の可能性もあります。それを加味して時間とアクセス回数を設定することが可能です。WAPPLESではアクセス遮断時間の設定も可能で、最短で300秒、最長365日までとなっており、サイトのポリシーに合わせて利用可能です。この2つの機能をブルートフォース攻撃対策として改めて提供した形です。ブルートフォース攻撃遮断機能をオンにすることで、ログも取得できるようになりますから、社員が自宅から社内にアクセスする場合にブロードバンドルータが使っているグローバルIPアドレスを調べて、IP遮断リストから削除するなども可能になります。

――ほかにもIDやパスワードへの攻撃に有効な機能はありますか

例えば先ほどの動画投稿サイトへの攻撃の際には、1時間に1万1千回のアクセス試行があったのですから、DDoS攻撃ともいえると思います。WAPPLESには、無駄なトラフィックを渡さない機能もありますので、このような場合においても重要な役割を果たします。しかもUDPプロトコルは見ませんので、DDoS攻撃を受けている状態でも無駄なトラフィックをブロックしながらユーザに快適な環境を提供できます。

また、ブルートフォース攻撃を含む疑わしいアクセスは、ボットを使っているケースもあります。ボットはブラウザではない端末がブラウザに偽装してアクセスしてきますので、クッキーを投げることでボットを検出しブロックするといった機能も有しています。

――ありがとうございました

急増するID、パスワードへの攻撃にどう対処するか(ペンタセキュリティ)

《吉澤 亨史》

【注目の記事】[PR]

ピックアップ

教えて!はじめてEV

アクセスランキング

  1. 世界初の「破壊不可能ホイール」って何だ!? テスラ向けパーツ手掛ける米メーカーが開発
  2. 「ミニGSX-R」をスズキがサプライズ発表!? 鈴鹿8耐マシン以上に「サステナブルかもしれない」理由とは
  3. 待望の新型スズキ『GSX-R1000R』が予告なしの初公開!「3色3様」往年のレーシングカラーで日本市場復活へ
  4. 【ダイハツ ムーヴ 新型】「ポッキー入れ」にイルミネーション、軽自動車でも質感を“あきらめさせない”インテリアとは
  5. 「盤石シャシー」に「戦甲車体」採用、ワイルドすぎるオフロードSUVが1時間で9700台受注の人気に
ランキングをもっと見る

ブックマークランキング

  1. 「AIディファインド」の衝撃、日本の自動車産業は新たな波に飲み込まれるのか…アクセンチュア シニア・マネジャー 藤本雄一郎氏[インタビュー]
  2. ステランティスの水素事業撤退、シンビオに深刻な影響…フォルヴィアとミシュランが懸念表明
  3. スズキ初のBEVはなぜ「軽EV」じゃない?『eビターラ』開発者が語る「EVの悪循環」と「スズキの強み」
  4. SUBARUの次世代アイサイト、画像認識技術と最新AI技術融合へ…開発にHPEサーバー導入
  5. ブレンボが新ブレーキ開発、粒子状物質を削減…寿命も最大2倍に
ランキングをもっと見る
ホーム エンターテインメント 話題 記事
TOP
東証グロース
レスポンスは、株式会社イード(東証グロース上場)の運営するサービスです。
証券コード:6038
プライバシーマーク
株式会社イードは、個人情報の適切な取扱いを行う事業者に対して付与されるプライバシーマークの付与認定を受けています。