IT製品導入に関する技術資料を多数掲載 ホワイトペーパーダウンロードセンター
  • @IT
  • ITmedia エンタープライズ
  • ITmedia マーケティング
  • TechTarget
  • キーマンズネット
  • ITmedia ビジネスオンライン
  • ITmedia NEWS

F5ネットワークスジャパン合同会社

製品資料

F5ネットワークスジャパン合同会社

盗んだ認証情報を不正ログインに悪用、botを使った新たな攻撃手法への対策は?

盗んだ認証情報を利用し、botによって総当たり的に不正ログインを試みる「クレデンシャルスタッフィング攻撃」が拡大している。この被害を軽減するには、ID/アクセスセキュリティの徹底と、bot管理の両方が必要になる。

コンテンツ情報
公開日 2019/12/27 フォーマット PDF 種類

製品資料

ページ数・視聴時間 13ページ ファイルサイズ 7.69MB
要約
 2018年だけで、6500以上のデータ漏えい事件が公表されており、漏出した50億件以上のレコードの大部分にはユーザー名とパスワードが含まれていた。こうして盗まれた認証情報は犯罪者間で共有され、botを使って他のWebサイトで不正ログインが総当たり的に試みられている。この「クレデンシャルスタッフィング」と呼ばれる攻撃により、クレジットカード番号など多くのアカウント情報が危険にさらされているという。

 この被害を軽減するにはまず、安全なパスワード設定、フィッシング攻撃へのトレーニング、ポリシー策定など、"人"にフォーカスした対策が欠かせない。一方、企業としてアプリケーションセキュリティ戦略を作成する上では、多要素認証など面倒なログインプロセスも受け入れる従業員と、複雑化を嫌う一時的なユーザーの、両方を守らなくてはならない。

 その上で必要なのが、Webアプリケーションファイアウォール(WAF)や、フォームの難読化ツール、トークンベースの認可といったテクノロジーを、いかに活用するかという視点だ。本資料で、botを利用した最新攻撃への対抗策を詳しく見ていこう。