IT製品導入に関する技術資料を多数掲載 ホワイトペーパーダウンロードセンター
盗んだ認証情報を不正ログインに悪用、botを使った新たな攻撃手法への対策は?
コンテンツ情報
| 公開日 | 2019/12/27 | フォーマット | 種類 | 製品資料 |
|
|---|---|---|---|---|---|
| ページ数・視聴時間 | 13ページ | ファイルサイズ | 7.69MB | ||
要約
2018年だけで、6500以上のデータ漏えい事件が公表されており、漏出した50億件以上のレコードの大部分にはユーザー名とパスワードが含まれていた。こうして盗まれた認証情報は犯罪者間で共有され、botを使って他のWebサイトで不正ログインが総当たり的に試みられている。この「クレデンシャルスタッフィング」と呼ばれる攻撃により、クレジットカード番号など多くのアカウント情報が危険にさらされているという。
この被害を軽減するにはまず、安全なパスワード設定、フィッシング攻撃へのトレーニング、ポリシー策定など、"人"にフォーカスした対策が欠かせない。一方、企業としてアプリケーションセキュリティ戦略を作成する上では、多要素認証など面倒なログインプロセスも受け入れる従業員と、複雑化を嫌う一時的なユーザーの、両方を守らなくてはならない。
その上で必要なのが、Webアプリケーションファイアウォール(WAF)や、フォームの難読化ツール、トークンベースの認可といったテクノロジーを、いかに活用するかという視点だ。本資料で、botを利用した最新攻撃への対抗策を詳しく見ていこう。
この被害を軽減するにはまず、安全なパスワード設定、フィッシング攻撃へのトレーニング、ポリシー策定など、"人"にフォーカスした対策が欠かせない。一方、企業としてアプリケーションセキュリティ戦略を作成する上では、多要素認証など面倒なログインプロセスも受け入れる従業員と、複雑化を嫌う一時的なユーザーの、両方を守らなくてはならない。
その上で必要なのが、Webアプリケーションファイアウォール(WAF)や、フォームの難読化ツール、トークンベースの認可といったテクノロジーを、いかに活用するかという視点だ。本資料で、botを利用した最新攻撃への対抗策を詳しく見ていこう。