パスワードリスト攻撃とは?
最近、パスワードリスト攻撃が流行しています。これは、従来型の総当たり攻撃の代表格であるブルートフォースアタックや辞書アタックとは異なります。パスワードリスト攻撃の場合は、攻撃者がどこかで入手した正しいID・パスワードのリストを用いて正規ルートから不正アクセスを試みるため、ID単位のログイン試行回数はとても少ないケースが多く、正規アクセスとの判別を行うことが非常に困難なケースも予想されます。
そもそもユーザ側が、どのサイトでも同じパスワードを使いまわしている場合、とあるサイトで抜きとられてしまうと他のサイトで攻撃利用されて簡単にアクセスが成功してしまうという危険性があるため、なるべくサイトごとで異なるIDとパスワードの組み合わせをお勧めします。
さらには、提供者側のWEBアプリケーションでも2段階認証を利用するなどのさらなるセキュリティ対策の検討をするべき時期が来ています。
攻撃者側にしてみれば、ランダムにパスワードを試していくブルートフォースアタックよりも、頻繁に利用されるだろうパスワードを上位から順に試していく辞書攻撃が効率的であり、さらにはどこかで盗んできた正しいID・パスワードのリストは、いちばん手軽なラッキーアイテムであると言えます。
また、辞書攻撃で使われるリストも、ある程度公開情報を参考にしているのが一般的と思います。逆を言えば、私たちもそのパスワードリストを事前に参照して、ユーザが頻出パスワードを設定する事を禁止させるのもシステムとして一つの防御対策になると思います。
代表的なリスト提供サービス
ではここで、代表的なリスト提供サービスをご紹介しましょう。
■OpenWall https://www.openwall.com/wordlists/
-攻撃者が利用する一般的なパスワードクラック用のリストを提供
-有償版と無償版のリストを提供
試しに無料版で入ってダウンロードしてみてみました。
https://download.openwall.net/pub/wordlists/passwords/
password.gzを解凍するとpassword.lstというファイルがありますので.lstビューワーを使って開いてみます。“Last update: 2011/11/20 (3546 entries)“、無料版は長らく更新されていないようです。パスワードが頻出順に並んでいますが、この中に私も普段使っているパスワードが含まれていたため少々驚きしました。
ここで、頻繁に使われているパスワード「TOP20」をご紹介します。
1 | 123456 | 11 | 1234 | 21 | service |
2 | 12345 | 12 | qwerty | 22 | canada |
3 | password | 13 | money | 23 | hello |
4 | password1 | 14 | carmen | ||
5 | 123456789 | 15 | mickey | ||
6 | 12345678 | 16 | secret | ||
7 | 1234567890 | 17 | summer | ||
8 | abc123 | 18 | internet | ||
9 | computer | 19 | a1b2c3 | ||
10 | tigger | 20 | 123 |
さらに攻撃者は、このリストをツールに入れて攻撃をしかけます。ツールは、THC-HydraやMedusaと呼ばれるものがありますが、さすがに詳しい使い方などの案内は今回は割愛します。いずれにしても、攻撃者が上記のようなツールを使う事を前提にした場合、そのツールからのアクセスを検知できれば、攻撃を防げるということです。
そこで、これらツールを検知して攻撃から守るために、クラウド型のBot攻撃検知のためのソリューションの活用をお勧めしています。そして本日は、CDNetworksが提供する「クラウド・セキュリティ Botシールド」の概要をご紹介します。
クラウド・セキュリティ「Botシールド」のご紹介
CDNetworksは、急増するBotによるサイバー攻撃を未然に検知して防ぐことのできるクラウド型のBot攻撃防御対策「Botシールド」を提供しています。
Botシールドは、 グローバルなCDNプラットフォームと統合されたクラウド型のBot防御対策です。急増するBotによるサイバー攻撃を未然に検知しブロックする多彩な機能を搭載しており、Webセキュリティの強化を図るとともに、パフォーマンスと可用性の高いWeb配信を実現します。また、Botによる未知の攻撃(ゼロデイ)の検知にも役立ち、より広範囲でさまざまなタイプの攻撃からWebサイトを保護し、サービス継続性を保つことでユーザエクスペリエンスを向上します。
Botシールドは、悪性Botを検知・ブロックするための「IPレートリミッティング」、「Javascriptチャレンジ」、「キャプチャ」、「デバイス・フィンガープリント・チャレンジ(DFC)」、「ヒューマン・インタラクション・チャレンジ(HIC)」の5つの防御レベルを設定することができます。もはや1つの対策だけでBot攻撃を防御することは難しく、多彩な機能の活用により進化するBotを確実に排除していくことが必要とされています。
CDNetwokrsのBotシールドをご検討の際にはぜひお気軽にご相談ください。無料トライアルも実施中です。
また、CDNetworksでは、Bot対策に関する詳細をまとめたホワイトペーパーを提供しています。是非ご覧ください。
なお、弊社では、Web会議(30分ほど)でのサービス紹介も承っております。
ご興味、ご関心のあるお客様は、お気軽にお問い合わせフォームよりお申し付けください。
==================================
■お問い合わせはこちら >>お問い合わせフォーム
■関連資料のダウンロードはこちら >> 資料ダウンロード
==================================
株式会社シーディーネットワークス・ジャパン TEL:03-5909-3373(営業部)