WAFによるパスワードリスト攻撃対策|ケーススタディで深い理解を

パスワードリスト攻撃とは

パスワードリスト攻撃とは、第三者がで何らかの方法で手に入れたID・パスワードのリストを使い、Webサイトへ不正アクセスを行う攻撃のことです。

ユーザーは共通したID・パスワードを他のサイトでも使用していることが多い傾向があります。この傾向を利用した攻撃がパスワードリスト攻撃であり、通常のログインを行うため検知が難しいケースが多いです。

ネットユーザーの大半が複数のサイトで共通したID・パスワードを用いる傾向を利用した攻撃方法で、この攻撃は他の不正アクセスと異なり、正規のログイン方法を試みる手法であるため、プログラムによる検出が難しい点が特徴です。

パスワードリスト攻撃のケーススタディ

ここではパスワードリスト攻撃の被害や対応についてケーススタディを交え解説します。

大手ポイント型サイトのケース

大手ポイント型Webサイトに、不正ログインが発覚した場合の想定事例を考えてみましょう。不正ログインが行われて、その会社で運営しているHPの会員になりすました第三者が、正規会員のポイントをWeb上で使用できるギフト券に交換するトラブルなどが多数発生してしまうことが考えられます。

この場合、不正アクセスされた会社は、すべての会員に対して、パスワード変更を依頼するなどの対応に追われる可能性があります。

大量のアクセスを抱える大規模サイトのケース

また、何十万人もの会員を抱えるWebサイトに不正ログインされたケースを想定しましょう。この会社は不正ログインにより、大量のアクセスがあったためサービスを停止する必要があります。会員の金銭的な被害は出ないとしても、サービスの停止に追い込まれ、会員へのパスワード変更を依頼する事態に発展する危険があります。

パスワードリスト攻撃対策としてのWAF

WAFには、パスワードによる認証のときに行われる「パスワードリスト攻撃」を防止する機能があります。これにより、上記のような被害が起こるリスクを軽減することができます。

Webサイトが抱えるパスワード認証の脆弱性

Webサイトは、情報を公開するために誰でもアクセスできるようオープンになっています。そのため、悪意のある人物にとっては攻撃がしやすい仕組みです。また、ECサイトや会員サイトでは、クレジットカード情報・個人情報・ポイントなどの情報が多数あるため常に攻撃のターゲットにされます。

そこで、パスワードやIDを入力させることで、情報が一致しなければログインができないようにする対策が行われています。しかし、上記の航空会社や鉄道会社のように、可能性のあるパスワードの文字列を総当たりで試されたり、他から盗み出した情報をもとに不正なログインを試みられるなどして攻撃されます。

セキュリティソフトを入れているという安心感、パスワードがかかっているという安心感がこのような事件のリスクを増大させます。多くの顧客情報を持ち、ポイント機能などを有するWebサイトを運営する企業において、WAFの「パスワードリスト攻撃」防止機能は必要不可欠な対策といえるでしょう。

脆弱性を対策するWAFのセキュリティ機能

多くの攻撃を受けやすいWebサイトを含むインターネット上のサーバに対するセキュリティ対策には、ファイアウォール・IDS・IPS・SSL・ウイルス対策など多数あります。これらは、セキュリティに関心の高い企業では、既に採用されています。

しかし、これらを採用していてもWebサイトを効果的に防御できません。Webサイトに適した防御技術を使用しなければならないからです。上記の対策より更に効果的な対策といえるのがWAFというわけです。

WebサイトのセキュリティはWAFで高めよう！

WAFには、ファイアウォールなどで完全に防止できない「パスワードリスト攻撃」、「アプリケーションのセキュリティ上の不備を突く攻撃」、「情報漏えいの防止」、「不正プログラムマルウェア対策」、「あらかじめ登録した不正な通信パターンの遮断」など多くの攻撃に対する防御機能があります。また、攻撃の状況を見るログ機能やレポート機能など管理・保守機能も充実しています。