近年、外部からの攻撃による情報漏洩の被害が後を絶たないことは周知の事実であろう。攻撃の手口は日々多様化しており、中には「パスワードリスト型攻撃」と呼ばれる、インターネットサイトなどから入手したユーザーのIDやパスワードの一覧を用いて、攻撃対象となるサイトに対してログインの試行を繰り返すものがある。
この攻撃による情報漏洩被害の報告が急増しており、独立行政法人 情報処理推進機構(IPA)から2013年8月に、早急な対策を行うよう呼びかけがなされている。
※ 独立行政法人 情報処理推進機構:2013年8月の呼びかけ
そこで今回、データ・セキュリティの専門家集団として注目を集める株式会社Imperva Japanのテクニカルディレクター 桜井 勇亮氏に、急増するパスワードリスト型攻撃について、傾向と対策を解説いただいた。
短期間に集中して繰り返される攻撃
「最近の攻撃は、クリティカルなサイトに狙いを定め、数週間から一ヶ月程度の短期間に、集中的に行われるケースが多くなっています」(桜井氏)
その攻撃はいつ来るか分からず、手段も巧妙化しているため、攻撃されているという事実に気が付かない場合も多い。このような攻撃に対する最も有効な手段は、IDとパスワードを複雑なものにして、使用するサイトごとに内容を変更することである。IPAも、パスワードの強化と使い回しに対する注意喚起を行っている。「ただ現実的な話としては、これをもって対策とするのは難しいと思います」と桜井氏は語る。
ログイン情報の流出は防げない
株式会社Imperva Japan テクニカルディレクター 桜井 勇亮氏 |
SNSやネットショップ、会員制サイトなど、ネット上のサービスは、そのほとんどにおいてIDとパスワードによる認証が必要となっている。この場合、(当然ではあるが)それぞれIDとパスワードが異なる方がセキュリティ効果が高い。だが、「人が覚えられるIDやパスワードの種類は、せいぜい3つか4つが限界でしょう」(桜井氏)というように、忘れた場合のことを考えて、パスワードを分かりやすく簡単なものにしてしまう人が多いのも事実だ。
「以前、弊社で情報漏洩事故を起こしてしまったサイトを調査する機会があったのですが、そこで最も多用されているパスワードは、12345……という数字の並びでした」(桜井氏)
会社の業務システムと、私用で登録しているネットショップのログインID/パスワードが同じ、という人もいるかもしれない。その場合、ネットショップ側からIDとパスワードの情報が流出してしまうと、いくらゲートウェイでのセキュリティ対策を強化しても侵入を防げないといった事態が生じる可能性がある。
もちろん、社員やサービスを利用している会員に向けて、ログイン情報の使い回しやパスワードの強化を促すことは重要である。だが、この方法による対策には限界がある。そこで「『リストは漏れる』ということを前提とした対策が必要となります」と桜井氏は主張する。
精度の高いポリシーを用いたWAFによる防御
一般的に、Webアプリケーションの利用にはログイン認証を行う。そのためパスワードリスト型攻撃もWebアプリケーションに対して行われるケースが多い。この攻撃への有効な対策の1つがWAF(Web Application Firewall)である。
「例えば、同じログインページ(URL)に、同一の送信元から、3分間に30回以上ログインを試みてきたら、そのIPアドレスからのアクセスを遮断します。このようにWebアプリケーションレベルの攻撃に対して防御を行うものがWAFです」(桜井氏)
この「時間」や「回数」などのポリシーを設定するには、まず攻撃の可視化を行うことが重要だと桜井氏は語る。
「ポリシーの精度が低いと、攻撃の兆候を見逃してしまったり、逆に多すぎるイベントに担当者が振り回されることになりかねません。いつ、どこから、誰が、どういう頻度で攻撃を仕掛けてきているのかを可視化して把握する。その情報に基づいて精度の高いポリシーを設定することが必要です」(桜井氏)Impervaが提供しているWAF製品「SecureSphere Web Application Firewall(以下、SecureSphere WAF)」は、それができるという。
世界的な研究機関Imperva ADCの存在により高度なセキュリティが実現
ポリシーの精度を高めるために、Impervaではセキュリティの専門家によって構成された専門機関Imperva ADC(Application Defense Center)を運営している。「SecureSphere WAF」には、Imperva ADCの研究成果によってもたらされた豊富なアプリケーション・シグネチャとポリシーが反映されている。
それでも「現実的に、すべての攻撃を完璧に防ぐのは不可能です」と桜井氏は語る。
「システムへの侵入を防ぐこと以上に重要なことは、内部に保管されている重要なデータを守ることです。これからはネットワークセキュリティより”データ・セキュリティ”の重要性が高まると考えています。私たちは、この領域に特化したソリューションを提供していきたいと考えています」
Imperva Web Application Securityの主な機能
- Webアプリケーションの構造や使用状況を自動的に学習
- Imperva ADC(Application Defense Center)の研究成果に基づきWebに対する防御機能を強化
- 危険にさらされる期間を短縮し、アプリケーションの緊急修正による影響を軽減するために、アプリケーションの脆弱性に対するバーチャル・パッチを適用
- 透過型のインライン配置
- Webアプリケーションのセキュリティを簡素化し、DDoS攻撃を防御するクラウド型のサービス
お問い合わせ先
株式会社Imperva Japan
東京本社:〒150-0002 東京都渋谷区渋谷3-16-1 不二ビルディング渋谷9F
TEL:03-5464-8131(代表)
Mail:info_jp@imperva.com
Web サイト: http://www.imperva.jp/
(マイナビニュース広告企画)
[PR]提供:Imperva Japan