「パスワードリスト攻撃」への対応

2013.06.13

「パスワードリスト攻撃」について

パスワードリスト攻撃（リスト型攻撃／アカウントリスト攻撃）とは、悪意を持つ第三者が、何らかの手法によりあらかじめ入手してリスト化したID・パスワードを利用して、Webサイトにアクセスを試み、結果として利用者のアカウントで不正にログインされてしまう攻撃です。利用者は同じID・パスワードの組み合わせを複数のサイトで使用する傾向が強いため、パスワードリスト攻撃の成功率は高くなっている状況があります。

パスワードリスト攻撃については、かねてより独立行政法人情報処理推進機構（IPA）および警察庁から注意喚起が発表されておりましたが、2013年にはパスワードリスト攻撃により国内の大手ポータルサイト、オンラインショッピングサイトなどが次々に攻撃を受け、サイト利用者のアカウントを用いた不正なログインが発生する被害が報道されています。

Scutum の対応

WAF 「Scutum」 では、パスワードリスト攻撃の影響を最小限に抑えるため、同じIPアドレスからの同処理の通信回数をウオッチするとともに、その通信がログインの処理かどうかを判別する機能を搭載し、パスワードリスト攻撃に対してより効率的な検知と防御を可能にしました。

Scutumをご利用いただいているWebサイトでは、本機能が標準サービスとして提供されております。

また、パスワードリスト攻撃をより効果的に防御するため、Scutum導入Webサイトのユーザー認証機能を強化する2種類の『二要素認証』追加機能を開発いたしました。

・キャプチャ認証追加機能
・SMS認証追加機能

Scutumでは、2014年4月～6月にかけて、これらの機能を順次正式オプションとしてリリースしてまいります。