資料の紹介
情報漏えい事件の頻発により、盗難アカウント情報によるリスト型攻撃が深刻化している。同攻撃では、攻撃者が闇サイトなどから不正に入手したユーザー名とパスワードを使い、自動化ツールにより、他のWebサイトにログインを試みる。ログインに成功したアカウントは乗っ取られ、詐欺などに使われる。
「クレデンシャル・スタッフィング攻撃」とも呼ばれるこの攻撃の被害は、ユーザーの多くがアカウントの認証情報を使い回しているために、今後ますます増える見込みだ。しかし、アカウント乗っ取りの被害を防ぐために、多要素認証などのプロセスを導入しようとしても、ネット通販などの顧客は、煩雑なログインプロセスを嫌う傾向が強い。
本資料では、クレデンシャル・スタッフィング攻撃に対抗するために、企業が採るべき方策について解説する。ユーザーのトレーニング、一貫した企業ポリシー、Webアプリケーション・ファイアウォール、一元化した認証/認可ゲートウェイを組み合わせることで、クレデンシャル・スタッフィング攻撃を阻止・軽減できるとしている。