RSS

2019/06/06

パスワードの使いまわしの危険性~最近流行りのパスワードリスト攻撃とその対策

Category:

listattack3

 

 

パスワードリスト攻撃とは?

 

最近、パスワードリスト攻撃が流行しています。

 

これは、従来型の総当たり攻撃の代表格であるブルートフォースアタックや辞書アタックとは異なります。パスワードリスト攻撃の場合は、攻撃者がどこかで入手した正しいID・パスワードのリストを用いて正規ルートから不正アクセスを試みるため、ID単位のログイン試行回数はとても少ないケースが多く、正規アクセスとの判別を行うことが非常に困難なケースも予想されます。

 

そもそもユーザ側が、どのサイトでも同じパスワードを使いまわしている場合、とあるサイトで抜きとられてしまうと他のサイトで攻撃利用されて簡単にアクセスが成功してしまうという危険性があるため、なるべくサイトごとで異なるIDとパスワードの組み合わせをお勧めします。

 

さらには、提供者側のWEBアプリケーションでも2段階認証を利用するなどのさらなるセキュリティ対策の検討をするべき時期が来ています。

 

攻撃者側にしてみれば、ランダムにパスワードを試していくブルートフォースアタックよりも、頻繁に利用されるだろうパスワードを上位から順に試していく辞書攻撃が効率的であり、さらにはどこかで盗んできた正しいID・パスワードのリストは、いちばん手軽なラッキーアイテムであると言えます。

 

また、辞書攻撃で使われるリストも、ある程度公開情報を参考にしているのが一般的と思います。逆を言えば、私たちもそのパスワードリストを事前に参照して、ユーザが頻出パスワードを設定する事を禁止させるのもシステムとして一つの防御対策になると思います。

 

 

代表的なリスト提供サービス

 

ではここで、代表的なリスト提供サービスをご紹介しましょう。

 

■OpenWall

-攻撃者が利用する一般的なパスワードクラック用のリストを提供

-有償版と無償版のリストを提供

https://www.openwall.com/wordlists/

 

listattack1

 

 

試しに無料版で入ってダウンロードしてみてみました。

https://download.openwall.net/pub/wordlists/passwords/

 

listattack2

 

password.gzを解凍するとpassword.lstというファイルがありますので.lstビューワーを使って開いてみます。“Last update: 2011/11/20 (3546 entries)“、無料版は長らく更新されていないようです。パスワードが頻出順に並んでいますが、この中に私も普段使っているパスワードが含まれていたため少々驚きしました。

 

ここで、頻繁に使われているパスワード「TOP20」をご紹介します。

 

1

123456

11

1234

21

service

2

12345

12 qwerty 22  canada
3

password

13  money 23  hello
4

password1

14  carmen
5

123456789

15  mickey
6

12345678

16  secret
7

1234567890

17  summer
8

abc123

18  internet
9

computer

19  a1b2c3
10

tigger

20  123

 

 

さらに攻撃者は、このリストをツールに入れて攻撃をしかけます。ツールは、THC-HydraやMedusaと呼ばれるものがありますが、さすがに詳しい使い方などの案内は今回は割愛します。いずれにしても、攻撃者が上記のようなツールを使う事を前提にした場合、そのツールからのアクセスを検知できれば、攻撃を防げるということです。

 

そこで、これらツールを検知して攻撃から守るために、クラウド型のBot攻撃検知のためのソリューションの活用をお勧めしています。そして本日は、CDNetworksが提供する「クラウド・セキュリティ・ボットマネージャ」の概要をご紹介します。

 

 

「クラウド・セキュリティ・ボットマネージャ」の紹介

 

CDNetworksは、急増するBotによるサイバー攻撃を未然に検知して防ぐことのできるクラウド型のBot攻撃防御対策「クラウド・セキュリティ・ボットマネージャ」を提供しています。

 

クラウド・セキュリティ・ボットマネージャは、 グローバルなCDNプラットフォームと統合されたクラウド型のBot防御対策です。急増するBotによるサイバー攻撃を未然に検知しブロックする多彩な機能を搭載しており、Webセキュリティの強化を図るとともに、パフォーマンスと可用性の高いWeb配信を実現します。また、Botによる未知の攻撃(ゼロデイ)の検知にも役立ち、より広範囲でさまざまなタイプの攻撃からWebサイトを保護し、サービス継続性を保つことでユーザエクスペリエンスを向上します。

 

クラウド・ボット・マネージャは、悪性ボットを検知・ブロックするための「IPレートリミッティング」、「Javascriptチャレンジ」、「キャプチャ」、「デバイス・フィンガープリント・チャレンジ(DFC)」、「ヒューマン・インタラクション・チャレンジ(HIC)」の5つの防御レベルを設定することができます。もはや1つの対策だけでボット攻撃を防御することは難しく、多彩な機能の活用により進化するボットを確実に排除していくことが必要とされています。

 

 

CDNetwokrsのBot攻撃対策サービスをご検討の際にはぜひお気軽にお問い合わせ下さい。

 

==================================

■サービス導入に関するお問い合わせはこちら >>お問い合わせフォーム

■サービス概要について知りたい方はこちら >>ホームページ

■サービス資料のダウンロードはこちら >>資料ダウンロード

■サービス導入事例やホワイトペーパーのダウンロードはこちら >>資料ダウンロード

==================================

 

☟お気軽にダウンロードください

wp-28

 

株式会社シーディーネットワークス・ジャパン TEL:03-5909-3373(営業部)

 

PAGE TOP