- 【田】Windows10 Part173
273 :名無し~3.EXE[sage]:2019/10/24(木) 10:45:10.73 ID:rOiQQTzK - クレデンシャルスタッフィング攻撃では、サイバー犯罪者は、
過去に盗まれたユーザ名およびパスワードをダークウェブから購入します。
次に、ボットを利用して他のWeb サイトのログインフィールドでこれらの
認証情報を「スタッフィング」(総当たり的に検証)することで、
不正ログインを繰り返し試み、企業ユーザまたは顧客が保持するアカウントへの
アクセス権を取得しようとします。
「スタッフィング」が成功した場合、攻撃者は、アカウントを詐欺に利用します。
この成功率は一般的に1 〜 2% です。つまり、サイバー犯罪者が、盗まれた認証情報
(ダークウェブで1 件わずか1 セントで販売²)を100 万件購入した場合、
10,000 〜 20,000 件のアカウントを取得できます。
|
- 【田】Windows10 Part173
274 :名無し~3.EXE[sage]:2019/10/24(木) 10:45:39.78 ID:rOiQQTzK - 組織のセキュリティがどんなに強力であっても、ユーザまたは顧客が、
恐らく実際にそうしているように、パスワードを再利用していれば、それらの
認証情報がすでに盗まれている可能性が高いのが現実です。
認証情報の盗難が急増し、サイバー犯罪者が手軽に自動化ツールを使用して
ユーザアカウントを取得できるため、組織がアプリケーションおよびデータの
セキュリティを懸念することは当然です。問題は、これらのボットを利用した攻撃を
どのように防ぐか、または軽減できるかです。
アクセスするサイトまたはアプリケーションごとに異なるユーザ名とパスワードを
使用していればこれらの攻撃は失敗します。しかし、約4分の3のユーザは、
使用するたくさんのアカウントのそれぞれで一意な認証情報を作る時間と手間を惜しみ、
同じ認証情報を再利用および使い回しています
|
- 【田】Windows10 Part173
277 :名無し~3.EXE[sage]:2019/10/24(木) 11:07:43.02 ID:rOiQQTzK - クレデンシャルスタッフィング攻撃を防ぐためのアプリケーションセキュリティ戦略を
作成する場合、2 種類のユーザに対応する必要があります。企業従業員は、多要素認証
(MFA)などの面倒なプロセスでも進んで受け入れる、または少なくともこれに従います。
しかし、電子商取引または小売業の顧客は、ログインプロセスが複雑になることを受け入れ
たがりません。このように従業員と一時的なユーザの両方を守る方法があります。
ボットを防ぐことが適切なソリューション
強力なWebアプリケーションファイアウォール(WAF)は、クレデンシャルスタッフィング
攻撃に対する最初の対策です。フル装備のWAF は高度なボット検知および対策機能を
提供でき、ほとんどの攻撃で自動化プログラムが利用されているためこれは重要です。
WAF は、振る舞い、ブラウザまたはデバイスの能力、リクエストの異常、1 秒あたりの
接続試行数を分析できるので、セキュリティ チームがブラウザ以外によるログイン試行を
特定する上で役に立ちます。さらに、シグネチャ マッチングを使用することで、
悪意のないボット(検索エンジン ボットなど)がサイトにアクセスできるように、
ホワイトリストを簡単に作成できます。
|
- 【田】Windows10 Part173
278 :名無し~3.EXE[sage]:2019/10/24(木) 11:08:07.08 ID:rOiQQTzK - WAFは、漏洩が報告された認証情報のリストとユーザ名およびパスワードを照合することで、
盗まれた情報がログイン試行に使用されているかどうか検知することもできます。また、
WAFを使用することで、セキュリティ チームは、一定時間内に複数回失敗したログインを
追跡して、潜在的なクレデンシャルスタッフィング攻撃を監視できます。プロアクティブな
防御として、一定秒数以内の一定回数以上のログイン試行を防ぐようにWAF を設定することで、
攻撃の速度を押さえ、セキュリティを調整するまでの時間を稼ぐことができます。
攻撃面を軽減するための別の方法として、ジオインテリジェンスを使用して、既知の不正
IPアドレスまたは地理的地域からの接続を除外します。また、攻撃者を特定したら、
不正IP アドレスおよびデバイスのフィンガープリントを脅威フィードに追加して、
その活動のブロックまたは検知に利用できる他のセキュリティソリューションと統合する
こともお勧めします。しかし、多くのボット オペレータはIP アドレスを頻繁に変えるため、
この効果は一時的であることに注意してください。
|
- 【田】Windows10 Part173
279 :名無し~3.EXE[sage]:2019/10/24(木) 11:08:25.25 ID:rOiQQTzK - 動的なフォームの難読化ツールを利用することで、サイトのログインフォームを
攻撃者から見つかりづらくできます。動的なフィールドの難読化は、入力フィールドの
名前に「passwd」や「usrnme」などの内容を特定できるラベルではなく、頻繁に変わる
特定しづらい長い文字列が使用されます。これにより、攻撃者のボットは正しいフィールド
を認識して、盗んだ認証情報を利用できなくなります。
最後に、ブラウザまたはモバイル アプリケーションのデータを暗号化して、ユーザから
転送されるすべての情報を保護して、傍受されたデータの価値をなくすこともできます。
さらなるセキュリティ強化として、クライアント側の機能を使用してフォーム パラメータを
暗号化できます。これにより、自動化クレデンシャルスタッフィングツールがページを
正しく実行して、フォーム フィールドを暗号化し、正しい安全なチャネルcookieを送信する
ことが難しくなります。暗号化されていない認証情報がボットにより送信されると、
システムアラートがトリガされ、クレデンシャルスタッフィング攻撃が発生している可能性
があることをセキュリティ チームに通知できます。
|
- 【田】Windows10 Part173
280 :名無し~3.EXE[sage]:2019/10/24(木) 11:17:11.61 ID:rOiQQTzK - 認可の管理
WAFは、クレデンシャル スタッフィング攻撃を防御するだけでなく、OAuth
(Open Authorization)とも呼ばれるトークンベースの認可を実装することで、
アプリケーションの攻撃面を大幅に削減できます。これにより、ユーザは、
認証情報をアプリケーション自体に提供することなく、アプリケーションにアクセスでき
ます。
ユーザがFacebook、Google、Microsoft Azure または独自の認可サーバなどのサイトでの
認証によりIDを確立すると、ユーザが接続しようとしているアプリケーションに、
ワンタイムの一時的なアクセス トークンが発行されます。アプリケーションには
これ以外の認証情報は必要ないので、ユーザにとって便利です。また、信頼できるソース
または「認可サーバ」は、安全な認証を保証し、クレデンシャル スタッフィング攻撃
の効果を劇的に軽減します。トークンベースの認可は、API を守る上でも優れた
ソリューションです。API は、プログラム的(ソフトウェアからソフトウェア)に
アクセスすることを目的として設計されているため、クレデンシャル スタッフィング
攻撃の第一の標的になっています。そのため、認可をOAuth サーバに分割することが
さらに重要になります。
|
- 【田】Windows10 Part173
281 :名無し~3.EXE[sage]:2019/10/24(木) 11:20:30.37 ID:rOiQQTzK - OAuth を介したAPI へのアクセスにより、アプリケーション開発者はアプリケーションへの
ログイン認証情報をハードコーディングする必要がなくなり、API のセキュリティが向上
します。これ以外のメリットとして、トークンを設定して、さまざまなレベルのアクセス権
を提供できます。
ほとんどの組織は、数百のアプリケーションとそれぞれの独自のユーザ ログインまたは
API を管理しています。また、OAuth自体が安全というわけではないので、脆弱な方法で
これを実装してしまうというリスクがあります。しかし、OAuth 認可をアプリケーションに
戻すことができる中央アクセス ゲートウェイにより、アプリケーション、ネットワーク
リソースおよびAPI へのアクセスすべてを一元管理してリスクを軽減できます。
これにより、すべてのアクセス決定の一元管理が可能になり、危険なOAuth 実装のリスクを
軽減し、認可フレームワークの構築に費やしていた貴重な設計時間を節約できます。
|
- 【田】Windows10 Part173
307 :名無し~3.EXE[sage]:2019/10/24(木) 14:03:56.68 ID:rOiQQTzK - なんで馬鹿って、食い物の話が好きなんだろうなw
|
- 【田】Windows10 Part173
309 :名無し~3.EXE[sage]:2019/10/24(木) 14:08:00.62 ID:rOiQQTzK - 環境問題スピーチで話題の少女、グレタは環境に配慮して肉は食べないんだって。
やっぱり食い物の話ばかり喜んでしている低知能とは違うなw
|
- 【田】Windows10 Part173
310 :名無し~3.EXE[sage]:2019/10/24(木) 14:12:21.57 ID:rOiQQTzK - お前ら、雑談するなら、環境問題とか少し論じてみなよ
15、6歳の女子の方が優れた演説を世界に向けてしていて地球規模の問題に
果敢に取り組んでいる。そんな女子もいるのに、
よく生きてて恥ずかしくなってこないよな。
いい年こいて、ラーメンの話で盛り上がれるとかどれだけ低スペックの人間なんだよw
|
- 【田】Windows10 Part173
311 :名無し~3.EXE[sage]:2019/10/24(木) 14:20:30.25 ID:rOiQQTzK - たとえばさ、パソコンのハードを売っている会社は、購買サイクルを早める
ために、頻繁なアップグレードをして、パソコンを重くしたり、PC環境を不安定
にしたり、規格的に陳腐化を促進して、買い替えを促すような購買モデルを作って
いるだろう。
でも、それらの行為は自然環境を著しく毀損して、世界規模での異常気象をもたらして
いるだろう。だから、本来ギークであれば、そういう環境意識にも敏感になって、
もっとまとまなITやPCとの接し方を提唱しそうなものなのだけど、企業方針に従順に
馴致されるのみだ。
|