ロードバランサの活用(4)対策!リスト型アカウントハッキング

03_S_02

リスト型アカウントハッキング

リスト型アカウントハッキングとは、他社のWebサービスなどから流出したIDとパスワードのリスト使い、
別のWebサービスに対して不正ログインを試みるサイバー攻撃のことです。

最近でも、攻撃者が何らかの手段で入手したIDとパスワードを用いて、
リスト型アカウントハッキングによって攻撃を行う手法は数多く使われています。

こうした攻撃を防ぐためにはまず、「ユーザーに同じIDとパスワードの使いまわしはしない」という基本対策の周知徹底が基本です。
しかし、実際に徹底するのは困難であり、ユーザーだけでなく、システム担当者側でもサーバー監視をはじめとした対策を施す必要があります。

対策例の1つとして、ブロック処理があります。
サーバー監視の情報から、複数回ログインを失敗したユーザーを検知し、IPアドレスをブロックする方法です。
しかしこの方法にはデメリットがあり、疑わしいと判断されたユーザーのIPアドレスをブロックしたとしても、
IPアドレスはインターネット上で変換されている可能性がありますし、複数のユーザーで共有されていることもあります。
また、攻撃者が意図的にIPアドレスを変えながら攻撃を仕掛けてくることもあるため、ブロック処理は完璧な手段とは言えません。

アプリケーションの脆弱性を狙った攻撃を防ぐにはWAFが不可欠

WAF(Web Application Firewall)とは、
アプリケーションの手前に設置されるセキュリティアプライアンスです。
HTTPプロトコルの内容や、アプリケーションペイロードデータ、セッション管理状況を精査し、
Webアプリケーションの脆弱性を狙った攻撃や、不正ログインを狙う攻撃から、サイトを守る機能です。

WAFの他にも、IDS/IPSといった機能もありますが、それぞれが持つ機能は異なります。、
WAFがIDS/IPSよりも常に優れているということはなく、対象となる防御領域は異なっています。
双方ともに必要なセキュリティだとご理解いただきたいです。

また、両者を混同して認識しているケースも見受けられるので、
それぞれの機能と役割をきちんと理解した上で、適切に使い分けてください。

ロードバランサがセキュリティ機能を併せ持つ

WAFの機能を搭載したセキュリティアプライアンスは、公共団体・ECサイト・金融サイトなどを中心に普及してきています。
しかし、これらを適切に運用するためには人的リソースや、高度なノウハウが必要となり、
十分なコストパフォーマンスを発揮できないケースも多く、運用に苦労しているユーザーも多いようです。

そこで注目を集めているのが、WAF機能を併せ持つ多機能ロードバランサです。
多機能ロードバランサは、WAF単体の専用製品と比べてさまざまな面でメリットがあります。

複数のセキュリティやネットワーク制御機能を単一のデバイスに集約することにより、
デバイスの数を削減し機器コストを圧縮できる点も、メリットの1つです。

冗長化構成を考慮すると、
6台(ファイアウォール 2台+ロードバランサ2台+ WAF 2台)のデバイスが必要なところを、
ロードバランサ 2台で構成することも可能です。

リスト型アカウントハッキングへの対策

リスト型アカウントハッキングへの対策は非常に重要です。
ユーザーに同じIDとパスワードの使いまわしはしないという周知徹底、
サーバー監視の情報から疑わしいアクセスにはブロック処理を行いましょう。
また、セキュリティアプライアンスや多機能なロードバランサを活用することで、
より確実なセキュリティ対策を実施していきましょう。