STOP!パスワード使い回し! - サイバーエージェントの不正アクセス検知事例とは

パスワードリスト攻撃

ログイン試行の度にログインID及びパスワードが異なります。リクエスト自体に送信元や各種属性が一定であれば攻撃を検知することができますが、それらの属性が変化した場合正常なログインとの区別がつきにくい傾向があります。

特に、パスワードリスト攻撃が複数の異なるIPアドレスから実行された場合には、攻撃の発生を検知するのが困難です。ただし、一定期間内に通常より多い認証失敗(存在しないログインIDやパスワード間違え)、あるいは認証成功が混ざって検出される傾向があります。

不正ログイン検知事例

推測によるログイン試行

以下の表は約18分間の間に単一のIPアドレスから実行されたログイン試行の集計です。有効なログインIDに対して1～4回のログイン試行を行い推測可能なパスワードを使用しているユーザを探している形跡がみてとれます。

単一のログインIDに対するブルートフォース攻撃

以下の図を見ると、特定のログインIDに対して大量の認証リクエストを送信してパスワード間違えによる認証失敗を繰り返していることがわかります。

このように単純なブルートフォーム攻撃は比較的簡単に検知や予防を行うことができます。