2つのDX(デジタルトランスフォーメーションと開発者体験)向上のための認証ソリューションを提供するAuth0株式会社 (本社:東京都渋谷区、代表:ユーへニオ・ペイス)は本日、「Bot Detection」の提供開始を発表しました。Auth0の「Bot Detection」は、ユーザーエクスペリエンスへの影響を最小限に抑えながら、パスワードリスト型攻撃(クレデンシャルスタッフィング攻撃)の効果を最大で 85% 低減する新しいセキュリティ機能です。また、Auth0 の拡大するセキュリティポートフォリオに追加された強力な機能であり、「Breached Password Detection」「Brute Force Protection」「Multi-factor Authentication」 と連携して、自動化された攻撃や、アカウントの乗っ取り、フィッシング攻撃などの様々な巧妙な脅威に対して広範な防御策を提供します。

パスワードリスト型攻撃(クレデンシャルスタッフィング攻撃)は、多くの場合、過去のデータ漏洩で盗まれたアカウント情報(ユーザー名とパスワード)に基づいて、別の Web サイトのユーザーアカウントに不正にアクセスしようとするものです。ログイン時の処理に対して bot により大規模な攻撃を実行するため、企業における問題が拡大しています。Auth0 が実施した最新の顧客分析により、次のことが明らかになりました。

  • Auth0 は、一日平均 175,000 件の不審な一意の IP アドレスを検知
  • 脅威アクターは、1 回の攻撃で 65,000 個の IP アドレスを使用
  • パスワードリスト型攻撃(クレデンシャルスタッフィング攻撃)が Auth0 の認証サービスへのトラフィックの 65% を占める場合がある
  • パスワードリスト型攻撃(クレデンシャルスタッフィング攻撃)の間は、特定の Web サイトのトラフィックが通常の 180 倍に急増し、攻撃に関連するトラフィックがアクティビティ全体の 90% を占める場合もある

Auth0の「Bot Detection」は、多数のデータソースを相互に関連付けて、ログインする前に bot による攻撃を識別して対応します。「Bot Detection」 では、不審なアクティビティの特徴を識別するリスク信号とアセッサーのコレクションである「Auth0 Signals」 を使用します。Auth0の「Bot Detection」 を含む複数のセキュリティ機能で構成された階層化アプローチ(多層防御)により、パスワードリスト型攻撃(クレデンシャルスタッフィング攻撃)の試行や他の多くの攻撃を効果的に低減します。「Bot Detection」は、不審でないイベント(成功したログインなど)の IP アドレス、不審なイベント(複数のアカウントにわたる複数回のログイン試行の失敗など)、既知の脅威の攻撃者を識別するための IP レピュテーションデータを高いレベルで監視します。不審なトラフィックが検出された場合、ログイン要求を完了するには CAPTCHA (人間とマシンを判別するチューリングテスト)の手順が必要となります。これにより、ログインまたは登録の処理を対象とした bot 攻撃の大部分を防止するようにシステムが設計されています。現時点では、Auth0 はユニバーサルログイン機能により顧客をサポートし、今後順次他のエクスペリエンスをサポートします。

自動化された攻撃は日々巧妙になっています。このような大規模な bot は、ありとあらゆる防御手段に対応して検出を回避するように設計されています。Auth0 は、脅威アクターがわずか 5 分で攻撃戦略を変更してセキュリティ管理手段を回避することを発見しました。80% 以上の企業が、パスワードリスト型攻撃(クレデンシャルスタッフィング攻撃)の検出、処置、または修復は困難であると述べており、企業は年間平均 600 万ドル以上のコストを投じています。攻撃により、IT リソース、アカウントの乗っ取り、ブランドの評判に重大な影響が及ぶ可能性があります。

Auth0 の CTO 兼共同創業者である マティアス・ウォロスキーは次のように述べています。「bot 攻撃は、ここ数年で増加しており、巧妙になっているため、防御に関する企業の投資が増加しています。と、1 ヵ月あたり 45 億件以上のログイントランザクションを保護するサービスを備えたアプリケーションの窓口として、Auth0 は損害が生じる前に不審なアクティビティを迅速に特定し、ブロックするための独自の知見を有しています。『Auth0 Bot Detection』は、アカウントの乗っ取りを防ぎ、DevOps および SecOps チームの負荷を軽減する非常に効果的な機能です」

クレデンシャルスタッフィングの詳細については、What You Need to Know About Credential Stuffing Attacks(ホワイトペーパー)、Credential Stuffing Attacks: What Are They and How to Combat Them(ホワイトペーパー)とReducing the Impact of Credential Stuffing(ブログ)をご覧ください。

Auth0 について

Auth0は、アプリケーションビルダーのためにつくられた最初のアイデンティティ管理プラットフォームであり、カスタムビルドアプリケーションに必要とされる唯一のアイデンティティソリューションです。世界中のアイデンティティを守り、イノベーターがイノベーションを起こせるようにするというミッションのもと、Auth0はシンプルで、拡張性のある、スケーラブルなプラットフォームを提供し、あらゆるオーディエンスのために、あらゆるアプリケーションのアイデンティティを守ります。Auth0は毎日1億回以上のログインを保護し、法人企業が信頼されるエレガントなデジタルエクスペリエンスを世界中の顧客に提供できるようにします。

より詳しい情報に関して、https://auth0.com/jp/もしくは@auth0_jp on Twitterをご覧ください。