2つのDX(デジタルトランスフォーメーションと開発者体験)向上のための認証ソリューションを提供するAuth0株式会社 (本社:東京都渋谷区、代表:ユーへニオ・ペイス)は本日、「Bot Detection」の提供開始を発表しました。Auth0の「Bot Detection」は、ユーザーエクスペリエンスへの影響を最小限に抑えながら、パスワードリスト型攻撃(クレデンシャルスタッフィング攻撃)の効果を最大で 85% 低減する新しいセキュリティ機能です。また、Auth0 の拡大するセキュリティポートフォリオに追加された強力な機能であり、「Breached Password Detection」「Brute Force Protection」「Multi-factor Authentication」 と連携して、自動化された攻撃や、アカウントの乗っ取り、フィッシング攻撃などの様々な巧妙な脅威に対して広範な防御策を提供します。
パスワードリスト型攻撃(クレデンシャルスタッフィング攻撃)は、多くの場合、過去のデータ漏洩で盗まれたアカウント情報(ユーザー名とパスワード)に基づいて、別の Web サイトのユーザーアカウントに不正にアクセスしようとするものです。ログイン時の処理に対して bot により大規模な攻撃を実行するため、企業における問題が拡大しています。Auth0 が実施した最新の顧客分析により、次のことが明らかになりました。
- Auth0 は、一日平均 175,000 件の不審な一意の IP アドレスを検知
- 脅威アクターは、1 回の攻撃で 65,000 個の IP アドレスを使用
- パスワードリスト型攻撃(クレデンシャルスタッフィング攻撃)が Auth0 の認証サービスへのトラフィックの 65% を占める場合がある
- パスワードリスト型攻撃(クレデンシャルスタッフィング攻撃)の間は、特定の Web サイトのトラフィックが通常の 180 倍に急増し、攻撃に関連するトラフィックがアクティビティ全体の 90% を占める場合もある
Auth0の「Bot Detection」は、多数のデータソースを相互に関連付けて、ログインする前に bot による攻撃を識別して対応します。「Bot Detection」 では、不審なアクティビティの特徴を識別するリスク信号とアセッサーのコレクションである「Auth0 Signals」 を使用します。Auth0の「Bot Detection」 を含む複数のセキュリティ機能で構成された階層化アプローチ(多層防御)により、パスワードリスト型攻撃(クレデンシャルスタッフィング攻撃)の試行や他の多くの攻撃を効果的に低減します。「Bot Detection」は、不審でないイベント(成功したログインなど)の IP アドレス、不審なイベント(複数のアカウントにわたる複数回のログイン試行の失敗など)、既知の脅威の攻撃者を識別するための IP レピュテーションデータを高いレベルで監視します。不審なトラフィックが検出された場合、ログイン要求を完了するには CAPTCHA (人間とマシンを判別するチューリングテスト)の手順が必要となります。これにより、ログインまたは登録の処理を対象とした bot 攻撃の大部分を防止するようにシステムが設計されています。現時点では、Auth0 はユニバーサルログイン機能により顧客をサポートし、今後順次他のエクスペリエンスをサポートします。
自動化された攻撃は日々巧妙になっています。このような大規模な bot は、ありとあらゆる防御手段に対応して検出を回避するように設計されています。Auth0 は、脅威アクターがわずか 5 分で攻撃戦略を変更してセキュリティ管理手段を回避することを発見しました。80% 以上の企業が、パスワードリスト型攻撃(クレデンシャルスタッフィング攻撃)の検出、処置、または修復は困難であると述べており、企業は年間平均 600 万ドル以上のコストを投じています。攻撃により、IT リソース、アカウントの乗っ取り、ブランドの評判に重大な影響が及ぶ可能性があります。
Auth0 の CTO 兼共同創業者である マティアス・ウォロスキーは次のように述べています。「bot 攻撃は、ここ数年で増加しており、巧妙になっているため、防御に関する企業の投資が増加しています。と、1 ヵ月あたり 45 億件以上のログイントランザクションを保護するサービスを備えたアプリケーションの窓口として、Auth0 は損害が生じる前に不審なアクティビティを迅速に特定し、ブロックするための独自の知見を有しています。『Auth0 Bot Detection』は、アカウントの乗っ取りを防ぎ、DevOps および SecOps チームの負荷を軽減する非常に効果的な機能です」
クレデンシャルスタッフィングの詳細については、What You Need to Know About Credential Stuffing Attacks(ホワイトペーパー)、Credential Stuffing Attacks: What Are They and How to Combat Them(ホワイトペーパー)とReducing the Impact of Credential Stuffing(ブログ)をご覧ください。
Auth0(オースゼロ)について
Auth0 の認証プラットフォームは、Okta の独立した製品ユニットであり、認証に対して最新のアプローチをとり、組織があらゆるユーザーに対してあらゆるアプリケーションへの安全なアクセスを提供することを可能にします。Auth0 認証プラットフォームは高度にカスタマイズ可能なプラットフォームで、開発チームが望むだけのシンプルさと、必要に応じた柔軟性を兼ね備えています。毎月何十億ものログイントランザクションを保護する Auth0 は、利便性、プライバシー、セキュリティを提供することで、お客様がイノベーションに集中できるようにします。詳細はhttps://auth0.com/jp/をご確認ください。
