総当たり攻撃防御
総当たり攻撃防御は、単一のIPアドレスが単一のユーザーアカウントをターゲットにして行う攻撃を防ぎます。あるIPアドレスが、同一ユーザーとして何度もログインに失敗したとき、総当たり攻撃防御が以下の処理を実行します:
不審なIPアドレスをそのユーザーとしてログインするのをブロックする。
影響を受けるユーザーに通知を送信する。
総当たり攻撃防御の対策は、テナント管理者を含むすべてのユーザーに適用されます。他の管理者アカウントのブロックを解除できるように、テナントにセカンダリ管理者がいることを確認してください。
総当たり攻撃防御によってIPアドレスがブロックされると、次のいずれかのイベントが起こるまでブロック状態が続きます:
管理者がブロックを削除する。
管理者が、以下に説明する総当たり攻撃しきい値 を上げる。
最後のログイン試行失敗から30日が経過する。
影響を受けたユーザーがメール通知内のブロック解除リンクを選択する。
影響を受けたユーザーが(リンクされたアカウントすべてで)パスワードを変更する。
ユーザーのアカウント(メールアドレス)が、OTPアカウントとデータベースアカウントなど、複数の接続を通してリンクされている場合は、一方だけでパスワードを変更しても、ブロックは解除されません。ユーザーは、各アカウント(接続タイプ)でパスワードを変更しなければなりません。
総当たり攻撃防御を設定する
Auth0では、接続に対して総当たり攻撃防御を無効にしないよう強く推奨します。無効にしても、ダッシュボードから再び有効にできます。
応答の設定をまったく有効にせずに攻撃防御機能を有効にすると、モニタリングモードが作動し、関連イベントがテナントログにのみ記録されます。詳細については、「攻撃防御のログイベントを表示する」をお読みください。
[Dashboard] > [Security(セキュリティ)] > [Attack Protection(攻撃防御)]に移動し、[Brute-force Protection(総当たり攻撃防御)]を選択します。ページ上部のトグルが無効になっている場合は、有効にします。
[Detection(検知)]セクションで:
[Brute Force Threshold(総当たり攻撃しきい値)]の[Default(デフォルト)]を選択して標準の制限値(最大10試行)を使用するか、[Custom(カスタム)]を選択して最大試行回数を1~100の間で設定します。
[Manage IP Addresses(IPアドレスの管理)]の[IP AllowList(IP許可リスト)] フィールドに信頼できるIPアドレスのリストを入力します。これらのIPアドレスからのログイン試行は、総当たり攻撃防御の対象になりません。
[Response (応答)]セクションで:
[Block Settings(ブロック設定)]で[Block Brute-force Logins(総当たり攻撃ログインのブロック)]トグルを有効にします。これにより、単一のIPアドレスから単一のユーザーアカウントをターゲットにして行われる総当たり攻撃を防ぐため、不審なIPアドレスからの試行がブロックされます。
[Block Settings(ブロック設定)]で[Account Lockout(アカウントのロックアウト] を有効にして、IPアドレスとは無関係にブロックがトリガーされるようにします。この設定を有効にした場合、あるユーザーが続けて何度もログインに失敗すると、同じユーザーからのログイン試行が、どのIPアドレスからかに関係なくブロックされます。[Brute Force Threshold(総当たり攻撃しきい値)]で最大試行回数を調整できます。デフォルトでは[Account Lockout(アカウントのロックアウト]トグルは無効です。
[Notifications(通知)]で[Send notifications to the affected users(影響を受けるユーザーにメールを送信)]トグルを受けるユーザーにメールを送信)]有効して、アカウントがブロックされたときにユーザーにメール通知が送信されるようにします。
[Save(保存)]をクリックします。
通知
[Send notifications to the affected users(影響を受けるユーザーにメールを送信)]が有効の場合、アカウントがブロックされたときにユーザーにAuth0がSMSまたはメールで通知を送信します。
SMS
ユーザーがログインフローに電話識別子を使用している場合、Auth0はそのユーザーにSMSを送信します。SMS通知は、識別子1つにつき一時間に最大1件に制限されています。
Email(メール)
ユーザーがログインフローに電話ではない識別子を使用している場合、Auth0はそのユーザーにメールを送信します。メール通知は、一意のIPアドレス1つにつき一時間に最大1件に制限されています。
デフォルトでは、メール通知には、ユーザーがアカウントのブロックを解除するためのリンクが含まれています。詳細については、「ブロックされたアカウントのメール通知のカスタマイズ」をお読みください
特殊なユースケース
総当たり攻撃防御は、ユーザーのIPアドレスに応じて行われるため、次のようなユースケースではさらなる設定が必要になります。
バックエンドのROPG:この呼び出しでは、ユーザーのIPアドレスが取得されませんが、総当たり攻撃防御を正常に機能させるために、アプリケーションを設定して、要求の一部としてユーザーのIPアドレスを送信することができます。
同一IPアドレスからのユーザー認証:複数のユーザーが1つのプロキシを経由すると、制限回数に達して総当たり攻撃防御をトリガーしてしまいがちです。
詳細については、「リソース所有者のパスワードフローと攻撃防御のよくある不具合を回避する」をお読みください。