F5 BIG-IPとMcAfee SIEMによるパスワードリスト攻撃対策ソリューション

ビジネス推進本部 第2応用技術部
クラウドセキュリティチーム
田中 勝也

本コラムでは、F5ネットワークス社(以下、F5)のBIG-IPと、McAfee社のSIEMを連携させることにより、Webサイトへの不正ログイン(パスワードリスト攻撃)を未然に防ぐソリューションを紹介します。

パスワードリスト攻撃の脅威

近年、パスワードリスト攻撃が大きな脅威となっています。パスワードリスト攻撃とは、悪意のある者が事前にインターネットサイトなどから入手したIDとパスワードの一覧表(パスワードリスト)を使って、Webサービスに不正ログインを試みる攻撃です。既に多くの企業のWebサービスがパスワードリスト攻撃の被害に遭っています。パスワードリスト攻撃は、正しい利用者によるログインと区別がつかないため、発見が困難であり、他のサイバー攻撃と比較しても長期化する傾向にあります。また、一般的にパスワードを使い回す傾向があるため、パスワードリストの利用価値が高くなり、不正ログインが成功する確率も高くなります。「パスワードリストは漏洩するもの」という前提で対策を講じなければなりません。

無題137

パスワードリスト攻撃により、利用者およびサービス提供者の双方が損害を受けることを知っておかなければなりません。正しい利用者はIDを悪用され、個人情報が盗まれたり、クレジットカードや貯めたポイントが不正利用されるなどの損害を受けます。サービス提供者は、不正ログインを許したことで悪評が広まり、結果的に企業規模の損害に発展し得ます。そのため、早期発見のしくみが重要です。

F5 BIG-IPとMcAfee SIEMによるパスワードリスト攻撃対策

Webアプリケーションファイアウォール製品であるBIG-IP ASM(Application Security Manager)をWebサーバの前に置くことで、Webアプリケーションの脆弱性を突いた攻撃(SQLインジェクションなど)やDoS(Denial of Service)攻撃がWebサーバに届かないようにすることができます。また、ログイン回数を閾値で監視することもできます。

無題138

BIG-IP ASM は、許可されるログイン回数と、それを超えた場合にログインを拒否する期間を設定できます。この機能によりパスワードリスト攻撃を「軽減」することはできますが、根本的な対策には「早期発見」が必要不可欠です。
McAfee SIEMは、サーバへのアクセスログや、認証情報、資産管理といった様々なデバイスから得られるログ情報を一元管理し、可視化・分析を行うことができます。
BIG-IP ASMとMcAfee SIEM を連携させることにより、パスワードリスト攻撃の早期発見、防御を自動化できます。

まとめ

「F5 BIG-IPとMcAfee SIEMによるパスワードリスト攻撃対策」は2つのメーカの製品で連携して動作する機能ということもあり、各製品に責任を持つメーカと実際に導入するSIerが、より高いレベルで協力していかなければ十分な品質を提供していけないと考えて共同で実施しました。
結果、非常に有用な情報を得ることができましたので、これまでの情報セキュリティ技術では防ぎきれないほど高度化されたサイバー攻撃から自社情報資産を守るセキュリティソリューションをご検討されているお客様に、この得られた情報をご活用いただけるよう、ホワイトペーパーを共同で作成しました。
ホワイトペーパーでは、実際に検証した結果や導入のメリットをご紹介しています。また、実際に今回の検証環境で行ったF5 BIG-IPの設定手順や、McAfee SIEMによる分析手法についても合わせて記載しております。これらの情報をご活用いただくことで、対策が困難と言われているパスワードリスト攻撃を可視化することが可能になります。
ホワイトペーパーをご希望の方は、是非ネットワンシステムズまでご連絡いただければと思います。

イベント/レポート

pagetop