不正アクセスの脅威ジャムヘルパー – jamhelper
不正ログインにお悩みの方overview
重要情報を搾取や改変、ポイントの換金化やクレジットカード情報を利用した詐取することを目的とした、不正ログインが蔓延しています。
攻撃を受けて個人情報が流出した場合は大変な事態に陥ります。
初動対処の遅延で被害が拡大し致命的な影響を与えたケースも多くみられます。
事業リスクが高い脅威に対しては徹底的な事前対策が必要です。
主な攻撃の概要overview
不正ログインの攻撃者は複数のIDとパスワードをIPを変えながら機械的に試行します
The main method of unauthorized login is as follows.
also, In recent years a list type account hacking (list type attack) is rampant.
・ブルートフォース攻撃
攻撃者は、想定されるID(adminやメールアドレスなど)とあらゆる文字の組み合わせのパスワードで試みます
・リバースブルートフォース攻撃
ブルートフォース攻撃とは逆に、パスワードを固定しさまざまなIDでログインを試みます
・ディクショナリ攻撃
IDを固定しパスワードに設定されやすい単語やそれらの組み合わせでログインを試みます
ヒット率は低下しますが、解読までの効率が高いと言われています
・リスト型アカウントハッキング(リスト型攻撃)
他のサイトから不当に取得したIDとパスワードで複数のサイトを攻撃しようとします
JPCERT/CCが公表した2013年4月以降のリスト型アカウントハッキング(リスト型攻撃)の被害推移
引用元:JPCERT/CC STOP!! パスワード使い回し!!パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ
https://www.jpcert.or.jp/pr/2014/pr140004.html
攻撃の事例Case of attack
本サイトでもWordPressのログイン画面に対して、
10時から16時までの約6時間で28,778回の試行がありました
平均で1秒あたり1.8リクエストの間隔で機械的に攻撃を仕掛けています
91.93.127.** - - [20/Dec/2014:09:53:51 +0900] "POST /wp-login.php HTTP/1.0" 503 323 "-" "-" DoSAttack 11 1758 0 91.93.127.** - - [20/Dec/2014:09:53:52 +0900] "POST /wp-login.php HTTP/1.0" 503 323 "-" "-" DoSAttack 12 1978 0 : 91.93.127.** - - [20/Dec/2014:15:59:10 +0900] "POST /wp-login.php HTTP/1.0" 503 323 "-" "-" DoSAttack 28787 1661 0 91.93.127.** - - [20/Dec/2014:15:59:11 +0900] "POST /wp-login.php HTTP/1.0" 503 323 "-" "-" DoSAttack 28788 1770 0
ジャムヘルパー(jamhelper)で閾値以降の不正アクセスを遮断(503返却)しています
このケースは同じIPで攻撃されていますが、数分単位でIPを変えて攻撃してくるケースもみられます
同一IPから短時間に複数のログインがリクエストされた場合、「不正アクセス」とみなし遮断することが有効な対策であることが確認できます
攻撃による影響Effects of attack
一度でも漏洩すると回復には多大な労力と損失が発生します
ハッカーは、数万から数百万のIDを短時間に解読したいため、秒間1〜30回のリクエストを機械的に試行します。
結果としてDoS攻撃と同様、サイトが高負荷に陥りサイトダウンに至るケースも珍しくありません。
そのあいだの売り上げや機会喪失に加え、
法的損失
刑事上の責任として個人情報保護法における罰金や懲役刑、民事上の訴訟費用や見舞金/送付費用や、架空請求の損害賠償費用、精神的損害に対する慰謝料などが発生します。
法的以外の損失
暫定的な止血対応から影響特定とその原因調査、対策立案と装着、再発防止までにかかる技術者の維持やコンサルティング・コールセンタ費用、詫び状送付や謝罪広告・会見費用、社会的信用失墜や企業イメージダウンに伴う経営上の損失などが発生します。
特に民事上の責任による賠償費用は1回で1億とも言われるほど巨額です
これは、一人あたりの賠償金額は小さくても大量の個人情報が流出することで総額が膨らむためです。
※ 500円/人の賠償は1万人の漏洩で500万円、10万人で5,000万円、100万人で5億円と膨大になります
さらに、取引停止/解約や新規取引締結不可の損失。信頼失墜による市場価値低下や社員の士気低下から生じる売上高低下と、たった一度の情報漏洩で企業の存続にかかわる問題にも繋がりかねません。
攻撃への対策Measures to attack
日本総務省の発表では特定のIPアドレスの通信遮断が被害拡大を防ぐ有効な手段として提示されています。
出典:「リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集)」(総務省) (http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000063.html)(2014年12月28日に利用)
攻撃を予防や被害拡大を防ぐ対策の、
・パスワード使い回しの注意喚起
・パスワードの暗号化保存や有効期間設定、履歴保存
・推測が容易なパスワードの利用拒否
・二段階認証やアカウントロックの導入
・ログインの履歴表示
・休眠アカウントの廃止
は、比較的アプリケーションレベルでの対応が可能です。
しかし「閾値を超えた特定のIPアドレスからの通信遮断」はアプリケーションレベルではパフォーマンスや維持運用の面で非常に難しい現実にあるため、ジャムヘルパー(jamhelper) の出番となります。
ジャムヘルパー(jamhelper)はApacheモジュールなので、閾値を超えた特定のIPアドレスからの通信遮断を高速に実現します。