質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
OAuth

OAuth(Open Authorization)は、APIを通して保護されたリソース(サードパーティのアプリケーション)へアクセスする為のオープンプロトコルです。

Q&A

解決済

4回答

1934閲覧

不正ログインの対処方法について

kurosawa

総合スコア780

OAuth

OAuth(Open Authorization)は、APIを通して保護されたリソース(サードパーティのアプリケーション)へアクセスする為のオープンプロトコルです。

0グッド

0クリップ

投稿2015/07/19 11:25

昨今、不正ログインによる情報漏洩のニュースが目立ちます。

いくら自サイトでパスワードを不可逆暗号化しても、他サイトで暗号化対策をしておらず、そこから生のIDとパスワードが漏洩されたら、お手上げになってしまいます。

パスワードの使い回しが根本であるとはいえ、これだけ世の中にログイン要求するサイトが多いと、カスタマにパスワードを別々にするよう促しても効果は期待できないかと思います。

リスト型攻撃などの不正ログインに対する効果的な防御方法はあるのでしょうか?

皆さんの知恵、ご意見を伺いたいです。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答4

0

teratailもそうですがサイトによっては、twitterログインでも許すというのも方法だと思います。
他のサイトのパスワード管理の責任を負うくらいなら、他のサイトのIDを使うというのは良い方法だと思います。

もちろん、セキュリティのレベルによって面倒臭い方法をとる必要があるとおもいますが、不要なデータを持たないというのがセキュリティ上一番よい方法ではないかと思います。

投稿2015/07/19 16:00

iwamoto_takaaki

総合スコア2883

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

kurosawa

2015/07/19 18:23

そうですね。 ただ、、、 最近は国内のサイトから流出したID/PWでアタックしてくるので、外部に認証を委託しても、その外部が不正認証をとおしてしまい、結果的に自サイトがダメージを受けてしまうリスクが残ります。 このケースだと自サイトで防御できないので、さらに厄介なことになるのでは・・・。 不要な個人情報は持たない。はそのとおりだと思います。 回答ありがとうございました!
iwamoto_takaaki

2015/07/20 05:01

リスクはどの手段を用いた場合も残ります。 PMBOKでは、リスクへの対応として、「回避」「転嫁」「軽減」「受容」の4つを挙げています。 私の回答は、使い回しのリスクに対する「軽減」の提案です。扱う情報によってはリスクが逆に「増大」します。サイトによって最適解は変わるということです。決してすべてのサイトが「さらに厄介なことになる」わけではないと思います。 あと、パスワード管理をきっちり行うのもなかなか技術が必要になるので、外部を使うというのは内製より良い場合も有ります。 すべて、対象によりけりというわけです。
kurosawa

2015/07/20 13:19

おっしゃるとおりですね。 すべてのリスクが「回避」できるわけではないですよね。 下手に内製し、穴があっては話にならないことも理解できました。 ご指摘ありがとうございました!
guest

0

インターネットバンキングではサービスによってですがワンタイムパスワードの利用が勧められている場合があります。以下のようなもの。
https://idprotect-jp.vip.symantec.com/
上記はソフトウエアですがハードウエアで行う場合もあります。

投稿2015/07/19 11:34

rik

総合スコア1151

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

kurosawa

2015/07/19 11:46

早速の回答ありがとうございます。 おっしゃるとおり、ログインを厳密に管理するサービスならば、ワンタイムパスワードは非常に有効だと思います。 ただ、アプリ・ハードの別途配布や自動ログイン不可など、利便性の悪さからくるアクション毀損のアップから、敬遠される傾向も伺えます。 (メールや携帯にパスワードを送る2段階認証などもそうですね) とはいえ、、、 本来は、どのサイトもこのぐらい強化しないといけないのかもしれませんね。
guest

0

ベストアンサー

二段階認証を強制することが効果的でしょうが、まだまだ現実には難しいでしょう。稚拙ながら、それ以外の方法について記載します。

  1. パスワードを一定回数を間違えた場合のアカウントロック。ただ、単なるいたずらもあるので、回数等やロック時間、解除方法は考慮が必要です。ただし、これはリストアタック防止と言うよりブルートフォースアタック防止になりますけど、昔からある有効な方法です。

  2. 特定IPアドレスから一定回数ログイン失敗(異なるアカウントであってもカウントする)した場合に、CAPTCHA等でボットでないことを確認。攻撃者は乗っ取ったパソコンでツールを使ってリストアタックすることがほとんどですが、1アカウントに付き1回しか試行しませんので、1.の方法はとれません。そこで、アカウントが別でもIP単位で失敗をカウントすることが重要です。余りに失敗が多い場合はIPブロックしてもいいですが、あまりやりすぎると相手が企業や学校などのプロキシ経由の場合に誰も入れなくなってしまいます。ここら辺も考慮が必要です。

  3. あり得ないスピードでのログインしたら、ブロック。攻撃者は、画面を表示してユーザ名を入れてパスワードを入れるまでに0.1秒かからないとか人間ならあり得ないスピードでログインしてきます。ただ、これだと利用者が自動ツールを使えなくなるので、別途何らかのAPIは用意しておくべきでしょう。

なお、利用者へのロック通知をメールで自動にすることは控えましょう。攻撃者がそのメール通知を装うこともあります。利用者には前回ログインしたIPを表示するとか、そういった事は有効かも知れません。

以上について、ログを取る、監視する、攻撃と判断した場合は管理者に通知するが大切です。状況によっては該当のIPアドレスを手動でブロックも必要になります。二段階認証でも使用しない限り、リストアタックを完全に防ぐことは不可能です。如何に検知して、被害の拡大を防ぐのかが重要になります。また、攻撃側のツールも進化してきており、上の方法で100%検知できるわけではないことも念頭に置いておくべきです。

本格的に商用サービスとして始めるなら、セキュリティを専門に扱っている会社にコンサルを依頼するのもひとつです。監視人員の人件費もかかりますし、その分お金はかかりますが、信頼と安心を金で買えるのですから安い物です。個人レベルであれば、上記と似たようなことはGoogleなどの大手はどこでも実施していることなので、外部に認証を委任するのが一番早いと思います。中途半端に自分で実装して攻撃を許してしまうよりは遙かにましです。

投稿2015/07/19 22:50

raccy

総合スコア21733

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

kurosawa

2015/07/20 03:32

詳細なコメントありがとうございます。 やはり2の「IP単位で失敗をカウントする」が重要なのですね。 ご指摘のとおり、企業などはプロキシ経由でアクセスしてくるので一概に遮断してしまうのは確かに危険ですね。 メール通知も、そのとおりですね。 アタックされていないのにのっとられたと思い、誤ってID/パスワードを教えかねないですもんね。 ※ これだとセキュリティ意識の低さを露呈してるのと一緒ですね 事業計画策定時に、監視、通知、遮断といった運用にかかわるコストも積み上げておくことが大事ということを、再認識させていただきました。
guest

0

日本国内のユーザーに限定するなら、ウェブサーバー側で海外からのアクセスを遮断してしまうのも一つの方法です。

投稿2015/07/19 16:13

rik

総合スコア1151

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

kurosawa

2015/07/19 18:29

海外からの不正アクセスならばご指摘のとおりですね。 でも最近のリストアタックは国内からが多いと聞きます。 国内のボットやプロキシを介して、IPを変えながら不正ログインを試みるので 大手サイトは、どのような対処をしているかが気になりました。 やはり、アプリレイヤーで不正ログインを検知する仕組みを組み込んでいるんでしょうか。 とはいえ、IP遮断もIP変えられたらお手上げですもんね。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問