SST、WAFサービス「Scutum」にパスワードリスト攻撃の抑制機能を搭載
[13/06/13]
提供元:DreamNews
提供元:DreamNews
SST、WAFサービス「Scutum」にパスワードリスト攻撃の抑制機能を搭載
〜「Scutum」はサイトの利便性を落とさずにセキュリティの向上を支援します〜
Webアプリケーションセキュリティのスペシャリスト企業である、株式会社セキュアスカイ・テクノロジー(東京都文京区 代表取締役乗口雅充 以下、SST)が提供するWAFサービス「Scutum」は、2013年6月13日より、パスワードリスト攻撃による不正ログインを抑制する機能を搭載いたしました。
パスワードリスト攻撃とは、悪意を持つ第三者が、何らかの手法によりあらかじめ入手してリスト化したID・パスワードを利用してWebサイトにアクセスを試み、結果として利用者のアカウントで不正にログインされてしまう攻撃です。利用者は同じID・パスワードの組み合わせを複数のサイトで使用する傾向が強いため、パスワードリスト攻撃の成功率は高くなっている状況があります。
パスワードリスト攻撃への注意喚起は、数年前から独立行政法人情報処理推進機構(IPA)および警察庁から発表されていますが、近年、パスワードリスト攻撃により国内の大手ポータルサイト、オンラインショッピングサイトなどが次々に攻撃を受け、サイト利用者のアカウントを用いた不正なログインが発生する被害が報道されています。2013年3月〜4月には大手サイトでも、パスワードリスト攻撃による被害が頻発しました。
参考URL
・@IT:「相次ぐパスワードリスト攻撃に注意、パスワードの使い回しは厳禁」
http://www.atmarkit.co.jp/ait/articles/1304/10/news092.html
・IPA:「コンピュータウイルス・不正アクセスの届出状況[6月分および上半期]について」
http://www.ipa.go.jp/security/txt/2012/07outline.html
・警察庁:「平成23年中の不正アクセス行為の発生状況等の公表について」
http://www.npa.go.jp/cyber/statics/h23/pdf040.pdf
利用者側の対策としては、同じID・パスワードの組み合わせを使い回さないことで、このような攻撃からの被害を抑制できますが、Webサイト運営者側では、二段階認証など、より強固な認証手段を対策として検討しなければならず、利用者の利便性を損ねる可能性があります。このような状況から、SSTのWAFサービス「Scutum」では、パスワードリスト攻撃の影響を最小限に抑えるため、同じIPアドレスからの同処理の通信回数をウオッチするとともに、その通信がログインの処理かどうかを判別する機能を搭載し、パスワードリスト攻撃に対して、より効率的な検知と防御を可能にしました(本機能は標準機能として提供されます)。
SSTは、Webサイトでビジネスを行う企業・団体に対し、WAFサービス「Scutum」が新たに搭載する機能の提供を通じて、Webサイトの利便性を極力落とさずにセキュリティを向上させることに寄与して参ります。
●WAF(Web Application Firewall)サービス「Scutum(スキュータム)」について
Webサイト上のアプリケーションへの攻撃を防ぐセキュリティサービスで、国内SaaS型WAF製品市場において、シェア1位を獲得しています※。
※ミック経済研究所刊 『情報セキュリティマネージド型・SaaS型サービス市場の現状と展望 2012』
URL:http://www.scutum.jp/
<お問い合わせURL>
https://www.scutum.jp/information/contact.jsp
【会社概要】
社名 : 株式会社セキュアスカイ・テクノロジー
本社所在地 : 東京都文京区湯島2−4−3 ソフィアお茶の水3F
設立 : 2006年3月
代表者 : 代表取締役 乗口 雅充
事業内容 : Webアプリケーションのセキュリティ診断、コンサルティング、教育
URL : http://www.securesky-tech.com/
【問い合わせ先】
株式会社セキュアスカイ・テクノロジー
担当 : 大木 元
E-mail: scutum-info@securesky-tech.com
TEL :03-6801-8031 FAX:03-6801-8032
SaaS型WAFサービス「Scutum(スキュータム)」
サービス提供:株式会社セキュアスカイ・テクノロジー
共同開発(技術提供):株式会社ビットフォレスト
〜「Scutum」はサイトの利便性を落とさずにセキュリティの向上を支援します〜
Webアプリケーションセキュリティのスペシャリスト企業である、株式会社セキュアスカイ・テクノロジー(東京都文京区 代表取締役乗口雅充 以下、SST)が提供するWAFサービス「Scutum」は、2013年6月13日より、パスワードリスト攻撃による不正ログインを抑制する機能を搭載いたしました。
パスワードリスト攻撃とは、悪意を持つ第三者が、何らかの手法によりあらかじめ入手してリスト化したID・パスワードを利用してWebサイトにアクセスを試み、結果として利用者のアカウントで不正にログインされてしまう攻撃です。利用者は同じID・パスワードの組み合わせを複数のサイトで使用する傾向が強いため、パスワードリスト攻撃の成功率は高くなっている状況があります。
パスワードリスト攻撃への注意喚起は、数年前から独立行政法人情報処理推進機構(IPA)および警察庁から発表されていますが、近年、パスワードリスト攻撃により国内の大手ポータルサイト、オンラインショッピングサイトなどが次々に攻撃を受け、サイト利用者のアカウントを用いた不正なログインが発生する被害が報道されています。2013年3月〜4月には大手サイトでも、パスワードリスト攻撃による被害が頻発しました。
参考URL
・@IT:「相次ぐパスワードリスト攻撃に注意、パスワードの使い回しは厳禁」
http://www.atmarkit.co.jp/ait/articles/1304/10/news092.html
・IPA:「コンピュータウイルス・不正アクセスの届出状況[6月分および上半期]について」
http://www.ipa.go.jp/security/txt/2012/07outline.html
・警察庁:「平成23年中の不正アクセス行為の発生状況等の公表について」
http://www.npa.go.jp/cyber/statics/h23/pdf040.pdf
利用者側の対策としては、同じID・パスワードの組み合わせを使い回さないことで、このような攻撃からの被害を抑制できますが、Webサイト運営者側では、二段階認証など、より強固な認証手段を対策として検討しなければならず、利用者の利便性を損ねる可能性があります。このような状況から、SSTのWAFサービス「Scutum」では、パスワードリスト攻撃の影響を最小限に抑えるため、同じIPアドレスからの同処理の通信回数をウオッチするとともに、その通信がログインの処理かどうかを判別する機能を搭載し、パスワードリスト攻撃に対して、より効率的な検知と防御を可能にしました(本機能は標準機能として提供されます)。
SSTは、Webサイトでビジネスを行う企業・団体に対し、WAFサービス「Scutum」が新たに搭載する機能の提供を通じて、Webサイトの利便性を極力落とさずにセキュリティを向上させることに寄与して参ります。
●WAF(Web Application Firewall)サービス「Scutum(スキュータム)」について
Webサイト上のアプリケーションへの攻撃を防ぐセキュリティサービスで、国内SaaS型WAF製品市場において、シェア1位を獲得しています※。
※ミック経済研究所刊 『情報セキュリティマネージド型・SaaS型サービス市場の現状と展望 2012』
URL:http://www.scutum.jp/
<お問い合わせURL>
https://www.scutum.jp/information/contact.jsp
【会社概要】
社名 : 株式会社セキュアスカイ・テクノロジー
本社所在地 : 東京都文京区湯島2−4−3 ソフィアお茶の水3F
設立 : 2006年3月
代表者 : 代表取締役 乗口 雅充
事業内容 : Webアプリケーションのセキュリティ診断、コンサルティング、教育
URL : http://www.securesky-tech.com/
【問い合わせ先】
株式会社セキュアスカイ・テクノロジー
担当 : 大木 元
E-mail: scutum-info@securesky-tech.com
TEL :03-6801-8031 FAX:03-6801-8032
SaaS型WAFサービス「Scutum(スキュータム)」
サービス提供:株式会社セキュアスカイ・テクノロジー
共同開発(技術提供):株式会社ビットフォレスト