メインコンテンツへスキップ
これらの資料およびその中のあらゆる推奨事項は、法律、プライバシー、セキュリティ、コンプライアンス、またはビジネスに関する助言ではありません。これらの資料は、一般的な情報提供のみを目的としており、最新のセキュリティ、プライバシー、法的動向や、関連するすべての問題を反映していない場合があります。法務、セキュリティ、プライバシー、コンプライアンス、またはビジネスに関する助言については、ご自身の弁護士またはその他の専門家から得る責任があり、本資料内の推奨事項に依拠すべきではありません。Okta は、これらの資料内の推奨事項を実装した結果として生じるいかなる損失または損害についても、責任を負いません。Okta は、これらの資料の内容に関して、いかなる表明、保証、またはその他の確約も行いません。Okta がお客様に提供する契約上の保証に関する情報は、okta.com/agreements をご覧ください。
は、盗まれた認証情報を使ってが登録またはログインするのを防ぎ、アプリケーションを保護します。Auth0 は、ユーザーへの通知とリスクのあるアカウントのブロックの両方を行えます。 Auth0 は、主要なサードパーティサイトで発生した大規模なセキュリティ侵害を追跡しています。Auth0 が、お客様のユーザーの認証情報が侵害に含まれていたことを特定すると、漏えいパスワード検知機能が作動します。それに応じて、Auth0 は次のことを実行できます。
  • 新規ユーザーが盗まれた認証情報で登録するのをブロックする。ユーザー名とパスワードの組み合わせを完全にブロックします。
  • 盗まれた認証情報を使ったログインを全面的にブロックする。アカウント全体を完全にブロックし、悪意のある攻撃者があなたのアプリケーションにアクセスするのを防ぎます。ユーザーはパスワードを変更するまでログインできません。
  • ログイン試行が発生したときに、ユーザーにメールを送信する。メールではリスクを知らせ、直ちにパスワードを変更するよう案内します。ユーザーに送信するメッセージはカスタマイズできます。詳しくは、Customize Blocked Account Emails を参照してください.

Credential Guard で漏えいをより迅速に検出

漏えいパスワード検知は、一般公開された漏えいデータに基づいて行われます。Credential Guard は、漏えいパスワード検知に追加できる Auth0 の追加サービスです。漏えいをスクリーニングすることで、漏えいした認証情報をより迅速に通知できるようになります。
漏えいパスワード保護Credential Guard
含まれるプランB2B / B2C Professional および EnterpriseEnterprise プランの Attack Protection アドオンの一部
データ収集方法Web スキャナーとスクレイパーが、公開されたセキュリティ漏えいからユーザー認証情報を検索専任のセキュリティチームが犯罪コミュニティに潜入し、通常は入手できない漏えいデータにアクセス
一般的な検出時間最大 7~13 か月12~36 時間
対象範囲英語のみ200 以上の国と地域
Credential Guard を Auth0 の契約に追加するには、お問い合わせください

漏洩パスワード検知を設定する

有効にすると、検知方法、対応シナリオ、通知など、漏洩パスワード検知の設定をカスタマイズできます。
  1. Dashboard > Security > Attack Protection に移動し、Breached Password Detection を選択します。
    Auth0 で漏洩パスワード検知を有効にするためのトグル
  2. 漏洩パスワード検知を有効にするには、ページ右上のスイッチをオンにします。
    Auth0 で漏洩パスワード検知を設定する
    対応設定を何も有効にしないまま Attack Protection 機能を有効にすると、Monitoring モードが有効になり、関連イベントはテナントログにのみ記録されます。詳しくは、View Attack Protection Log Events を参照してください。
    Risk Assessment のテナントログを有効にするためのトグルが表示されない場合は、プランのアップグレード が必要になることがあります。

検出方法を設定する

ご利用のプランで利用可能な機能に応じて、漏えいした認証情報の検出に使用する方法を設定できます。
  1. Dashboard > Security > Attack Protection に移動し、Breached Password Detection を選択します。
  2. Detection セクションで、Breached Password Detection Method を探します。
  3. Auth0 との契約に Credential Guard が含まれている場合は、As soon as possible based on data received from the dark web, with Credential Guard を選択します。
  4. それ以外の場合は、When breach data is published を選択したままにします。
  5. Save を選択して変更を適用します。

対応シナリオを設定する

ユーザーが漏えいした認証情報を入力する可能性がある場合に、Auth0 が各シナリオでどのように応答するかを設定できます。
  1. Dashboard > Security > Attack Protection に移動し、Breached Password Detection を選択します。
  2. Response セクションを探します。
  3. Block compromised credentials for new accounts トグルを有効にすると、サインアップ時にユーザーが漏えいした認証情報を使用できないようにできます。
  4. Block compromised user accounts トグルを有効にすると、ログイン時にユーザーが漏えいした認証情報を使用できないようにできます。
  5. Block compromised credentials use for password reset トグルを有効にすると、パスワードのリセット時にユーザーが漏えいした認証情報を使用できないようにできます。
Classic Login エクスペリエンスで、ユーザー認証用 UI ウィジェットの Lock を使用している場合、新規アカウントに対する漏えいパスワード検知を利用するには、v11.33.3 以降に更新する必要があります。Lock の詳細については、Lock library を参照してください。Auth0 SDK を使用している場合も、新規アカウントに対する漏えいパスワード検知を利用するには、最新バージョンに更新する必要があります。

通知を設定する

漏えいした認証情報の使用について、Auth0 がユーザーや管理者にどのように通知するかを設定できます。
  1. Dashboard > Security > Attack Protection に移動し、Breached Password Detection を選択します。
  2. Notifications セクションを探します。
  3. Send notifications to users with compromised credentials トグルを有効にすると、Auth0 がユーザーの認証情報が漏えいしている可能性を検出した際に、そのユーザーにメールが送信されます。
  4. Compromised user accounts トグルを有効にすると、ユーザーが漏えいした認証情報でサインアップした際に、管理者にメールが送信されます。
  5. Compromised user accounts トグルを有効にすると、ユーザーが漏えいした認証情報でログインした際に、管理者にメールが送信されます。
  6. 通知頻度を選択します: ImmediatelyDailyWeekly、または Monthly
    dailyweekly、または monthly を選択した場合、通知にはアプリケーションに対する侵害の件数が含まれます。immediate を選択した場合、通知にはアプリケーションへの侵害を試みたユーザーアカウントが含まれます。
  7. Save を選択します。

スロットリングの動作

通知の過多やログイベントの過剰発生を防ぐため、Auth0 では漏洩パスワード検知の通知とログにスロットリングを適用しています。漏洩した認証情報 (漏洩パスワード) が検知されると、Auth0 は次の対応を行います。
  1. 侵害されたユーザーアカウントをブロック: スロットリングは適用されません。侵害された認証情報が検知されると、ユーザーアカウントは常にブロックされます。
  2. ユーザーへの通知を送信: ユーザーごとに 1 時間に 1 回に制限されます。
  3. テナント管理者への通知を送信: IP アドレスごとに 1 時間に 1 回に制限されます。
  4. pwd_leak イベントをログに記録: IP アドレスごとに 1 時間に 1 回に制限されます。
想定どおりのメール通知が届かない場合や、テナントログに pwd_leak イベントが表示されない場合は、検知がスロットリング期間内に発生していないか確認してください。スロットリング期間中は通知とログイベントが抑止されますが、これは想定された動作です。ただし、ユーザーアカウントのブロックは、スロットリングに関係なく常に実行されます。

ユーザーへのメール通知をカスタマイズする

漏えいした認証情報を使ってログインが行われた場合に Auth0 がユーザーへ送信する通知は、設定できます。
  1. Dashboard > Branding > Email Templates に移動します。
  2. Template ドロップダウンメニューで、Password Breach Alert を選択します。
  3. 必要に応じてテンプレートを更新します。メッセージのカスタマイズには、利用可能な 共通変数 を使用できます。

検出設定を確認する

Auth0 が提供する漏えいしたパスワードを使ってサインアップフローとログインフローをテストすると、設定を確認できます。
テスト用として、AUTH0-TEST- で始まるパスワードはすべて Breached Password Detection をトリガーします。

サインアップフロー

Auth0 が漏えいしたパスワードを検出した場合のユーザーのサインアップ体験を確認します。
  1. サインアップフローを進め、新しいアカウントの登録時に、テスト用の漏えいパスワード (Paaf213XXYYZZ または Paat739!!WWXXYYZZ) または AUTH0-TEST- で始まる任意のパスワードを使ってみてください。
  2. 新規アカウントに対して漏えいした認証情報をブロック が有効になっている場合は、エラーメッセージが表示され、漏えいしたパスワードは使用できません。
  3. Dashboard > Monitoring > Logs に移動します。
  4. ログで type: "signup_pwd_leak" を検索し、Auth0 によってサインアップがブロックされたことを確認します。

ログインフロー

Auth0 が漏洩したパスワードを検出した場合のユーザーのログイン動作を確認します。
  1. Dashboard > User Management > User でテストユーザーを作成し、テスト用の漏洩パスワード (Paaf213XXYYZZ または Paat739!!WWXXYYZZ) 、または AUTH0-TEST- で始まる任意のパスワードを設定します。
  2. ログインフローに従って、設定した識別子とパスワードを入力して送信します。
  3. Block compromised user accounts が有効な場合、ユーザーにはエラーメッセージが表示され、ログインが拒否されるとともに、パスワードのリセットを求められます。
  4. Dashboard > Monitoring > Logs に移動します。
  5. ログで type: "pwd_leak" を検索し、Auth0 によってログインがブロックされたことを確認します。
  6. Dashboard > User Management > User に移動し、テストユーザーを削除します。

リセットフロー

Auth0 が漏洩したパスワードを検出した場合の、ユーザーのパスワードリセット動作を確認します。
  1. Dashboard > User Management > User でテストユーザーを作成します。
  2. パスワードリセットフローを実行し、テスト用の漏洩パスワード (Paaf213XXYYZZ または Paat739!!WWXXYYZZ) のいずれか、または AUTH0-TEST- で始まる任意のパスワードを入力して送信します。
  3. Block compromised user accounts が有効な場合、エンドユーザーにはエラーメッセージが表示され、パスワードをリセットできず、別のパスワードを使用するよう案内されます。
  4. Dashboard > Monitoring > Logs に移動します。
  5. type: “reset_pwd_leak" でログを検索し、Auth0 によってパスワードリセットがブロックされたことを確認します。
  6. Dashboard > User Management > User に移動し、テストユーザーを削除します。

詳しく見る