総当たり攻撃対策

総当たり攻撃対策では、単一の IP アドレスからユーザーアカウントへのログインに複数回失敗した場合に、Auth0 がどのように対応するかを決定します。総当たり攻撃対策では、次のように設定できます。

発信元の IP アドレスからそのユーザーとしてログインできないようにする
そのユーザーによるすべてのログイン試行を防ぐ
メールまたは SMS でユーザーに通知する

デフォルトでは、Auth0 テナントの作成時に総当たり攻撃対策が有効になります。総当たり攻撃対策は、テナント管理者を含むすべてのユーザーに適用されます。接続では総当たり攻撃対策を有効のままにしておき、他の管理者アカウントをブロック解除できるよう、予備のテナント管理者を用意しておくことを強くお勧めします。

総当たり攻撃対策を設定する

Dashboard > Security > アタックプロテクション > Brute-force Protection では、総当たり攻撃対策の有効化、カスタマイズ、無効化を行えます。設定項目は次のとおりです。

ページ上部のトグルで、総当たり攻撃対策の有効/無効を切り替えます。現在の状態は、Enabled / Disabled のステータスインジケーターに表示されます。
Detection セクションには、総当たり攻撃のしきい値と IP AllowList の設定があります。
Response セクションには、ブロック設定と通知の設定があります。

総当たり攻撃対策を有効にしていても、Response の設定をすべて無効にすると、ステータスインジケーターは Monitoring に変わります。Auth0 はテナントログにアタックプロテクションイベントを記録しますが、それ以上のアクションは実行しません。

Resource Owner Password (ROP) フローの使用時に総当たり攻撃対策を正しく機能させるには、auth0-forwarded-for ヘッダーを使用してユーザーの IP アドレスを送信するよう、アプリケーションを設定する必要があります。

総当たり攻撃のしきい値

総当たり攻撃のしきい値は、1 つの IP アドレスから 1 つのユーザー識別子に対して許可されるログイン失敗回数です。この回数に達すると、総当たり攻撃対策が発動します。オプションは 2 つあります。

デフォルト では、総当たり攻撃のしきい値は 10 に設定されます。
カスタム では、総当たり攻撃のしきい値を 1 ～ 100 の範囲で設定できます。

指定した総当たり攻撃のしきい値に達した失敗ログイン試行の処理が完了した直後に、選択した攻撃緩和策が適用されます。非同期メソッドを使用する Auth0 SDK を利用している場合、1 つのユーザー識別子から、設定した総当たり攻撃のしきい値を超える数の認証リクエストがアプリケーションに連続して送信されることがあります。ただし、いずれかのリクエストがそのしきい値に達すると、そのユーザー識別子からの以降のリクエストには HTTP 429 too_many_attempts エラーが返されます。

IP AllowList

IP AllowList は、IPv4 または IPv6 アドレス、あるいは CIDR 表記の範囲をカンマ区切りで指定するリストです。IP AllowList に含まれる IP アドレスからのログイン試行は、総当たり攻撃対策の対象外となります。 IP AllowList を使用すると、ユーザーがプロキシの背後にいる場合などに、信頼できる IP アドレスまたは範囲を指定できます。

ブロック設定

総当たり攻撃対策のブロック設定では、ブルートフォース検知がトリガーされたときに、Auth0 が特定のユーザーアカウントに対する追加のログイン試行をブロックするかどうか、またどのようにブロックするかを設定します。オプションは 2 つあります。

ブルートフォースログインをブロック は、総当たり攻撃対策をトリガーした IP アドレスから、指定されたユーザー識別子に対して行われる追加のログイン試行をブロックします。これはデフォルトで有効です。
アカウントロックアウト は、指定されたユーザー識別子に対するすべてのログイン試行をブロックします。これはデフォルトで無効です。

通知

影響を受けるユーザーに通知を送信 が有効な場合、Auth0 は、アカウントがブロックされるとそのユーザーに SMS またはメール通知を送信します。ログインフローで電話番号を識別子として使用している場合、Auth0 はユーザーに SMS を送信します。SMS 通知は、識別子ごとに 1 時間あたり最大 1 件に制限されます。アカウントにメールアドレスが関連付けられている場合、Auth0 はユーザーにメールを送信します。メール通知は、固有の IP アドレスごとに 1 時間あたり最大 1 件に制限されます。デフォルトでは、ブロック済みアカウントのメール通知には、ユーザーが自分のアカウントをブロック解除できるリンクが含まれます。

総当たり攻撃対策のブロックを解除する

総当たり攻撃対策のブロックは、次のいずれかが発生するまで有効なままです。

最後にログインに失敗してから 30 日が経過する。
管理者が、次のいずれかのエンドポイントを使用して Management API で総当たり攻撃対策のブロックを解除する。
- ユーザーの識別子を使用する識別子によるブロック解除エンドポイント (DELETE /user-blocks) 。
- ユーザーのブロックを解除するエンドポイント (DELETE /user-blocks/{id}) 。

テナント管理者によるブロックは、総当たり攻撃対策のブロックとは別に処理されます。テナント管理者によるブロックの解除について詳しくは、こちらを参照してください。

管理者が総当たり攻撃のしきい値を引き上げる。
設定されている場合、影響を受けたユーザーがメール通知内のブロック解除リンクを選択する。
影響を受けたユーザーがパスワードを変更する。ユーザーのアカウントが OTP アカウントやデータベースアカウントなど複数の接続タイプでリンクされている場合、ブロックを解除するには、リンクされているすべてのアカウントでパスワードを変更する必要があります。

​総当たり攻撃対策を設定する

​総当たり攻撃のしきい値

​IP AllowList

​ブロック設定

​通知

​総当たり攻撃対策のブロックを解除する

​詳細を見る

総当たり攻撃対策を設定する

総当たり攻撃のしきい値

IP AllowList

ブロック設定

通知

総当たり攻撃対策のブロックを解除する

詳細を見る