メインコンテンツへスキップ

開始前に

漏えいパスワード保護を設定し、しきい値のアラートをセットアップする必要があります。
攻撃者は、テナントに対する攻撃の標的としてパスワードベースの認証を悪用する可能性があります。以下では、潜在的な攻撃を特定して調査し、ユーザーを保護してさらなるリスクを最小限に抑えるために必要な対処方法について説明します。

注目すべきログイベントを見つける

対処を検討する際は、まず注目すべきログメッセージを絞り込み、攻撃の可能性を特定します。たとえば、攻撃元が限られた数の IP、自律システム番号 (ASN) 1 つ、または 1 つの国に集中している場合があります。 ブルートフォース攻撃を調査する際は、次の Auth0 テナントのログイベントタイプが関連します。
  1. f: ユーザーログインの失敗
  2. fu: username が無効なためユーザーログインに失敗
  3. fp: パスワードが無効なためユーザーログインに失敗
  4. pwd_leak: 流出したパスワードによるログイン試行
  5. signup_pwd_leak: 流出したパスワードによるサインアップ試行
  6. fcoa: クロスオリジン認証の失敗 (これらのイベントは /co/authenticate によって生成されます。この機能は厳密に必要な場合を除き、有効にしないでください)
  7. scoa: クロスオリジン認証の成功 (これらのイベントは /co/authenticate によって生成されます。この機能は厳密に必要な場合を除き、有効にしないでください)

漏えいしたパスワードを使用した攻撃を特定する

攻撃者は、パスワード認証の突破を試みる際に、パスワードの推測や、使い回された認証情報でサインアップしてユーザーアカウントを試す目的で、多数のボットを使ったブルートフォース手法 (TT1110) をよく用います。

パスワード推測

主に高度な手口を使わない攻撃者によく用いられるパスワード推測 (TT1110.001) では、攻撃者はテナントのポリシーに関する事前知識をほとんど持たないまま、アカウントへのアクセスを狙ってパスワードを繰り返し推測します。攻撃者は、未知のパスワードを持つユーザーが存在するかどうかを手当たり次第に推測しているだけなので、Auth0 のログイベント には fpfufcoa イベントが大量に記録されます。

パスワードスプレー

攻撃者は、正規のユーザーアカウントへのアクセスを試みる際に、パスワードスプレー (TT1110.003) を無差別に仕掛ける大規模な攻撃手法として用います。攻撃者は広く使われているパスワードを試すことで目的を達成しようとするため、こうした攻撃は Auth0 のブルートフォース対策に頻繁に検知されます。パスワード推測攻撃と同様に、ログ内で fpfufcoa イベントが多数発生している場合は、攻撃者がパスワードスプレー攻撃を試みていることを見極める有力な手がかりになります。

クレデンシャルスタッフィング

テナントで追加の認証要素を必須とせずにパスワードを使用している場合、クレデンシャルスタッフィング (TT1110.004) は、最も効果的なブルートフォース攻撃手法です。これらの攻撃では、漏えいしたパスワードのリストを使って被害者のアカウントへのログインを試みることで、パスワードの漏えいと使い回しにつけ込みます。クレデンシャルスタッフィング攻撃では、fp イベント (攻撃者はユーザーが存在することを把握している可能性が高いため) や pwd_leak イベント (攻撃者が侵害された認証情報でログインを試みるため) が頻繁に発生します。

緩和戦略

包括的な戦略では、サインイン時のユーザー体験と、ビジネスのリスク許容度および技術的な対応力とのバランスを取る必要があります。対策を検討する際は、主に次の 2 つの要素を考慮してください。
  • ユーザーの負担: 緩和策 (たとえば、CAPTCHA の表示頻度、パスキーの必須化、または ) がユーザー体験に与える影響を評価します。
  • 技術的能力: IP ブロック、WAF ルール、MFA の強制適用を実装できるかを評価します。
Auth0 は、最適な保護のために複数の緩和手法を組み合わせた多層防御アプローチを推奨しています。以下は Auth0 の推奨事項です。
  • ボット検知 を有効にし、漏えいした認証情報 をブロックしてください。これには、侵害の可能性があるアカウントに MFA を要求することも含まれます。
  • 1 つ以上のフローで CAPTCHA を有効にし、必要に応じて CAPTCHA の頻度を上げてください。ただし、CAPTCHA は抑止策であり、解決策そのものではない点に注意してください。 の詳細については、Bot Detection プレイブック を参照してください。
  • 攻撃者が現在の CAPTCHA を回避している場合は、キャプチャプロバイダーを変更するか、Auth0 の Auth Challenge または別のサポート対象のプロバイダーへの移行を検討してください。
  • エッジプロバイダーを使用して Web Application Firewall のルールを変更するか、テナントアクセス制御リスト を使用して、不正な IP、自律システム番号、地理的な場所、TLS クライアント、または user-agent 文字列などの HTTP ヘッダー要素をブロックしてください。
  • ブルートフォースSuspicious IP のしきい値を厳しくして、許可される接続数の上限を下げ、ブルートフォース攻撃を緩和してください。
  • Cross-Origin Authentication の設定を変更し、クレデンシャルスタッフィング攻撃を受けやすいステートレスエンドポイントを無効にしてください。