メインコンテンツへスキップ
悪意のあるユーザーがログインの先にある権限、サービス、情報へアクセスする最も簡単な方法は、最初から自分の管理下にあるダミーアカウントを作成することです。 その後、攻撃者はこれらのアカウントをさまざまな不正目的に利用できます。目的は、ビジネスの状況によって異なります。一般的な目的には、次のようなものがあります。
  • 金銭的利益: 虚偽の請求を行う (たとえば、不正な保険金請求だけを目的にオンライン保険アカウントに登録する) ことや、新規顧客向けの特典やインセンティブを悪用することを目的として、不正なアカウントを作成することです。大量のアカウント作成は、SMSポンピング攻撃を開始する第一段階でもあります。
  • アカウントのエージング: 攻撃者は大量のアカウントを作成し、それらを時間の経過とともに古く見せることで、将来のより高度な攻撃に向けて正当なアカウントに見せかけることがあります。
  • サービス妨害: 大量のサインアップ試行は組織のシステムに過負荷をかけ、グローバルなレート制限を超過することで、サービス拒否につながる可能性があり、正当なユーザーによるサービスへのアクセスを妨げます。
  • ユーザー名列挙 (T1087) : 攻撃者は、特定のユーザー名がシステム内にすでに存在するかどうかを確認するために、多数のアカウントへのサインアップを短時間で試みることがあります。攻撃者はこの情報を、クレデンシャルスタッフィングやフィッシングなどの標的型攻撃に利用できます。

サインアップ攻撃を検出する

攻撃者の目的にかかわらず、サインアップ攻撃では、検出と分析に重要な特定のログイベントの痕跡が残ります。 Security Center を使用して、テナントに対する潜在的な攻撃を監視します。 また、Auth0 のオープンソースの検出ルールライブラリを使用して独自の検出ルールを作成し、コントリビュートすることもできます。たとえば、不審なドメインによるサインアップ詐欺大量発生によるサインアップ詐欺のルールがあります。 主な指標としては、Auth0 テナントログ内の fssssignup_pwd_leak などのログイベントタイプがあります。偵察フェーズでは、テナントのSignup エンドポイントを対象とした HTTP POST リクエストの繰り返しが見られることがあります。これは、多くの場合、攻撃者がシステムの脆弱性を探ったり、自動化されたサインアップ処理の有効性を試したりする初期段階の試みを示しています。 高度な分析を行う場合や、Auth0 外のアプリケーションとログインアクティビティを関連付ける場合は、ログストリーミングを有効にします。

緩和策

サインアップ攻撃を軽減するには、事前対策とリアルタイムの検知・対応を組み合わせた多層的なアプローチを推奨します。システムを保護するため、次の戦略を確認してください。
  • Suspicious IP Throttling: 単一の送信元から大量のサインアップ試行が行われるのを防ぐため、疑わしい IP アドレスに対して厳しめのサインアップしきい値を設定します。
  • Bot Detection: Auth0 の Bot Detection を有効にし、ボット検出レベルを High に設定して、自動化されたサインアップ試行を特定・ブロックする強力なボット検出の仕組みを導入します。
  • 厳格な CAPTCHA 要件: 利便性はやや低下しますが、より強力に対処するには、サインアップ時に CAPTCHA を常に表示するよう設定します。正当なユーザーには多少の負担になりますが、ボットの活動を妨げることができます。
  • Passwordless authentication: パスワードレス認証を使用します。これにより攻撃者は、サインアップ時に使った主要な識別子 (たとえば、メールアドレスや電話番号) への継続的なアクセスを維持する必要が生じ、多数の不正アカウントを作成・管理しにくくなります。
  • 認証要素の強化: 認証要素として WebAuthn を使用し、フィッシング耐性を高めるとともに、SMS pumping fraud のような攻撃を完全に防止します。
  • Tenant Access Control List (ACL): Tenant ACLs を設定して、悪意のあるトラフィックをブロックします。
  • Pre-user Registration Triggers: pre-user registration trigger を使用して、本人確認の対策を適用します。たとえば、アカウントを有効化する前にメールアドレスの確認を必須にするといった簡単な手順から、リスクプロファイルに応じたより複雑な検証プロセスまで含まれます。
  • サインアップ時に確認を必須にする: email verification on signup を設定し、サインイン前にユーザーがメールアドレスを確認することを必須にします。理想的にはワンタイムパスワード (OTP) を使用します。
  • Web Application Firewall (WAF) ルール: custom domain behind a reverse proxy を使用している場合は、WAF ルールを設定して、既知の悪意ある IP 範囲をブロックし、不審なリクエストパターンを検出し、Signup エンドポイントを標的とした一般的な攻撃ベクトルを軽減します。
  • サインアップを無効にする (最も極端な方法) : 深刻または継続的な攻撃が発生している場合や、ユーザーのセルフ登録が不可欠ではないアプリケーションでは、最も極端な対策として、新規ユーザーのサインアップを一時的または恒久的に無効にします。
  • 不正アカウントを削除またはブロックする: 不正アカウントを特定した後は、Auth0 の を使用して、不正アカウントを削除またはブロックできます。一括操作を行う場合は、Management API rate limits に注意し、レート制限を超えるおそれがある場合は support に連絡 してください。
検知と対応の戦略の実装について詳しくは、Detecting Signup Fraud: 3 Ways to Use Auth0 Logs to Protect Your Business を参照してください。