パスワードリスト攻撃などのサイバーセキュリティ最新情報をお届けします

こちらはCapyパズルCAPTCHAの一部のアクセス数の推移を紹介しています。 第1軸（左軸：青線）はアクセス数をあらわしており、 厳密にはWebサーバがCAPTCHAの回答を問い合わせた回数を示しています。 アクセス数の具体的な数値についは都合により非公開とさせて頂いていますことをご了承ください。 第2軸（右軸：オレンジ線）は失敗率を示しています。

多くのものはユーザがCAPTCHAを回答しなかったり、誤った解答を送信した場合も含まれますが、 悪意のあるツールによるものも含まれている可能性があります。 期間は2020年7月から12月の間を集計しています。

本アクセスの結果から、他期間と比較してアクセス推移や失敗率と大幅な変化がないことから、 本システムに対する攻撃のような極端な兆候はみられませんでした。

こちらのグラフは上記で集計していないお問い合わせフォームに設置されたCAPTCHAのアクセス推移です。

お問い合わせフォームには、攻撃ツールによる大量の投稿やスパムの送信が日々行われています、 場合によっては入力されたメールアドレスに送信する仕組み（いわゆるサンキューメール）を 悪用したエンドユーザに対するスパムの送信も発生しています。

お問い合わせフォームにおいてはグラフから通常のログイン画面に比べて失敗率が高く機械的な試行も継続的に含まれているという特徴があります。

リモートワークの増加にともない、自宅などから社内環境への安全な接続環境が必要になり、 VPNの使用が拡大されるようになりました。一方でVPN装置の脆弱性を使用した攻撃についても多く報告されています。

JPCERT/CCの調査によると、2020年「Pulse Connect Secure」という 製品の脆弱性を狙った攻撃による被害が国内でも報告されているとのことです。

こちらの攻撃で使用されているものは2019年に発見され修正済みのバージョンが公開されていますが、 2020年になっても脆弱性をもったバージョンの製品が継続的に稼働していることがみられます。 リモートワークの拡大に伴いVPN製品を新たに導入もしくは拡大した影響により 脆弱性の対応が遅れていることも考えられますので、ぜひ一度自組織の製品のバージョンをご確認ください。

パスワードリスト攻撃の事例

2020年に発生したパスワードリスト攻撃が起因すると考えられる事例をご紹介します。

ユーザ向けの対策

パスワードリスト攻撃の大きな原因の一つは、ユーザが複数サービスでパスワードを使い回していることによるもので、 パスワードリスト攻撃の被害を防ぐために私たちが普段利用するときにも注意が必要です。

JPCERT/CCでは「STOP！パスワード使い回し！」というキャッチコピーのもとユーザへの注意を呼びかけています。 その中で3つのポイントが取り上げられています。 まずは「安全なパスワードを設定しよう」とし、攻撃者に推測されにくい複雑なパスワードを設定することが必要です。 次に「パスワードを適切に管理しよう」とし、パスワード管理ツールの使用や、 保管には注意が必要ですが紙のメモなどによる管理を推奨しています。 3つ目に「インターネットサービスのセキュリティ機能を活用しよう」とし、 使用サービスから提供されている二要素認証やログインアラート機能の活用方法が紹介されています。

認証方法や二要素認証については以下のサイトで詳しく解説していますので、参考にしていただければ幸いです。

フィッシング対策協議会のレポート

フィッシング対策協議会の認証方法調査・推進ワーキンググループは、 フィッシング対策と関連の高いインターネットサービスの利用者認証について、 サービス利用者へアンケート調査を行い、その調査結果を報告書として公開しました。 Capyでは本ワーキンググループに参加しており、本調査報告書にも一部執筆を行っております。

報告書では、認証に対して、何となく不安である、 不安を感じつつもログインしているとの利用者が44.7％と半数近い状況であり、 安全性を重視したサービスと、便利な利用を重視したサービスでは、 どちらを利用したいかとの問いに、 58％は手間がかかり面倒でも安全性が重視されているサービスを求めています。

一方で、39.5％は、利便性を優先しており、安全性よりも便利な利用を重視した利用者が多く、 事業者では安全だけではなく離脱を気にかけたシステムを設計する必要があります。

Capyでは日々お客様のシステムのセキュリティを守るべく研究開発も積極的に行っております。

2020年にはICOIN2020年には 「Detection of Bots in CAPTCHA as a Cloud Service Utilizing Machine Learning」として採択されました。 また、2021年にはオンラインで開催される情報処理学会全国大会および国際会議であるICOIN2021での発表を予定しております。

2020年に公開した顧客導入事例

また、お客様の導入事例も新たに公開しました。システム採用の検討事項としてぜひご覧ください。

CapyのFIDOソリューション

FIDO(ファイド：Fast IDentity Online)はパスワードレスを実現する安全・安心・便利なオンライン認証方式です。 エンドユーザにとって本人のみが認証できるセキュアな認証が簡単に利用できる、また面倒なID/PWの管理が不要といったメリットがあります。一方サービス事業者側メリットとしては、ユーザービリティーが高くセキュリティが確保された認証が構築できる、万が一の情報漏洩時にも大事な情報が外部に漏れないといったものがあげられます。 CapyではFIDO AllianceのAssociate Level Membersとして参画しており、FIDO UAFおよびFIDO2（サーバ）の認定を取得しております。

また、2020年にはアコム株式会社の公式スマホアプリに採用されています。

スグログイン

CapyではFIDOサーバをより身近に使って頂きたいという考えのもと、中小規模向けオンラインサービス事業者向けに、 生体認証サービスのサブスクリプションサービスを提供致します。 本サービスを導入すると既存のサービスのユーザデータをもとに生体認証を用いたオンライン認証を実装することができ、 パスワードレス認証の導入も可能になります。

現在実証実験として全てのインターネット事業者に対し無償で提供しております。 詳細や申し込みはスグログインのページより、申込フォームへの登録をお願いします。

Capyでは最新のセキュリティ情報をより簡単に分かりやすく解説するYouTubeチャンネル 「Capy サイバーセキュリティ研究室 CSI (Capy cyber Security Intelligence)」を開設しました。 難しいと思われがちなセキュリティ情報をより身近に感じて頂けるような動画を公開しております。 また、これからエンジニアやサイバーセキュリティの技術者を目指す方にも有益な情報を提供しておりますので、 ご覧いただければと思います。