アクセス制限

各サービスのアクセス制限への対応をまとめたかったのですが、セキュリティの中核にも含まれる部分なので記載されているサービスは見つかりませんでした。

ログイン失敗回数による制限

すでに相当数のIDとパスワードのリストが出回っているため、それらを使った「パスワードリスト攻撃」への対応を行う必要がでてきています。

  • 何分で何回の試行失敗で制限をかけるか?
  • IDへ対してかけるかIPに対して制限をかけるか?
  • 何分制限をかけるか?

何分で何回の試行で制限をかけるか?

上記のパラメータを決める必要がありますが、平成26年9月25日「クロネコメンバーズWebサービスへの不正ログインにおいて 約19万回の試行回数に対して約1万件のアクセスがあったことを考えますと、試行回数は低い数値にする必要がありそうです。

クロネコヤマトの事例の場合、IPを20個用意して1回試行されるだけで1IDはログインされてしまいます。 この攻撃への対応はユーザの「パスワードの使い回しはしない」、「ログインの失敗の割合の監視」、(試行回数の監視)などを行う必要がありそうです。

IDへ対してかけるかIPに対して制限をかけるか?

大学や企業のように同一IPを多数の人が使う場合もありますのでIPに対して制限をかけるのは躊躇してしまいますが、リスト攻撃に大してはIP制限を検討せざるを得ないと思われます。

何分制限をかけるか?

パスワードリスト攻撃事例

サービス日時不正ログイン回数試行回数
クロネコメンバーズWeb2015/9/2510,589190,000
佐川急便Web2015/9/2834,161非公開
NTT Docomo2015/9/296,072非公開
wapp_pattern/security/limit_access.txt · 最終更新: 2014/10/10 10:29 (外部編集)
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0