Webセキュリティ情報メディア

Webセキュリティ

Web認証で押さえておきたいセキュリティ対策

2019.05.15

Webセキュリティ

Security-measures-for-web-authentication

Webサービスの認証方式として、IDとパスワードを入力してログインするサービスがまだ多くみられます。しかし、Web認証するための情報は悪意のある第三者の標的となっており、セキュリティ対策を疎かにすると、サービス運営側もユーザー側も被害に遭う可能性があります。今回は、Web認証で押さえておきたいセキュリティ対策についてご説明します。

目次

1.Web認証のセキュリティ対策を疎かにするリスク

Web認証とはユーザーを個別に認識するためにユーザーIDを割り振り、パスワードを設定することで本人の認証をする仕組みです。本来は第三者に悪用されるものではなく、個人毎の情報に基づいてサービスを受けられるようにするためにあります。では、実際にWeb認証のセキュリティ対策を疎かにすると、どのようなことが起こるのか見ていきましょう。

1-1.ユーザーを個別に認識するための技術の悪用

例えばメールやオンラインショッピングなどでは、ユーザーを個別に認識することで、Webサービスの利便性が高まります。しかし、悪意のある第三者がユーザーIDやパスワードを奪いログインした場合、本人でなくとも情報の閲覧やサービスを悪用できてしまう仕組みでもあるのです。

1-2.個人情報の漏えいや流出などの被害

Web認証があるサービスを利用する際、場合によっては個人情報の入力が必要となります。Web認証のセキュリティ対策が万全でない場合、情報漏えいなどの被害に遭う危険性が考えられます。

2.Web認証へのサイバー攻撃

Web認証のセキュリティ対策が不十分である場合、個人のアカウントが乗っ取られるだけでなく、ときにはサービス運営側の管理権限などを奪われてしまう恐れがあります。Web認証へのサイバー攻撃で抑えておきたい攻撃の仕組みについてご説明します。

2-1.ブルートフォースアタックや辞書攻撃

Web認証の多くはIDとパスワードの組み合わせによるものであり、2つを手に入れれば誰でも他人の情報の閲覧、サービスの悪用が可能です。

ブルートフォースアタックは「総当り攻撃」とも呼ばれ、ユーザーIDに対してシステム的に手当たり次第パスワードを試して探し出す方法です。手当たり次第試すという地道な作業ではありますが、あらゆるパターンに挑戦するため確実にパスワードを解読してしまいます。

また、辞書攻撃(dictionary attack)は、その名の通りユーザーの情報やパスワードにされやすい「辞書に載っている意味のある単語」を使って、ログイン試行を繰り返す攻撃です。

2-2.偽装メッセージによるWeb認証情報の奪取

攻撃者は悪意のあるメールやSNSでメッセージを送ってIDとパスワードを聞き出したり、企業や公的機関の公式ページを装ったページを制作し情報を奪ったりします。

「サービスが利用できなくなる」、「オンラインバンキングが凍結になる」など、心理的不安を誘うことで騙されて入力してしまうユーザーは少なくありません。

2-3.ログインを保持したままのユーザーへの攻撃

Webサービスの中には任意でログアウトしない場合、一定期間ログイン状態が保持される機能があります。
ユーザーIDやメールアドレスを知らず、パスワードがわからない状態だとしても、ログインが保持されているユーザーに対して特定の挙動を起こす文字列を含むURLを踏ませることで、情報を発信されたり、サービスを悪用されたりすることがあります。

また、共有のPCでは認証機能のあるアプリケーションを使わない、または使用後は必ずログアウトすることがとても重要です。

3.Web認証のセキュリティ対策

Web認証のセキュリティ対策としては、システム面のセキュリティを強化することが大切です。そして運営側・ユーザー側の「人間」がWeb認証に対するセキュリティ意識を持つことが必要です。

3-1.サイバー攻撃に対するセキュリティ

システムを最新の状態にアップデートすること、システムやプログラムの脆弱性を突いたサイバー攻撃へのセキュリティ対策を施すことが大切です。また、サービス運営側の担当者がプライベートから仕事場にウイルスやマルウェアを持ち込んで、職場のパソコンを感染させてしまうようなことが起きないようにすることも大切です。

3-2.ユーザーの保護や注意喚起

パスワードの変更を装った偽メールや、公式ページを装った偽のホームページにおいて自分自身でIDやメールアドレス、パスワードを入力してしまうユーザーも少なくありません。ユーザーへ注意喚起することで、少しでもWeb認証のセキュリティを高めることが大切です。

3-3.セキュリティ・ネットワーク管理への意識

業務の忙しさからセキュリティ対策が後回しになってしまうことがあります。しかし、ネットワークやトラフィックの監視、不正なアクセス対策などは、サービスを運営する中で非常に重要なセキュリティ対策であることを忘れないようにしましょう。

4.まとめ

Web認証で抑えておきたいセキュリティ対策についてご紹介しました。
現在、ログインやサインインを必要とするサービスが多く、サービス運営側もユーザー側にとっても欠かせない機能の一つでもあります。ユーザーIDやメールアドレス・パスワードの取扱いも含めて、Web認証へのセキュリティ対策を日頃から意識しておくことをおすすめします。

5.おすすめのWebセキュリティ対策

Webセキュリティ対策としておススメなのが「WAF」の導入です。

WAFには色々なものがありますが、その中でもクラウド型WAFであれば、コストや手間も少なくセキュリティ対策することができます。

クラウド型のWAFは導入ハードルが極めて低いので、これからWebセキュリティ対策を行う企業様には有力な選択肢となります。WAFを選定する時には、サポート体制や導入実績なども重視して、自社に最適なものを選びましょう。

クラウド型WAF「攻撃遮断くん」は、最新の攻撃パターンにも自動的に対応していくため、セキュリティパッチをすぐに適用できない状況や、定期的に脆弱性診断が出来ない状況でも、セキュアな環境を保てます。

ぜひこの機会にWebセキュリティ対策を見直し、WAFの導入を検討してみてください。

「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。

 

サイバーセキュリティ クラウド型WAF 攻撃遮断くん Web Application Firewall
https://www.shadan-kun.com/
 
(2018/4/4 執筆、2019/5/15修正・加筆)

  • 御社のセキュリティ対策は本当に大丈夫ですか?約80%の企業が対策不足と言われています。Webセキュリティをいますぐ確認!3つのチェックポイント。今すぐ無料で資料ダウンロード
  • DDoS攻撃対策|導入社数、導入サイト数No.1|選ばれ続ける理由とは?クラウド型WAFでWebセキュリティ対策|今すぐ無料でダウンロード

Writer:CyberSecurityTIMES編集部

この記事と一緒に読まれています

攻撃遮断くん|クラウド型WAFでサイバー攻撃からWebサイトを保護 WafCharm|パブリッククラウドWAF自動運用サービス SIDfm|脆弱性情報収集・管理ツール

トレンド記事