Starbucksなどを守るクレデンシャル詐欺対策サービスのShape Securityが、日本で事業を説明:「日本でも最大手小売業2社が採用」
JPMorgan ChaseやStarbucksなど、各分野における大手企業を顧客に持つShape Securityは、どのようなクレデンシャル詐欺対策サービスを提供しているのだろうか。
アカウント乗っ取りなどのクレデンシャル詐欺からオンラインサービスを守るShape Securityは2020年2月19日、F5 Networks日本法人開催の説明会で、提供しているサービスの内容を説明した。F5は2020年1月下旬、Shape Securityの買収を完了した。
Shape Securityは、アプリケーションセキュリティをクラウドサービスとして提供する企業。流出したユーザー名とパスワードの組み合わせ(以下、認証情報)を活用する、いわゆる「クレデンシャルスタッフィング」攻撃などを通じた不正行為に対抗する。プロキシやCDN(Contents Delivery Network)などとの連携、あるいはShape Securityが運用するリバースプロキシサービスで、不正アクセスを防止する。
オンラインサービス企業はこうした攻撃に対し、CAPTCHAや多要素認証による対策を講じてきた。だが、CAPTCHAは攻撃側の進化によって有効性が低減しつつある。多要素認証はユーザーに不便を強いるため、他社との競合上の観点からも事業者としては徹底しにくい。そこでShape Securityでは、組織的な攻撃をさまざまな兆候によって識別し、サービスに到達する前にCDNやプロキシでブロックすると、Shape SecurityのChief Revenue and Customer Officerであるハサン・イマム(Hasan Imam)氏は説明した。
Shape Securityは、銀行では世界最大手10社のうち5社、航空会社では世界最大手10社のうち4社、小売業では世界最大手10社のうち3社で使われているという。日本でも最大級の小売業2社が採用しているとする。イマム氏は、比較的少数の集団による洗練された高度な攻撃が大きな損害につながっていると指摘。こうした攻撃を防げるのはShape Securityだけと主張した。
では、Shape Securityはどのように攻撃を防止するのか。Webブラウザのチェックやユーザーの操作/振る舞い、通信情報など、数百種類のシグナルに基づき、攻撃を検知するという。イマム氏は詳しい説明を避けながらも、基本的には「自動化」に着目すると話している。
高度な攻撃では多くの場合、例えばユーザー名(電子メールアドレス)とパスワードの組み合わせをログインページに自動入力するような、何らかの自動ツールが使われる。Shape Securityでは、自動化ツールによるログインページの構造把握を妨げる、Webブラウザを使わないアクセスを検知するといったことを通じ、不正な目的を持つアクセスをブロックするという。
攻撃の中には、Webブラウザを使っているように見えるが、操作を自動化しているものもある。こうした場合、JavaScriptを通じて、文字入力速度やマウスポインターの動きが不自然でないかをチェックするなどを行うという。モバイルアプリには、SDKによって同社の提供する保護機能を組み込める。
モニタリングモードにすると、多くの攻撃アクセスが確認できる。防御モードに移行すると、攻撃者はShape Securityによる保護を受けて対抗策を生み出す。するとShape Securityは即座にこれに追従して対策を講じるという。失敗が続くと、攻撃者はそのうちあきらめることになる。クレデンシャル詐欺を目的としたアクセスは、オンラインサービスへの大きなトラフィック負荷をもたらしており、Shape Securityの利用はこうした負荷の軽減にもつながるという
Shape Securityは、人手を使った大規模な攻撃にも対応できるとしている。では、人がWebブラウザを使って行う攻撃を、正規のアクセスとどう区別するのか。イマム氏によると、こうした場合でも、マニュアルに基づいて何らかの効率化手法を活用しており、これを検知するという。
一方、Shape Securityはこれとは別に、認証情報チェックのサービスを行っている。同サービスは、認証情報がダークウェブで流通する前に、流出した情報を使って行われる攻撃に対応できることが特徴という。
Copyright © ITmedia, Inc. All Rights Reserved.