コラム|パスワードリスト攻撃、リスト型攻撃の対策にCapy

リスト型攻撃の被害に関するニュースをたくさん見かけています。
リスト型攻撃、またはパスワードリスト攻撃と呼ばれますが、どこかで漏えいしたIDとパスワードを全く別のサイトのログイン画面に入力して、ログインを試す攻撃です。

1件だけ入力を試すのではなくて、数万件、数十万件など大量のIDの入力が試されるわけですが、
もちろん人間が1件1件入力しているのではなくて、プログラムを作って自動で入力しログインボタンを押してくるわけです。このプログラムはボットと呼ばれています。

なぜこんなプログラムまで作ってログインを試していると思いますか?

それはログインできると、他人名義で買い物ができたり、貯めているポイントを使ったり、
個人情報として登録されているあなたのお名前、住所、電話番号がわかったりするからなんです。

たまに聞いたことありませんか?
「空き家の前で宅配便を受け取ろうとして逮捕」というニュースを。
これは、例えば通販サイトで不正ログインされてしまったアカウントで
自宅以外にプレゼントを届ける住所フォームに、空き家の住所を記入されて商品を空き家で受け取ろうとした事件なんです。
同様に貯めているポイントを、別のポイントに変換して盗まれるという事件もあります。

このログインを試す動きを封じ込めるのがCapyのパズルCAPTCHA(キャプチャーと読みます)です。
プログラムのボットは、IDとパスワードを入力してログインボタンを押すという繰り返し作業が得意なのですが、パズルCAPTCHAは苦手です。毎回画像もピースも変わるため、パズルを解こうとするとかなりの労力が必要なんです。

CapyパズルCAPTCHA

CapyパズルCAPTCHA

連続して数万件、数十万件のログインを試すだけなのにパズルCAPTCHAまで解かなければいけないとなると、攻撃者にとっては難題になるのでしょう。リスト型攻撃が続いているサイトにパズルCAPTCAHを表示していただくと、何度試してもログインができないので、次第に攻撃が減少していったというお声をお客様からいただきます。
パズルCAPTCHAが解けなければ、IDとパスワードが合ったとしてもログインができないので、不正ログインができなくなるというわけです。

プログラムのボットに何度もログインを試させないという対策は本当に効果があるの!?
とお悩みになりましたら、Capyにお声掛けてください。検証のためのご試用期間もご用意いたします。

資料請求、試用版ご希望はこちらから