投稿日: Feb 16, 2023
AWS WAF Fraud Control アカウント乗っ取り防止 (ATP) がオリジンレスポンスを検査できるようになりました。これにより、お客様のログインページへのブルートフォース攻撃やクレデンシャルスタッフィング攻撃に対する保護が強化されます。これまでの ATP ルールは、受信したログインリクエストと盗まれた認証情報データベースを照合し、ユーザー名とパスワードの試行リクエストを経時的に分析し、そのデータを IP アドレスやセッション ID などの一意の識別子に基づいて集計することに限定されていました。今回のリリースにより、ATP マネージドルールでアプリケーションのレスポンスデータを検査し、お客様が定義したログイン失敗条件に基づいてログイン試行をブロックできるようになりました。この機能は、未漏洩の認証情報を取り込もうとするブルートフォース攻撃からの保護に役立ちます。
成功または失敗の条件は、HTTP ステータスコード、HTTP ヘッダー、レスポンスの本文、JSON 文字列に基づいて指定できます。例えば、HTTP レスポンスコード 200 (成功条件) または 401 (失敗条件) を含むレスポンスを検査するように ATP を構成できます。これらのレスポンス条件を追加のシグナルとして使用し、ログイン試行が失敗した回数をセッションごとまたは IP アドレスごとに集計するように ATP を構成できます。デバイスごとのログイン失敗数が事前に定義されたしきい値に達すると、ATP はブルートフォース攻撃に対する防御策としてそれ以降のリクエストをブロックできます。最も効果的に ATP ルールグループを使用するために、アプリケーション統合 SDK を使用して連携させることを強くお勧めします。
オリジンレスポンスの検査は、AWS WAF コンソール、AWS SDK、AWS CLI を使用して構成できます。この機能は現在 CloudFront ディストリビューションでのみ利用可能ですが、リージョンごとの AWS リソースの保護については今後サポートされる予定です。この機能に関連する追加料金は発生しませんが、ATP の標準料金が引き続き適用されます。ATP の使用を開始するには、こちらのドキュメントのリンクを参照してください。