クラシックなブルートフォースは単一のIPから短時間に多くのパスワード試行を行います。Credential stuffingは多数のIPに分散して同じパスワードリストを試みます。Low-and-slow攻撃は数時間にわたって少数の試行を行います。セッションハイジャック試行はログイン成功後にIP、ユーザーエージェント、または行動の変化を通じて現れます。これらすべてを同じレート制限ルールで検出することは現実的ではありません。
IPベースのロックアウトのみを使用すると、分散型credential stuffingが通り抜け、共有ネットワーク上の正当なユーザーに不当な影響を与えます。ユーザーベースのロックアウトのみを使用すると、攻撃者が意図的にアカウントロックアウトをサービス拒否として引き起こすことができます。CAPTCHAのみを使用すると、すべてのログイン試行が不必要な摩擦となり、ユーザー体験が低下します。
多くのソリューションはログインの瞬間のみを見ます。しかし、アカウント乗っ取りリスクはログイン後も続きます:パスワード変更、メールアドレス変更、決済方法の追加、APIトークン生成、資金移動などの機密アクションが新しいコンテキストで届く場合、これはpost-login悪用シグナルです。この動作はセッションバインディングとstep-up MFAと一緒に評価する必要があります。
正しいアプローチは各攻撃クラスに適したスコープとシグナルの組み合わせを使用することです。IP、username、username_ip、compositeスコープはボットスコア、failed-auth velocity、IP reputation、セッションバインディングミスマッチと連携して機能する必要があります。
TR7アカウント乗っ取り保護はこのモデルを提供します:WAAPトラフィックシグナルをAAMアクセスポリシーと組み合わせ、単一ルールではなくマルチレイヤーポリシーグラフを通じてATOリスクを管理します。
TR7はマルチシグナルスコアリング、攻撃クラス固有のスコープ選択、段階的エスカレーション、AAM連携を通じてATO防御を適用します。
ボットスコア、failed-auth velocity、IP reputation、セッションバインディングミスマッチがすべて同じ決定パスで評価されます。決定はIPのみまたはユーザー名のみではなく、攻撃の実際の行動形態に基づいて行われます。
IPスコープは単一ソースのブルートフォース試行を追跡し、ユーザー名スコープは分散型credential stuffingを追跡し、username_ipスコープは標的型攻撃を追跡し、compositeスコープはIP、ユーザーエージェント、ヘッダーの組み合わせを追跡します。各スコープは独自のカウンターと閾値動作で動作します。
最初のステージでイベントが監査ログに書き込まれ、次にself-hosted CAPTCHAが起動し、最後にロックアウトが適用されます。このモデルは正当なユーザーへの不必要な摩擦を最小限に抑えながら攻撃者を遅くします。
WAAPトラフィックシグナルはAAMロックアウトとstep-up MFAポリシーと連携して機能できます。CAPTCHA閾値に近づいているユーザーやセッションコンテキストの変化を示しているユーザーに追加の検証をトリガーできます。
アカウント乗っ取り保護は、ログイン前のトラフィックリスク、ログイン失敗、ログイン後のセッション動作を同じ保護チェーンにまとめます。
TR7は警告 → CAPTCHA → ロックアウトのフローを通じてATO防御を段階的にします。警告ステージはユーザーに摩擦を提示することなく監査証跡を生成します。CAPTCHAステージは自動化に挑戦し、正当なユーザーに制御された検証ステップを提供します。ロックアウトステージは特定のスコープの試行容量を一時的に停止します。
ATO攻撃は単一のスコープでは検出できません。TR7は同じエンドポイント上でIPベース、ユーザー名ベース、IP+ユーザー名ベース、compositeスコープポリシーを同時に実行できます。単一IPブルートフォース、マルチIPcredential stuffing、標的型アカウント攻撃がそれぞれ別々に追跡されます。攻撃者が1つのスコープの下に留まっても、他のスコープがまだ動作を検出できます。
failedAuthAttemptsトリガーは定義された時間ウィンドウ内の失敗した試行をカウントします。このカウンターはユーザー、IP、またはcompositeスコープごとに追跡できます。短いウィンドウは高速なブルートフォース試行を発見し;長いウィンドウはlow-and-slow ATO動作を明らかにします。総カウントと時間経過による試行密度の両方が決定に貢献します。
TR7はボットスコアを計算する際に、ユーザーエージェント分析、IP reputation、行動分析、疑わしいパス、ヘッダーフィンガープリント、プロトコル異常、シグナルの不一致、Tor出口ノード、TLSフィンガープリント、データセンターIPなどのファクターを考慮できます。スコアが定義されたレベルに達すると、CAPTCHAまたはブロックアクションをトリガーできます。ログイン試行はパスワードエラーだけでなく、自動化の動作としても評価されるため、トラフィックの質をATO防御に取り込みます。
オープンプロキシ、悪質ボット、攻撃、偵察、スパム、VPN IPなどのIP reputationサブカテゴリはATOの決定でリスクシグナルとして使用できます。これらのカテゴリは単独で強制的なブロックを生成する必要はありません;ボットスコアとロックアウトポリシーとともに評価されます。既知の悪質なインフラからのログイン試行はより早い段階で摩擦にさらされます。このアプローチは偽陽性リスクを軽減するために他のシグナルと組み合わせて機能します。
パスハンマリング、急速なリクエスト、高い404レート、リファラーなしのmutationリクエスト、予期しないHTTPメソッドの使用はすべてログイン表面でのリスクシグナルになりえます。これらの指標はcredential stuffing、アカウント列挙、自動スキャン動作を区別するのに役立ちます。シグナルは単独で評価されるのではなく、ボットスコアとfailed-authカウンターと連携して機能します。攻撃はパスワードエラーだけでなく、トラフィック動作からも可視化されます。
CAPTCHA閾値を超えると、TR7は独自のチャレンジフローを起動できます。外部の検証サービスにデータを送信することなく、ユーザーに制御されたチャレンジが提示されます。誤ったCAPTCHA回答は失敗試行カウンターに追加され、エスカレーションを加速できます。これはデータ所在地と規制上の感度を持つ組織に対してより制御されたモデルを提供します。
TR7はWAAPのボットとロックアウトシグナルをAAMアクセスポリシーと調整できます。CAPTCHA閾値に近づいているユーザー、セッションバインディング異常を生成しているユーザー、または機密アクションを実行しているユーザーに対してstep-up MFAをトリガーできます。このアプローチはログイン時のリスクをpost-login操作にも持ち込みます。攻撃者が正しいパスワードを知っていても、追加の検証バリアに直面します。
セッションはIP、IP+ユーザーエージェント、またはcompositeコンテキストに関連付けられます。ログイン後にIP、ユーザーエージェント、またはコンテキストが予期せず変化した場合、セッションバインディング異常が生成されます。このシグナルはセッションハイジャックとトークン再使用シナリオで特に重要です。機密エンドポイントで再認証または追加のコントロールをトリガーできます。
attemptWindowDurationは失敗した試行がどのくらいの期間カウントされ続けるかを定義します。ユーザーが今日いくつかのパスワードエラーを犯した場合、ウィンドウが期限切れになると正常な動作に戻ることができます。同じウィンドウ内で十分な試行を積み重ねた攻撃者はCAPTCHAまたはロックアウトに遭遇します。このモデルはセキュリティとユーザー体験のより健全なバランスを実現します。
各ログイン試行に対して、タイムスタンプ、ソースIP、ユーザーエージェント、スコープ、ポリシーID、結果を記録できます。警告、CAPTCHA、ロックアウト、または成功した通過などの結果がインシデント確認時に区別されます。メールアドレスや電話番号などの受信者詳細はマスクされるため、監査ログが二次的なデータ漏洩チャンネルにならないようにします。SOCチームは構造化されたレコードを使用して攻撃フローを追跡します。
ロックアウト期間が終了した後に隔離アクションが定義されている場合、クライアントまたはスコープは追加の精査下に置かれます。これにより攻撃者がロックアウト期間が終わるたびに同じ試行を繰り返すことが難しくなります。隔離はクラシックなロックアウト動作を超えた継続的なリスク追跡を提供し、長期的なATOキャンペーンで有用な追加層です。
ATO保護は既製のポリシープリセット、ネイティブカウンター、ボットスコアカーブ、プール分離、compositeスコープ、AAMカウンター共有とともに運用されます。
TR7はusername、IP、username_ipスコープの既製のロックアウトポリシー例を提供できます。usernameスコープはより長いウィンドウでcredential stuffingに焦点を当て;IPスコープはより短いウィンドウでブルートフォース動作に焦点を当てます。すべての閾値、期間、アクションはサービスのニーズに合わせて調整できます。
失敗したログイン試行は高速カウンター構造を使用して追跡されます。このアプローチは外部データベース呼び出しへの依存を軽減し、ログインパスで低遅延を提供します。クラスター環境でカウンターをピアノードにレプリケートすることはフェイルオーバー後の保護継続性のために重要です。
ボットスコアは低いシグナルレベルでは敏感に、高いリスクが蓄積するにつれて飽和するように解釈できます。このアプローチにより、多数の小さなシグナルが意味のあるリスクに積み重なることができます。新しいシグナルが追加されたとき、ポリシー閾値全体を最初から再設計する必要性が軽減されます。
各プールは独自のトラフィック保護プロファイルにバインドできます。1つのテナントまたはサービスのATOシグナルが別のテナントのカウンターに影響しません。この分離はマルチテナントSaaSおよびMSPシナリオで重要です。
Compositeスコープは、IP、ユーザーエージェント、accept-language、または類似のヘッダーコンポーネントを単一の追跡キーに組み合わせることができます。このモデルはIPまたはユーザー名だけでは不十分な場合により文脈的な追跡を提供します。ローテーションするユーザーエージェントや変動するクライアント動作に対して追加の可視性を提供します。
WAAPのfailed-authカウンターはAAMロックアウトポリシーと調整できます。攻撃者が直接異なるログインエンドポイントを標的にしても、同じリスク動作が共有カウンターとポリシーパスで評価できます。これによりATO保護はトラフィック層だけでなく、IDフロー全体で一貫したものになります。
銀行チームはログインエンドポイントをIPスコープとSSL接続動作とともに監視できます。定義された閾値を超えると、CAPTCHA、ロックアウト、またはAAM step-up MFAが起動します。
多くのIPから少数の試行を行うボットはIPスコープの下では見えないかもしれません。Usernameスコープは同じアカウントに蓄積する失敗した試行を検出し、アカウントレベルのCAPTCHAまたはロックアウトを適用します。
CFOまたは管理者アカウントに対する少量だが集中した試行はusername_ipまたはcompositeスコープで追跡できます。リスクが上昇すると、AAMを通じてstep-up MFAがトリガーされます。
ユーザーがログインした直後にIPまたはユーザーエージェントが予期せず変化した場合、セッションバインディング異常が生成されます。資金移動、メールアドレス変更、トークン生成などのアクションに再認証を要求できます。
Credential stuffing、ブルートフォース、low-and-slow、セッションハイジャックに対する統合ATO防御。お客様自身のサービスでのライブセットアップを一緒に確認しましょう。