6月13日、セキュアスカイ・テクノロジー(SST)は、SaaS側WAF(Web Application Firewall)サービス「Scutum(スキュータム)」において、パスワードリスト攻撃の抑制機能を搭載した。Scutumはアプライアンスの導入なしでWebアプリケーションへの攻撃を防ぐセキュリティサービス。
パスワードリスト攻撃とは、悪意を持つ第三者が入手したID・パスワードのリストを利用してWebサイトにアクセスを試みることで、不正にログインされてしまう攻撃。同じID・パスワードの組み合わせを複数のサイトで使い回す傾向が強いため、パスワードリスト攻撃の成功率は高くなっている状況があるという。一方で、Webサイト運営者側では二段階認証など、より強固な認証手段を対策として検討しなければならず、利用者の利便性を損ねる可能性がある。
こうした課題に対し、SSTのScutumでは、同じIPアドレスからの同処理の通信回数をウォッチするとともに、その通信がログインの処理かどうかを判別する機能を標準搭載した。これにより、パスワードリスト攻撃に対して、より効率的な検知と防御が可能になったという。
