※CloudflareのLeaked Credentials Checkは、全ての有料プランで利用可能です。

ウェブサイトのセキュリティにおいて、ユーザーのログイン情報(アカウントのIDおよびパスワード)が漏洩するリスクは増加しています。この問題に対処するための有効な手段として、CloudflareのLeaked Credentials Check(漏洩資格情報チェック)が注目されています。本記事では、この機能の仕組み、利用方法、およびメリットについて詳しく解説します。

Leaked Credentials Checkの仕組み

なぜLeaked Credentials Checkは重要なのか?

Leaked Credentials Checkは、Have I Been Pwnedなどの大規模なパスワード漏洩データベースと照合し、ユーザーのログイン情報が過去に漏洩したかどうかをチェックします。これにより、漏洩した情報を使ってログインを試みる不正アクセスを未然に防ぐことができます。

※Have I Been Pwned (HIBP)は、オンラインアカウントのセキュリティを確認するための無料サービスです。このデータベースでは、過去に漏洩した膨大な数のパスワードを把握しております。これらと照合することで、ユーザーが過去に漏洩したパスワードを使用している場合、すぐに検出できます。これにより、ユーザーがまだ漏洩情報を利用している場合には、速やかに警告を発し、パスワードの変更を促すことができます。

Cloudflareは、ユーザーのパスワードをハッシュ化し、そのハッシュ値を使ってデータベースと照合するため、パスワードそのものが外部に送信されることはありません。これにより、ユーザーのプライバシーを守りつつ、漏洩情報の検出が可能になります。

資格情報が流出した場合、具体的なリスクとは?

もし資格情報が漏洩し、悪意のある第三者によって不正に使用されると、以下のようなリスクがあります

  • アカウントの不正利用
  • 個人情報の流出
  • 金銭的な被害(クレジットカード情報の悪用など)

このようなリスクから防衛するにも、まずはCloudflareのLeaked Credentials Checkを使って漏洩しているかどうかを確かめる必要があります。

その上で、漏洩していた場合は新たな対策を講じたりするなど、必要な対策を行なっていきます。

Leaked Credentials Checkの設定

1. Cloudflareアカウントにログイン

まず、Cloudflareのダッシュボードにログインします。

2. セキュリティ設定を開く

次に、WAF > Managed rules から Cloudflare Leaked Credentials Checkを 展開 します。

展開後、お客様ごとの環境に応じた設定が必要となります。

設定をご検討・ご希望の方はドーモまでご相談ください。

Leaked Credentials Checkで漏洩した資格情報が検出された場合の対応

<Cloudflareによる対応>

  • Exposed-Credential-Check ヘッダーの追加
    HTTPリクエストに新しい「Exposed-Credential-Check」ヘッダーを追加することで、アプリケーション側でパスワードリセットを強制したり、2要素認証を促したりといった対応が可能になります。これにより、漏洩した資格情報の悪用を防ぐことができます。
  • マネージドチャレンジ
    Cloudflareは、リクエストの特性に基づいて適切なタイプのチャレンジ(例: CAPTCHAなど)を自動で選択し、利用者が無駄に時間を費やさないようにします。これにより、セキュリティを維持しながらユーザー体験を損なうことなく、漏洩した資格情報の使用を防ぐことができます。
  • リクエストのブロック
    漏洩した資格情報を含むHTTPリクエストを検出した場合、そのリクエストをブロックしてアクセスを防止します。これは、不正なアクセスが試みられた際の基本的な防御策です。
  • JSチャレンジ
    漏洩した資格情報を使ってリクエストを行うクライアントに対して、JavaScriptベースの非対話型チャレンジを提示します。これは、ボットや不正アクセスを防ぐための追加のセキュリティレイヤーです。
  • ログ記録(エンタープライズプランのみ)
    Cloudflareのログに、漏洩した資格情報を含むリクエストを記録します。これにより、後で不正アクセスの試行を確認し、対応することができます。
  • インタラクティブチャレンジ
    漏洩した資格情報を使用したリクエストを行うクライアントに、インタラクティブなチャレンジ(例: CAPTCHA)を提示し、正当なユーザーかどうかを確認します。

<人間による対応>

  • 資格情報の変更
    まず、漏洩した資格情報(ユーザー名やパスワード)を速やかに変更します。パスワードの変更は、すべての関連アカウントで行う必要があります。特に、漏洩が確認されたサービスやアプリケーションでのパスワード変更を優先します。
  • 2要素認証(2FA)の有効化
    可能であれば、すべてのアカウントで2要素認証を設定します。これにより、万が一資格情報が再度漏洩しても、追加の認証ステップが必要になるため、セキュリティが強化されます。
  • セキュリティ監査の実施
    アカウントのセキュリティ監査を行い、漏洩が発生した原因を調査します。これには、不正アクセスの痕跡を確認したり、セキュリティ設定やポリシーの見直しを含む場合があります。
  • セキュリティソフトウェアの更新
    使用しているセキュリティソフトウェアやファイアウォールの設定を確認し、最新の状態に更新します。これにより、新たな脅威に対する保護が強化されます。
  • データの監視とログの確認
    ログを定期的に確認し、異常なアクセスや不正行為がないかを監視します。特に、漏洩後のログに注意を払い、不正アクセスの兆候がないかをチェックします。

このようにCloudflareのLeaked Credentials Checkを利用することで、漏洩した資格情報の確認や防止をすることが可能です。

ご興味やご関心がある方は、ドーモまでお問い合わせください。

Web表示スピード改善・セキュリティ対策のCloudflare

さらに詳しい情報を見る
資料をダウンロード(PDF) 無料の診断や導入トライアルご希望など
お問い合わせはこちら