偽装アクションの使用

アカウント乗っ取り (ATO) 攻撃 (例 : クレデンシャルスタッフィング) から Web アプリケーションを守るために、偽装アクションタイプを使用するルールを追加できます。Next-Gen WAF がこれらのルールに一致するログインフォームへの POST リクエストを識別すると、WAF はリクエストがオリジンにアクセスするのを防ぎ、無効なクレデンシャルページを返します。このレスポンスにより、攻撃者は不正な認証情報が原因で攻撃が失敗したと誤認しますが、実際は WAF によってブロックされています。このような偽装レスポンスにより、攻撃者がアカウント乗っ取り攻撃の継続を控えるようになり、リソースと時間を節約できる仕組みです。

前提条件

偽装アクションを実行するには、以下の前提条件が満たされていることを確認します。

偽装ルールのアクションタイプは、Essential または Professional プラットフォームでは利用できません。
エッジ WAF デプロイが必要です。他のデプロイタイプでは偽装アクションはサポートされていません。
動的なバックエンドを有効にする必要があります。有効になっていない場合は、カスタマーサポートに有効化を依頼してください。

制約と考慮事項

偽装アクションを実行する際には、以下の点に留意してください。

高度なレート制限ルールとリクエストルールは、サイトレベル (ワークスペースレベル) でのみ偽装アクションをサポートします。他のルールタイプでは、偽装アクションはサポートされていません。
偽装ルールは、パスワードフィールドが password、passwd、pass、または pw と名付けられているログインフォームへの POST リクエストに対してのみアクションを実行します。

仕組みについて

たとえば、既知の侵害されたクレデンシャルを使用する POST リクエストから Web アプリケーションのログインページを保護する偽装ルールがあると仮定します。Next-Gen WAF がルールの条件を満たすリクエストを識別すると、WAF は以下の処理を実行します。

リクエストに Deception Response シグナルをタグ付けします。
Web アプリケーションから無効なクレデンシャルページを取得します。
無効なクレデンシャルページを攻撃者に転送します。これにより、攻撃者はログイン試行が失敗し、WAF によってブロックされなかったと思い込むことになります。

例

以下の例では、アカウント乗っ取り攻撃を防ぐ偽装ルールの設定方法を示しています。例で使用されている値 (パスなど) は、特定の Web アプリケーションで使用される値とは異なる場合があることにご注意ください。

リクエストルールの例

この例は、疑わしい悪質なボットを使用して Web アプリケーションへのログインを試みる攻撃者を欺くためのリクエストルールの設定方法を示しています。

リクエストルールには、以下の2つの条件が必要です。

リクエストには Suspected Bad Bot シグナルをタグ付けする必要があります。
リクエストのパスは /login である必要があります。

ヒント: HTTP メソッドが POST であることは必須の要件ではありません。HTTP メソッドが POST でない場合、Next-Gen WAF は一致するリクエストに対してアクションを実行しません。

ルールは、Action type が Deception、Deception type が Invalid Login Response でなければなりません。

Next-Gen WAF control panel
Fastly control panel

疑わしい悪意のあるボットを使用してログインを試みる攻撃者を欺くために設計されたリクエストルール。

高度なレート制限ルールの例

この例は、しきい値を超えた後に、既知の侵害されたクレデンシャルを使用して Web アプリケーションへのログインを試みる攻撃者を欺くための高度なレート制限ルールの設定方法を示しています。

高度なレート制限ルールには、以下の2つの条件が必要です。

リクエストには Compromised Password シグナルをタグ付けする必要があります。
リクエストのパスは /login である必要があります。

ヒント: HTTP メソッドが POST であることは必須の要件ではありません。HTTP メソッドが POST でない場合、Next-Gen WAF は一致するリクエストに対してアクションを実行しません。

このルールはまた、以下の条件を満たす必要があります。

Client key を IP address (デフォルト) に設定します。クライアントキーは、WAF が個々のクライアントをどのように識別するかを指定します。
Threshold signal を Rate Limit ATO カスタムシグナルに設定し、Threshold および Interval の値をデフォルトのままにして、しきい値の追跡を定義します。
Action type を Deception に、Deception type を Invalid Login Response に設定して、レート制限を定義します。

Next-Gen WAF control panel
Fastly control panel

侵害されたクレデンシャルを使用してログインを試みる攻撃者を欺くために設計された高度なレート制限ルール。 .

Network services

Security

Compute

Quick start

Building blocks

Integrations

Tutorials

Demos

Use Cases

Code Examples

Starter Kits

前提条件

制約と考慮事項

仕組みについて

例

リクエストルールの例

高度なレート制限ルールの例

Network services

Security

Compute

Quick start

Building blocks

Integrations

Tutorials

Demos

Use Cases

Code Examples

Starter Kits

偽装アクションの使用

前提条件

制約と考慮事項

仕組みについて

例

リクエストルールの例

高度なレート制限ルールの例

関連コンテンツ