みなさん、こんんちは。サニービュー事業部の小寺です。

先月、AWS WAFのアップデートにより、ログインページを保護するため
AWS WAF Fraud Control – Account Takeover Prevention(以下、ATP)機能がマネージドルールから利用できるようになりました。
https://aws.amazon.com/jp/about-aws/whats-new/2022/02/aws-waf-fraud-control-login-credential-attacks/

Account Takeover Prevention(ATP)とは

WAFのマネージドルールから提供された機能で、アプリケーションに送信されたユーザー名とパスワードが、ウェブの他の場所で漏洩した認証情報と比較されます。
さらに、ログイン動作を確認し、悪意のある攻撃者から異常なログイン試行がないかモニタリングを行います。

アップデートでできるようになったこと

ATP機能を使うことによって、不規則なログインパターン、ブルートフォース試行、クレデンシャルスタッフィングなどの攻撃が検出および軽減できるようになります。

設定してみる

(1)AWSマネジメントコンソールより、AWS WAFのマネージドルールで「Account takeover prevention」を有効化します。

(2)このルールでは認証リクエストを検査します。どのエンドポイントが対象なのかを「Rule group configuration」に指定します。ACLをAWSリソースへ関連付けをします。

(3)設定後、「Account takeover prevention」が有効になったことを確認します。

対応リージョン

2022年3月時点で以下のリージョンで対応しています。
・米国東部 (バージニア北部)
・米国西部 (オレゴン)
・欧州 (アイルランド)
・欧州 (ロンドン)
・アジアパシフィック (シンガポール)

料金

・AWS WAF Fraud Control サブスクリプション料金: 10USD
・1,000 回のログイン試行の分析あたり:1.00 USD

正式な料金については、こちらからご確認をお願いします。

まとめ

・AWS WAFの機能により、認証エンドポイントの不正ログイン検知と防御ができるようになった。

AWSをご利用いただくには、直接契約するより断然お得。
AWS利用料が5%割引、さらに日本円の請求書による支払いが可能です!