AWS WAF Fraud Control アカウント作成の不正防止 (ACFP) ルールグループ - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS WAF Fraud Control アカウント作成の不正防止 (ACFP) ルールグループ

このセクションでは、 AWS WAF Fraud Control アカウント作成の不正防止 (ACFP) マネージドルールグループの動作について説明します。

VendorName: AWS、名前: AWSManagedRulesACFPRuleSet、WCU: 50

注記

このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、 の変更ログで報告されますAWS マネージドルールの変更ログ。他のバージョンについては、 API コマンドを使用しますDescribeManagedRuleGroup

AWS マネージドルールのルールグループでルールに対して公開する情報は、不正なアクターにルールを回避するために必要なものを与えることなく、ルールを使用するために必要なものを提供することを目的としています。

ここに記載されている情報よりも詳細な情報が必要な場合は、 AWS Support センターにお問い合わせください。

AWS WAF Fraud Control アカウント作成不正防止 (ACFP) マネージドルールグループは、不正なアカウント作成の試みの一部である可能性のあるリクエストにラベルを付けて管理します。ルールグループは、クライアントがアプリケーションの登録エンドポイントとアカウント作成エンドポイントに送信するアカウント作成リクエストを検査することでこれを行います。

ACFP ルールグループは、アカウント作成の試行をさまざまな方法で検査し、悪意のある可能性のあるやり取りを可視化して制御できるようにします。ルールグループは、リクエストトークンを使用して、クライアントブラウザに関する情報と、アカウント作成リクエストの作成における人間のインタラクティビティのレベルに関する情報を収集します。ルールグループは、IP アドレスとクライアントセッションごとにリクエストを集計し、物理アドレスや電話番号などの提供されたアカウント情報ごとに集計することで、一括アカウント作成の試みを検出および管理します。さらに、ルールグループは、侵害された認証情報を使用した新しいアカウントの作成を検出してブロックします。これは、アプリケーションと新しいユーザーのセキュリティ体制の保護に役立ちます。

このルールグループの使用に関する考慮事項

このルールグループには、アプリケーションのアカウント登録パスとアカウント作成パスの仕様を含むカスタム設定が必要です。特に明記されている場合を除き、このルールグループのルールは、クライアントがこれらの 2 つのエンドポイントに送信するすべてのリクエストを検査します。このルールグループを設定および実装するには、「AWS WAF Fraud Control アカウント作成の不正防止 (ACFP)」のガイダンスを参照してください。

注記

このマネージドルールグループを使用する場合、追加料金が請求されます。詳細については、「AWS WAF 料金」を参照してください。

このルールグループは、 AWS WAFでのインテリジェントな脅威の軽減保護の一部です。詳細については、でのインテリジェントな脅威の軽減 AWS WAF を参照してください。

コストを抑え、ウェブトラフィックを希望どおりに管理していることを確実にするには、AWS WAF におけるインテリジェントな脅威を軽減するためのベストプラクティス のガイダンスに従ってこのルールグループを使用してください。

このルールグループは、Amazon Cognito ユーザープールでは使用できません。このルールグループACLを使用するウェブをユーザープールに関連付けることはできません。また、このルールグループをユーザープールに既に関連付けACLられているウェブに追加することはできません。

このルールグループによって追加されるラベル

このマネージドルールグループは、評価対象のウェブリクエストにラベルを追加します。これは、ウェブ でこのルールグループの後に実行されるルールで使用できますACL。 AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「ウェブリクエストのラベル付け」および「ラベルメトリクスとディメンション」を参照してください。

トークンラベル

このルールグループは、 AWS WAF トークン管理を使用して、 AWS WAF トークンのステータスに従ってウェブリクエストを検査し、ラベル付けします。 は、クライアントセッションの追跡と検証にトークン AWS WAF を使用します。

トークンおよびトークンの管理の詳細については、「AWS WAF インテリジェントな脅威の軽減におけるトークンの使用」を参照してください。

ここで説明するラベルコンポーネントについては、「AWS WAF でのラベル構文と命名要件」を参照してください。

クライアントセッションラベル

ラベルには、 AWS WAF トークン管理がクライアントセッションを識別するために使用する一意の識別子awswaf:managed:token:id:identifierが含まれています。この識別子は、クライアントが使用していたトークンを破棄した後など、新しいトークンを取得すると変わる可能性があります。

注記

AWS WAF は、このラベルの Amazon CloudWatch メトリクスを報告しません。

ブラウザフィンガープリントラベル

ラベルには、 AWS WAF トークン管理がさまざまなクライアントブラウザシグナルから計算する堅牢なブラウザフィンガープリント識別子awswaf:managed:token:fingerprint:fingerprint-identifierが含まれています。この識別子は、複数のトークン取得の試行で同じままです。フィンガープリント識別子は、単一のクライアントに固有ではありません。

注記

AWS WAF は、このラベルの Amazon CloudWatch メトリクスを報告しません。

トークンステータスラベル: ラベル名前空間プレフィックス

トークンステータスラベルは、トークンのステータスと、トークンに含まれるチャレンジとCAPTCHA情報についてレポートします。

各トークンステータスラベルは、次のプレフィクスの 1 つで始まります。

  • awswaf:managed:token:— トークンの一般的なステータスを報告したり、トークンのチャレンジ情報のステータスを報告したりするために使用されます。

  • awswaf:managed:captcha: - トークンCAPTCHAの情報のステータスを報告するために使用されます。

トークンステータスラベル: ラベル名

プレフィックスに続いて、ラベルの残りの部分には詳細なトークンステータス情報が表示されます。

  • accepted - リクエストトークンが存在し、以下の内容が含まれています。

    • 有効なチャレンジまたはCAPTCHAソリューション。

    • 有効期限が切れていないチャレンジまたはCAPTCHAタイムスタンプ。

    • ウェブ に有効なドメイン仕様ACL。

    例: ラベル awswaf:managed:token:accepted には、ウェブリクエストのトークンに有効なチャレンジソリューション、有効期限が切れていないチャレンジタイムスタンプ、および有効なドメインがあることが示されています。

  • rejected - リクエストトークンは存在するが、承認基準を満たしていない。

    トークン管理では、拒否されたラベルに加えて、理由を示すカスタムラベル名前空間と名前が追加されます。

    • rejected:not_solved – トークンにチャレンジまたはCAPTCHAソリューションがありません。

    • rejected:expired – ウェブ のトークンイミュニティ時間の設定に従って、トークンACLのチャレンジまたはCAPTCHAタイムスタンプの有効期限が切れています。

    • rejected:domain_mismatch – トークンのドメインがウェブのACLトークンドメイン設定と一致しません。

    • rejected:invalid – 指定されたトークンを読み AWS WAF 取ることができませんでした。

    例: ラベル awswaf:managed:captcha:rejectedと は、トークンのCAPTCHAタイムスタンプがウェブ で設定されたCAPTCHAトークンイミュニティ時間を超えたためにリクエストが拒否されたawswaf:managed:captcha:rejected:expiredことを示しますACL。

  • absent — リクエストにトークンがないか、トークンマネージャーがそれを読み取れなかった。

    例: ラベル awswaf:managed:captcha:absent には、リクエストにトークンがないことが示されています。

ACFP ラベル

このルールグループは、名前空間プレフィックス awswaf:managed:aws:acfp: が付いたラベルを生成し、その後にカスタム名前空間およびラベル名が付いたラベルを生成します。ルールグループは、リクエストに複数のラベルを追加する場合があります。

ルールグループのすべてのラベルを取得するには、 を呼び出しAPIますDescribeManagedRuleGroup。ラベルは、応答の AvailableLabels プロパティにリストされています。

Account Creation Fraud Prevention ルールリスト

このセクションでは、 のACFPルールAWSManagedRulesACFPRuleSetと、ルールグループのルールがウェブリクエストに追加するラベルを一覧表示します。

このルールグループ内のすべてのルールでは、最初の 2 つの UnsupportedCognitoIDP と AllRequests を除き、ウェブリクエストトークンが必要です。トークンが提供する情報の説明については、「AWS WAF トークンの特徴」を参照してください。

特に明記されていない限り、このルールグループのルールは、ルールグループの設定で指定したアカウント登録ページのパスとアカウント作成ページのパスにクライアントが送信するすべてのリクエストを検査します。このルールグループの設定の詳細については、「AWS WAF Fraud Control アカウント作成の不正防止 (ACFP)」を参照してください。

注記

このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、 の変更ログで報告されますAWS マネージドルールの変更ログ。他のバージョンについては、 API コマンドを使用しますDescribeManagedRuleGroup

AWS マネージドルールのルールグループでルールに対して公開する情報は、不正なアクターにルールを回避するために必要なものを与えることなく、ルールを使用するために必要なものを提供することを目的としています。

ここに記載されている情報よりも詳細な情報が必要な場合は、 AWS Support センターにお問い合わせください。

ルール名 説明とラベル
UnsupportedCognitoIDP

Amazon Cognito ユーザープールに送信されるウェブトラフィックを検査します。 ACFPは Amazon Cognito ユーザープールでは使用できません。このルールは、他のACFPルールグループルールがユーザープールトラフィックの評価に使用されていないことを確認するのに役立ちます。

ルールアクション:Block

ラベル: awswaf:managed:aws:acfp:unsupported:cognito_idp および awswaf:managed:aws:acfp:UnsupportedCognitoIDP

AllRequests

登録ページのパスにアクセスするリクエストにルールアクションを適用します。ルールグループを設定するときに、登録ページのパスを設定します。

デフォルトでは、このルールは Challenge リクエストへの 。このアクションを適用することにより、ルールは、ルールグループ内の残りのルールによってリクエストが評価される前に、クライアントがチャレンジトークンを取得するようにします。

エンドユーザーがアカウント作成リクエストを送信する前に、登録ページのパスをロードするようにします。

トークンは、クライアントアプリケーション統合SDKsとルールアクションによってリクエストに追加されます。CAPTCHA また、Challenge。 トークンを最も効率的に取得するには、アプリケーション統合 を使用することを強くお勧めしますSDKs。詳細については、「でのクライアントアプリケーション統合 AWS WAF」を参照してください。

ルールアクション:Challenge

ラベル: なし

RiskScoreHigh

IP アドレスやその他の非常に疑わしい要素が含まれるアカウント作成リクエストを検査します。この評価は通常、複数の寄与要因に基づいており、ルールグループがリクエストに追加する risk_score ラベルで確認できます。

ルールアクション:Block

ラベル: awswaf:managed:aws:acfp:risk_score:high および awswaf:managed:aws:acfp:RiskScoreHigh

このルールは、medium または low のリスクスコアラベルをリクエストに適用することもできます。

AWS WAF がウェブリクエストのリスクスコアの評価に成功しない場合、ルールは ラベルを追加します。 awswaf:managed:aws:acfp:risk_score:evaluation_failed

さらに、このルールは、IP レピュテーションや盗難された認証情報の評価など、特定のリスクスコアの寄与要因のリスクスコアの評価ステータスと結果を含む名前空間 awswaf:managed:aws:acfp:risk_score:contributor: のラベルを追加します。

SignalCredentialCompromised

盗まれた認証情報データベースで、アカウント作成リクエストで送信された認証情報を検索します。

このルールにより、新しいクライアントは、好ましいセキュリティ体制でアカウントを初期化するようになります。

注記

カスタムブロックレスポンスを追加して、エンドユーザーに問題を説明し、続行方法を伝えることができます。詳細については、ACFP 例: 侵害された認証情報のカスタムレスポンス を参照してください。

ルールアクション:Block

ラベル: awswaf:managed:aws:acfp:signal:credential_compromised および awswaf:managed:aws:acfp:SignalCredentialCompromised

ルールグループは次の関連ラベルを適用しますが、アカウント作成のすべてのリクエストに認証情報があるわけではないため、それに対するアクションは実行されません: awswaf:managed:aws:acfp:signal:missing_credential

SignalClientHumanInteractivityAbsentLow

アカウント作成リクエストのトークンで、人間によるアプリケーションとの異常なインタラクティブ性を示すデータがないかどうかを検査します。人間のインタラクティビティは、マウスの動きやキーの押下などのインタラクションを通じて検出されます。ページに HTMLフォームがある場合、人間のインタラクティブ性にはフォームとのやり取りが含まれます。

注記

このルールは、アカウント作成パスへのリクエストのみを検査し、アプリケーション統合 を実装した場合にのみ評価されますSDKs。SDK 実装は、人間のインタラクティブ性をパッシブにキャプチャし、その情報をリクエストトークンに保存します。詳細については、AWS WAF トークンの特徴およびでのクライアントアプリケーション統合 AWS WAFを参照してください。

ルールアクション:CAPTCHA

ラベル: なし。このルールはさまざまな要因に基づいて一致を決定するため、考えられるすべての一致シナリオに適用される個別のラベルはありません。

ルールグループは、次の 1 つ以上のラベルをリクエストに適用できます。

awswaf:managed:aws:acfp:signal:client:human_interactivity:low|medium|high

awswaf:managed:aws:acfp:SignalClientHumanInteractivityAbsentLow|Medium|High

awswaf:managed:aws:acfp:signal:client:human_interactivity:insufficient_data

awswaf:managed:aws:acfp:signal:form_detected.

AutomatedBrowser

クライアントブラウザが自動化されている可能性を示す要素がないかを検査します。

ルールアクション:Block

ラベル: awswaf:managed:aws:acfp:signal:automated_browser および awswaf:managed:aws:acfp:AutomatedBrowser

BrowserInconsistency

ブラウザ調査のデータに一貫性がないかどうかを確認するために、リクエストのトークンを検査します。詳細については、「AWS WAF トークンの特徴」を参照してください。

ルールアクション:CAPTCHA

ラベル: awswaf:managed:aws:acfp:signal:browser_inconsistency および awswaf:managed:aws:acfp:BrowserInconsistency

VolumetricIpHigh

個々の IP アドレスから送信された大量のアカウント作成リクエストを検査します。大量とは、10 分ウィンドウにリクエストが 20 件を超えることです。

注記

このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。大量の場合、ルールアクションが適用される前に、いくつかのリクエストが制限を超える可能性があります。

ルールアクション:CAPTCHA

ラベル: awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:high および awswaf:managed:aws:acfp:VolumetricIpHigh

ルールは、中程度の量 (10 分間の時間枠あたり 15 件以上のリクエスト)および少量 (10 分間の時間枠あたり 10 件以上のリクエスト)のリクエストに対して、以下のラベル awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:medium および awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:low を適用しますが、アクションは実行しません。

VolumetricSessionHigh

個々のクライアントセッションから送信された大量のアカウントリクエストを検査します。大量とは、30 分間の時間枠にリクエストが 10 件を超えることです。

注記

このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールアクションが適用される前に、いくつかのリクエストが制限を超えることがあります。

ルールアクション:Block

ラベル: awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:high および awswaf:managed:aws:acfp:VolumetricSessionHigh

ルールグループは、中程度の量 (30 分間の時間枠あたり 5 件以上のリクエスト) および少量 (30 分間の時間枠あたり 1 件以上のリクエスト)のリクエストに対して、以下のラベル awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:medium および awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:low を適用しますが、アクションは実行しません。

AttributeUsernameTraversalHigh

異なるユーザー名を使用する単一のクライアントセッションからアカウント作成リクエストが高頻度で発生していないかどうかを検査します。30 分間のリクエスト数が 10 件を超えている場合は、大量であると評価されます。

注記

このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールアクションが適用される前に、いくつかのリクエストが制限を超えることがあります。

ルールアクション:Block

ラベル: awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:high および awswaf:managed:aws:acfp:AttributeUsernameTraversalHigh

ルールグループは、ユーザー名トラバーサルリクエストの中程度の量 (30分間の時間枠あたり 5 件以上のリクエスト) および少量 (30 分間の時間枠あたり 1 件以上のリクエスト) に対して、以下のラベル awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:medium および awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:low を適用しますが、アクションは実行しません。

VolumetricPhoneNumberHigh

同じ電話番号を使用する大量のアカウント作成リクエストが発生していないかを検査します。30 分間のリクエスト数が 10 件を超えている場合は、大量であると評価されます。

注記

このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールアクションが適用される前に、いくつかのリクエストが制限を超えることがあります。

ルールアクション:Block

ラベル: awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:high および awswaf:managed:aws:acfp:VolumetricPhoneNumberHigh

ルールグループは、中程度の量 (30 分間の時間枠あたり 5 件以上のリクエスト) および少量 (30 分間の時間枠あたり 1 件以上のリクエスト)のリクエストに対して、以下のラベル awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:medium および awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:low を適用しますが、アクションは実行しません。

VolumetricAddressHigh

同じ物理的な住所を使用する大量のアカウント作成リクエストが発生していないかを検査します。30 分間の時間枠あたりのリクエスト数が 100 件を超えている場合は、大量であると評価されます。

注記

このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールアクションが適用される前に、いくつかのリクエストが制限を超えることがあります。

ルールアクション:Block

ラベル: awswaf:managed:aws:acfp:aggregate:volumetric:address:high および awswaf:managed:aws:acfp:VolumetricAddressHigh

VolumetricAddressLow

同じ物理的な住所を使用する少量または中程度の量のアカウント作成リクエストが発生していないかを検査します。中程度の評価のしきい値は 30 分間の時間枠あたり 50 件以上のリクエストであり、低評価のしきい値は 30 分間の時間枠あたり 10 件以上のリクエストです。

このルールは、中程度の量または少量のいずれかの場合にアクションを適用します。

注記

このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールアクションが適用される前に、いくつかのリクエストが制限を超えることがあります。

ルールアクション:CAPTCHA

ラベル: awswaf:managed:aws:acfp:aggregate:volumetric:address:low|medium および awswaf:managed:aws:acfp:VolumetricAddressLow|Medium

VolumetricIPSuccessfulResponse

単一の IP アドレスに対する大量の正常なアカウント作成リクエストを検査します。このルールは、保護されたリソースからのアカウント作成リクエストに対する成功レスポンスを集計します。10 分間の時間枠あたりのリクエスト数が 10 件を超えている場合は、大量であると評価されます。

このルールは、アカウントの一括作成の試みからの保護に役立ちます。リクエストのみをカウントするルール VolumetricIpHigh よりもしきい値が低くなります。

レスポンス本文またはJSONコンポーネントを検査するようにルールグループを設定している場合、 はこれらのコンポーネントタイプの最初の 65,536 バイト (64 KB) で成功または失敗のインジケータを検査 AWS WAF できます。

このルールは、同じ IP アドレスからの最新のログイン試行に対する保護されたリソースからの成功応答と失敗応答に基づいて、IP アドレスからの新しいウェブリクエストにルールアクションとラベリングを適用します。ルールグループを設定するときに、成功数と失敗数のカウント方法を定義します。

注記

AWS WAF は、Amazon CloudFront ディストリビューションACLsを保護するウェブでのみこのルールを評価します。

注記

このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールがその後の試みに対して一致処理を開始する前に、正常なアカウント作成の試みが、許可されているよりも多くクライアントから送信される可能性があります。

ルールアクション:Block

ラベル: awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:high および awswaf:managed:aws:acfp:VolumetricIPSuccessfulResponse

ルールグループは、次の関連ラベルもリクエストに適用します。関連するアクションはありません。すべてのカウントは 10 分間の時間枠のものです。5 件以上の成功したリクエストには awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:medium、1 件以上の成功したリクエストには awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:low、10 件以上の失敗したリクエストには awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:high、5 件以上の失敗したリクエストには awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:medium、1 件以上の失敗したリクエストには awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:low です。

VolumetricSessionSuccessfulResponse

単一のクライアントセッションから送信されるアカウント作成リクエストに対する、保護されたリソースからの少量の成功したレスポンスを検査します。これは、アカウントの一括作成の試みからの保護に役立ちます。30 分間の時間枠あたりのリクエスト数が 1 件を超えている場合は、少量であると評価されます。

これは、アカウントの一括作成の試みからの保護に役立ちます。このルールは、リクエストのみをカウントするルール VolumetricSessionHigh よりも低いしきい値を使用します。

レスポンス本文またはJSONコンポーネントを検査するようにルールグループを設定している場合、 はこれらのコンポーネントタイプの最初の 65,536 バイト (64 KB) で成功または失敗のインジケータを検査 AWS WAF できます。

このルールは、同じクライアントセッションからの最新のログイン試行に対する保護されたリソースからの成功応答と失敗応答に基づいて、クライアントセッションからの新しいウェブリクエストにルールアクションとラベリングを適用します。ルールグループを設定するときに、成功数と失敗数のカウント方法を定義します。

注記

AWS WAF は、Amazon CloudFront ディストリビューションACLsを保護するウェブでのみこのルールを評価します。

注記

このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールがその後の試みに対して一致処理を開始する前に、失敗したアカウント作成の試みが、許可されているよりも多くクライアントから送信される可能性があります。

ルールアクション:Block

ラベル: awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:low および awswaf:managed:aws:acfp:VolumetricSessionSuccessfulResponse

ルールグループは、次の関連ラベルもリクエストに適用します。すべてのカウントは 30 分間の時間枠のものです。10 件以上の成功したリクエストには awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high、5 件以上の成功したリクエストには awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:medium、10 件以上の失敗したリクエストには awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:high、5 件以上の失敗したリクエストには awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:medium、1 件以上の失敗したリクエストには awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:low です。

VolumetricSessionTokenReuseIp

アカウント作成リクエストを検査して、5 つを超える異なる IP アドレス間で単一のトークンが使用されていないかどうかをチェックします。

注記

このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールアクションが適用される前に、いくつかのリクエストが制限を超えることがあります。

ルールアクション:Block

ラベル: awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:token_reuse:ip および awswaf:managed:aws:acfp:VolumetricSessionTokenReuseIp