AWS WAF Fraud Control アカウント乗っ取り防止 (ATP) ルールグループ - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS WAF Fraud Control アカウント乗っ取り防止 (ATP) ルールグループ

このセクションでは、 AWS WAF Fraud Control アカウント乗っ取り防止 (ATP) マネージドルールグループが行います。

VendorName: AWS、名前: AWSManagedRulesATPRuleSet、WCU: 50

- AWS WAF Fraud Control アカウント乗っ取り防止 (ATP) マネージドルールグループは、悪意のあるアカウント乗っ取りの試みの一部である可能性のあるリクエストにラベルを付けて管理します。ルールグループは、クライアントでアプリケーションのログインエンドポイントに送信するログイン試行を検査することでこれを行います。

  • リクエスト検査 — 盗まれた認証情報を使用する異常なログイン試行とログイン試行を可視化して制御し、不正行為につながる可能性のあるアカウント乗っ取りを防止ATPします。ATP は、盗まれた認証情報データベースに対して E メールとパスワードの組み合わせをチェックします。このデータベースは、漏洩した新しい認証情報がダークウェブで見つかったときに定期的に更新されます。ATP は、IP アドレスとクライアントセッションごとにデータを集約し、疑わしい性質のリクエストの送信が多すぎるクライアントを検出してブロックします。

  • レスポンス検査 – CloudFront ディストリビューションの場合、ルールATPグループは受信ログインリクエストを検査するだけでなく、ログイン試行に対するアプリケーションのレスポンスを検査し、成功率と失敗率を追跡します。この情報を使用して、 ATPはログイン失敗が多すぎるクライアントセッションまたは IP アドレスを一時的にブロックできます。 AWS WAF は応答検査を非同期的に実行するため、ウェブトラフィックのレイテンシーが増加しません。

このルールグループを使用する際の考慮事項

このルールグループには特定の設定が必要です。このルールグループを設定および実装するには、「によるアカウント乗っ取りの防止 AWS WAF Fraud Control アカウント乗っ取り防止 (ATP)」のガイダンスを参照してください。

このルールグループは、 のインテリジェントな脅威の軽減保護の一部です。 AWS WAF詳細については、でのインテリジェントな脅威の軽減の実装 AWS WAF を参照してください。

注記

このマネージドルールグループを使用する場合、追加料金が請求されます。詳細については、「」を参照してくださいAWS WAF 料金

コストを抑え、ウェブトラフィックを希望どおりに管理していることを確実にするには、でのインテリジェントな脅威の軽減に関するベストプラクティス AWS WAF のガイダンスに従ってこのルールグループを使用してください。

このルールグループは、Amazon Cognito ユーザープールでは使用できません。このルールグループACLを使用するウェブをユーザープールに関連付けることはできません。また、このルールグループをユーザープールに既に関連付けACLられているウェブに追加することはできません。

このルールグループによって追加されるラベル

このマネージドルールグループは、評価対象のウェブリクエストにラベルを追加します。このラベルは、ウェブ でこのルールグループの後に実行されるルールで使用できますACL。 AWS WAF は、ラベルを Amazon CloudWatch メトリクスにも記録します。ラベルとラベルメトリクスに関する一般的な情報については、「ウェブリクエストでのラベルの使用」および「ラベルメトリクスとディメンション」を参照してください。

トークンラベル

このルールグループは を使用します。 AWS WAF トークン管理は、ウェブリクエストのステータスに従って検査およびラベル付けします。 AWS WAF トークン。 AWS WAF は、クライアントセッションの追跡と検証にトークンを使用します。

トークンおよびトークンの管理の詳細については、「でのウェブリクエストでのトークンの使用 AWS WAF」を参照してください。

ここで説明するラベルコンポーネントについては、「のラベル構文と命名要件 AWS WAF」を参照してください。

クライアントセッションラベル

ラベルawswaf:managed:token:id:identifierには、 AWS WAF トークン管理では、 を使用してクライアントセッションを識別します。この識別子は、クライアントが使用していたトークンを破棄した後など、新しいトークンを取得すると変わる可能性があります。

注記

AWS WAF は、このラベルの Amazon CloudWatch メトリクスを報告しません。

トークンステータスラベル: ラベル名前空間プレフィックス

トークンステータスラベルは、トークンのステータスと、トークンに含まれるチャレンジとCAPTCHA情報についてレポートします。

各トークンステータスラベルは、次のプレフィクスの 1 つで始まります。

  • awswaf:managed:token:— トークンの一般的なステータスを報告したり、トークンのチャレンジ情報のステータスを報告したりするために使用されます。

  • awswaf:managed:captcha: – トークンCAPTCHAの情報のステータスを報告するために使用されます。

トークンステータスラベル: ラベル名

プレフィックスに続いて、ラベルの残りの部分には詳細なトークンステータス情報が表示されます。

  • accepted - リクエストトークンが存在し、以下の内容が含まれています。

    • 有効なチャレンジまたはCAPTCHAソリューション。

    • 有効期限が切れていないチャレンジまたはCAPTCHAタイムスタンプ。

    • ウェブ に有効なドメイン仕様ACL。

    例: ラベル awswaf:managed:token:accepted には、ウェブリクエストのトークンに有効なチャレンジソリューション、有効期限が切れていないチャレンジタイムスタンプ、および有効なドメインがあることが示されています。

  • rejected - リクエストトークンは存在するが、承認基準を満たしていない。

    トークン管理では、拒否されたラベルに加えて、理由を示すカスタムラベル名前空間と名前が追加されます。

    • rejected:not_solved – トークンにチャレンジまたはCAPTCHAソリューションがありません。

    • rejected:expired – ウェブ で設定されたトークンのイミュニティ時間に従って、トークンACLのチャレンジまたはCAPTCHAタイムスタンプの有効期限が切れています。

    • rejected:domain_mismatch – トークンのドメインがウェブACLのトークンドメイン設定と一致しません。

    • rejected:invalid – AWS WAF は指定されたトークンを読み取れませんでした。

    例: トークンのCAPTCHAタイムスタンプがウェブ で設定されたCAPTCHAトークンイミュニティ時間を超えたためにリクエストが拒否されたことがラベル awswaf:managed:captcha:rejectedと でawswaf:managed:captcha:rejected:expired示されますACL。

  • absent — リクエストにトークンがないか、トークンマネージャーがそれを読み取れなかった。

    例: ラベル awswaf:managed:captcha:absent には、リクエストにトークンがないことが示されています。

ATP ラベル

ATP マネージドルールグループは、名前空間プレフィックス のawswaf:managed:aws:atp:後にカスタム名前空間とラベル名が付いたラベルを生成します。

ルールグループは、ルールリストに記載されているラベルに加えて、次のラベルのいずれかを追加する場合があります。

  • awswaf:managed:aws:atp:signal:credential_compromised – リクエストで送信された認証情報が、盗まれた認証情報データベースに含まれていることを示します。

  • awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint – 保護された Amazon CloudFront ディストリビューションでのみ使用できます。クライアントセッションが、疑わしいTLSフィンガープリントを使用した複数のリクエストを送信したことを示します。

  • awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip - 5 つを超える異なる IP アドレス間で単一のトークンが使用されていることを示します。このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ラベルが適用される前に、いくつかのリクエストが制限を超えることがあります。

を呼び出すAPIことで、 を通じてルールグループのすべてのラベルを取得できますDescribeManagedRuleGroup。ラベルは、応答の AvailableLabels プロパティにリストされています。

アカウント乗っ取り防止のルールリスト

このセクションでは、 のATPルールAWSManagedRulesATPRuleSetと、ルールグループのルールがウェブリクエストに追加するラベルを一覧表示します。

注記

でルールに対して公開する情報 AWS マネージドルールのルールグループは、不正な攻撃者がルールを回避するために使用できる情報を提供せずに、ルールを使用するのに十分な情報を提供することを目的としています。このドキュメントに記載されている情報よりも詳細な情報が必要な場合は、 にお問い合わせください。 AWS Support センター

ルール名 説明とラベル
UnsupportedCognitoIDP

Amazon Cognito ユーザープールに向かうウェブトラフィックの有無を検査します。ATP は Amazon Cognito ユーザープールでは使用できません。このルールは、他のATPルールグループルールがユーザープールトラフィックの評価に使用されないようにするのに役立ちます。

ルールアクション:Block

ラベル: awswaf:managed:aws:atp:unsupported:cognito_idp および awswaf:managed:aws:atp:UnsupportedCognitoIDP

VolumetricIpHigh

個々の IP アドレスから送信された大量のリクエストを検査します。大量とは、10 分ウィンドウにリクエストが 20 件を超えることです。

注記

このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。大量の場合、ルールアクションが適用される前に、いくつかのリクエストが制限を超える可能性があります。

ルールアクション:Block

ラベル: awswaf:managed:aws:atp:aggregate:volumetric:ip:high および awswaf:managed:aws:atp:VolumetricIpHigh

ルールグループは、中程度のボリューム (10 分ウィンドウあたり 15 件を超えるリクエスト) と少量 (10 分ウィンドウあたり 10 件を超えるリクエスト) のリクエストに次のラベルを適用しますが、 awswaf:managed:aws:atp:aggregate:volumetric:ip:mediumおよび のアクションは実行しませんawswaf:managed:aws:atp:aggregate:volumetric:ip:low

VolumetricSession

個々のクライアントセッションから送信された大量のリクエストを検査します。しきい値は、30 分ウィンドウあたり 20 を超えるリクエスト数に設定します。

この検査は、ウェブリクエストにトークンがある場合にのみ適用されます。トークンは、アプリケーション統合SDKsとルールアクションによってリクエストに追加されます。CAPTCHA また、Challenge。 詳細については、「」を参照してくださいでのウェブリクエストでのトークンの使用 AWS WAF

注記

このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールアクションが適用される前に、いくつかのリクエストが制限を超えることがあります。

ルールアクション:Block

ラベル: awswaf:managed:aws:atp:aggregate:volumetric:session および awswaf:managed:aws:atp:VolumetricSession

AttributeCompromisedCredentials

盗まれた認証情報を使用する同じクライアントセッションからの複数リクエストを検査します。

ルールアクション:Block

ラベル: awswaf:managed:aws:atp:aggregate:attribute:compromised_credentials および awswaf:managed:aws:atp:AttributeCompromisedCredentials

AttributeUsernameTraversal

ユーザー名トラバーサルを使用する同じクライアントセッションからの複数リクエストを検査します。

ルールアクション:Block

ラベル: awswaf:managed:aws:atp:aggregate:attribute:username_traversal および awswaf:managed:aws:atp:AttributeUsernameTraversal

AttributePasswordTraversal

パスワードトラバーサルを使用する同じユーザー名の複数のリクエストを検査します。

ルールアクション:Block

ラベル: awswaf:managed:aws:atp:aggregate:attribute:password_traversal および awswaf:managed:aws:atp:AttributePasswordTraversal

AttributeLongSession

長期に継続するセッションを使用する同じクライアントセッションからの複数リクエストを検査します。しきい値は、30 分ごとに少なくとも 1 つのログインリクエストがある 6 時間を超えるトラフィックです。

この検査は、ウェブリクエストにトークンがある場合にのみ適用されます。トークンは、アプリケーション統合SDKsとルールアクションによってリクエストに追加されます。CAPTCHA また、Challenge。 詳細については、「」を参照してくださいでのウェブリクエストでのトークンの使用 AWS WAF

ルールアクション:Block

ラベル: awswaf:managed:aws:atp:aggregate:attribute:long_session および awswaf:managed:aws:atp:AttributeLongSession

TokenRejected

によって拒否されたトークンを含むリクエストを検査します AWS WAF トークン管理。

この検査は、ウェブリクエストにトークンがある場合にのみ適用されます。トークンは、アプリケーション統合SDKsとルールアクションによってリクエストに追加されます。CAPTCHA また、Challenge。 詳細については、「」を参照してくださいでのウェブリクエストでのトークンの使用 AWS WAF

ルールアクション:Block

ラベル: なし。トークンが拒否されたかどうかを確認するには、ラベル一致ルールを使用してラベル で を照合しますawswaf:managed:token:rejected

SignalMissingCredential

認証情報を含むリクエストに、ユーザー名またはパスワードが不足しているかどうか検査します。

ルールアクション:Block

ラベル: awswaf:managed:aws:atp:signal:missing_credential および awswaf:managed:aws:atp:SignalMissingCredential

VolumetricIpFailedLoginResponseHigh

最近のログイン試行の失敗率が過度に高い IP アドレスを検査します。大量とは、10 分間の時間枠に 1 つの IP アドレスからの失敗したログインリクエストが 10 件を超えることです。

レスポンス本文またはJSONコンポーネントを検査するようにルールグループを設定している場合は、 AWS WAF は、これらのコンポーネントタイプの最初の 65,536 バイト (64 KB) で成功または失敗のインジケータを検査できます。

このルールは、同じ IP アドレスからの最新のログイン試行に対する保護されたリソースからの成功応答と失敗応答に基づいて、IP アドレスからの新しいウェブリクエストにルールアクションとラベリングを適用します。ルールグループを設定するときに、成功数と失敗数のカウント方法を定義します。

注記

AWS WAF は、Amazon CloudFront ディストリビューションACLsを保護するウェブでのみこのルールを評価します。

注記

このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールがその後のログイン試行に対して一致処理を開始する前に、許可されているよりも多い回数の失敗したログイン試行がクライアントから送信される可能性があります。

ルールアクション:Block

ラベル: awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high および awswaf:managed:aws:atp:VolumetricIpFailedLoginResponseHigh

ルールグループは、次の関連ラベルもリクエストに適用します。関連するアクションはありません。すべてのカウントは 10 分間の時間枠のものです。5 件以上の失敗したリクエストには awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:medium、1 件以上の失敗したリクエストには awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:low、10 件以上の成功したリクエスト には awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:high、5 件以上の成功したリクエストには awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:medium、1 件以上の成功したリクエストには awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:low です。

VolumetricSessionFailedLoginResponseHigh

最近のログイン試行の失敗率が過度に高いクライアントセッションを検査します。大量とは、30 分間の時間枠にクライアントセッションからの失敗したログインリクエストが 10 件を超えることです。

レスポンス本文またはJSONコンポーネントを検査するようにルールグループを設定している場合は、 AWS WAF は、これらのコンポーネントタイプの最初の 65,536 バイト (64 KB) で成功または失敗のインジケータを検査できます。

このルールは、同じクライアントセッションからの最新のログイン試行に対する保護されたリソースからの成功応答と失敗応答に基づいて、クライアントセッションからの新しいウェブリクエストにルールアクションとラベリングを適用します。ルールグループを設定するときに、成功数と失敗数のカウント方法を定義します。

注記

AWS WAF は、Amazon CloudFront ディストリビューションACLsを保護するウェブでのみこのルールを評価します。

注記

このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールがその後のログイン試行に対して一致処理を開始する前に、許可されているよりも多い回数の失敗したログイン試行がクライアントから送信される可能性があります。

この検査は、ウェブリクエストにトークンがある場合にのみ適用されます。トークンは、アプリケーション統合SDKsとルールアクションによってリクエストに追加されます。CAPTCHA また、Challenge。 詳細については、「」を参照してくださいでのウェブリクエストでのトークンの使用 AWS WAF

ルールアクション:Block

ラベル: awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:high および awswaf:managed:aws:atp:VolumetricSessionFailedLoginResponseHigh

ルールグループは、次の関連ラベルもリクエストに適用します。関連するアクションはありません。すべてのカウントは 30 分間の時間枠のものです。5 件以上の失敗したリクエストには awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:medium、1 件以上の失敗したリクエストには awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:low、10 件以上の成功したリクエスト には awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:high、5 件以上の成功したリクエストには awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:medium、1 件以上の成功したリクエストには awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:low です。