この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
先日、Auth0でボットアクセスの検知機能がリリースされました。
Auth0がトラフィックを分析し、ボットまたはスクリプトからのものである可能性が高い(クレデンシャルスタッフィング攻撃)と判断すればCAPTCHAが表示される機能となっています。
EnterpriseプランのAnomaly Detectionオプションに含まれるようになっています。
Auth0のユニバーサルログインを使用するWebおよびモバイルアプリで機能するようになっていますが、サインアップまたはアカウント復旧フローではサポートされておらず、認証フローにおいても制限があります。
- New / ClassicのUniversal Login
- Lockによるログイン画面(v11.20以降)
/oauth/tokenへのリクエスト
やってみる
早速試してみます。
Auth0での設定
まずはAUth0のダッシュボードにログインし、Anomaly Detectionの設定ページに行きます。
Bot Detectionというメニューが増えていますね。
Bot Detectionのエリアをクリックすると、上記のようにSimple CAPTCHAかGoogle reCAPTCHAを選択できるようになります。
※ Google reCAPTCHAはSite Key、Site Secretが必要で、JavaScriptに対応したログイン画面である必要があります。
今回はSimple CAPTCHAを選択して進めます。
Bot Detectionのエリアにあるトグルをクリックすると、上記のように有効にしますか?と聞かれるので、YESをクリックして有効にします。
※ 有効になった状態
サンプルアプリで確認
有効にしたので、ローカルPCで動くサンプルwebアプリで確認してみます。
BadBadUserAgentという値をリクエストヘッダーのUser-Agentに指定してあげると簡単に確認できるようになります。
ChromeのDeveloper Toolを使ってデバイスを追加することで対応してみます。
BadBadUserAgentというデバイスを使ってローカルのアプリにアクセスし、ログインをクリックしてみます。
Simple CAPTCHAが表示されますね。もちろん入力しないとログインフローは先に進みません。
最後に
ボット保護の機能がリリースされたことにより、クレデンシャルスタッフィング攻撃への標準的な保護ができるようになりました。 エンタープライズプランを契約していないと使えない機能にはなりますが、セキュリティの面でも役に立つと思われます。
Auth0ではクレデンシャルスタッフィング攻撃に対抗する方法を記載したホワイトペーパーが無料で入手できますので、こちらも併せてご覧ください。
9
