顧客認証情報の漏洩(Customer Credential Exposure)とは?
Customer Credential Exposure は、ユーザー名とパスワードによるログインが必要な製品やサービスを提供している企業に推奨されるソリューションです。
この機能を利用することで、登録されたメールアドレスに紐づく第三者サービスから漏洩したパスワードをユーザーが再利用していないかを検出できます。**Credential Stuffing(クレデンシャルスタッフィング)**のような攻撃による不正アクセスのリスクを減らし、サービスの安全性を高めます。
なぜ Customer Credential Exposure を使うべきなのか?
Customer Credential Exposure は、インターネット上(Surface Web、Deep Web、Dark Web)に漏洩したユーザー認証情報を迅速に検出します。
これにより、企業の認証情報漏洩による影響を最小限に抑えることが可能です。
また、漏洩したパスワードにより不正利用される可能性のあるアカウントをいち早く特定し、事前に対処することができます。
Customer Credential Exposure のデータはどのように取得しますか?
このソリューションは、認証情報の漏洩をモニタリングし、API クエリまたは Webhook アラートによって漏洩の検出時に通知します。
API:漏洩した認証情報のハッシュ、パスワードのハッシュ、検出日時を返します。
Webhook:事前に登録されたメールアドレスに対する新たな漏洩の通知を行います。
認証情報は暗号化されて送信されますか?
はい。
クライアント側から Axur に対して、暗号化(XXH64)されたメールアドレスリストを送信します。
Axur は、漏洩が検出されたメールアドレスと暗号化されたパスワードのリストを返却します。クライアントはそれを基に、対象ユーザーのパスワードリセット等の対応が可能です。
このプロセスにより、個人情報を暗号化・匿名化して共有するため、**個人情報保護法(GDPR等)**の要件にも準拠しています。
API にアクセスするには?
サービスに申し込むと、API へのアクセス権が付与されます。
API クエリの具体的な実行方法については、提供されるドキュメントをご参照ください。
Customer Credential Exposure と Corporate Credential Leak の違いは?
Corporate Credential Leak は、企業の保有するドメインに属するメールアドレスおよび認証情報の漏洩をモニタリングします。
Customer Credential Exposure は、それよりも範囲が広く、ログイン機能を持つ企業が、自社の顧客が外部サービスから漏洩した認証情報を再利用していないかを確認できます。
これにより、システム内での不正利用を未然に防ぐことが可能です。
ご不明点があれば、いつでも [email protected] までお気軽にご連絡ください 😊