Credential Stuffing 攻撃からオンライン アカウントを保護する方法

非常に多くの Web サイトやアプリケーションが一意のユーザー資格情報、つまりユーザー名とパスワードを必要とするため、これらすべてのプラットフォームで同じ資格情報を使用したくなるかもしれません。

実際、SpyCloud による 2022 年の年次 ID 暴露レポートによると、犯罪のアンダーグラウンド サイトで入手可能な 150 億を超える侵害された資格情報を分析したところ、侵害されたパスワードの 65% が少なくとも 2 つのアカウントで使用されていることがわかりました。

さまざまなプラットフォームで資格情報を再利用するユーザーにとって、パスワードを忘れないようにするための巧妙な方法のように思えるかもしれませんが、実際には、これは災害が待ち構えていることです。

システムの 1 つが侵害され、資格情報が取得された場合、同じ資格情報を使用する他のすべてのアカウントが侵害される危険があります。 侵害された資格情報がダーク Web で安価に販売されていることを念頭に置くと、Credential Stuffing の被害者になる可能性があります。

Credential Stuffing は、悪意のある攻撃者が、盗んだオンライン アカウントまたはシステムの認証情報を使用して、他の関係のないオンライン アカウントまたはシステムにアクセスしようとするサイバー攻撃です。

この例として、悪意のある攻撃者が Twitter アカウントのユーザー名とパスワードにアクセスし、侵害された資格情報を使用して Paypal アカウントにアクセスしようとすることがあります。

Twitter と Paypal で同じ資格情報を使用している場合、Twitter の資格情報の侵害により、Paypal アカウントが乗っ取られます。

複数のオンライン アカウントで Twitter 資格情報を使用している場合、それらのオンライン アカウントも侵害される可能性があります。 このような攻撃は Credential Stuffing と呼ばれ、多くのユーザーが複数のオンライン アカウントで資格情報を再利用しているという事実を悪用します。

Credential Stuffing 攻撃を実行する悪意のあるアクターは、通常、ボットを使用してプロセスを自動化し、スケーリングします。 これにより、侵害された多数の資格情報を使用して、複数のオンライン プラットフォームを標的にすることができます。 侵害された資格情報がデータ侵害によって漏えいし、ダーク Web で販売されていることから、Credential Stuffing 攻撃が蔓延しています。

Credential Stuffing の仕組み

Credential Stuffing 攻撃は、侵害された資格情報の取得から始まります。 これらのユーザー名とパスワードは、ダーク Web で購入したり、パスワード ダンプ サイトからアクセスしたり、データ侵害やフィッシング攻撃から入手したりすることができます。

次のステップでは、ボットをセットアップして、盗まれた資格情報をさまざまな Web サイトでテストします。 自動化されたボットは、多数のサイトに対して大量の資格情報を使用して高速で資格情報スタッフィングを密かに実行できるため、資格情報スタッフィング攻撃の頼りになるツールです。

ログインに何度か失敗した後に IP アドレスがブロックされるという問題も、ボットを使用することで回避できます。

クレデンシャル スタッフィング攻撃が開始されると、ログインの成功を監視するための自動化されたプロセスも、クレデンシャル スタッフィング攻撃と並行して開始されます。 このようにして、攻撃者は特定のオンライン サイトで機能する資格情報を簡単に取得し、それを使用してプラットフォームのアカウントを乗っ取ります。

攻撃者がアカウントにアクセスした後、そのアカウントで何ができるかは攻撃者の裁量次第です。 攻撃者は、資格情報を他の攻撃者に販売したり、アカウントから機密情報を盗んだり、ID をコミットしたり、銀行口座が侵害された場合にアカウントを使用してオンラインで購入したりすることができます。

Credential Stuffing 攻撃が効果的な理由

Credential Stuffing は、成功率が非常に低いサイバー攻撃です。 実際、Recorded Future の脅威調査部門である Insikt Group の The Economy of Credential Stuffing Attacks Report によると、Credential Stuffing 攻撃の平均成功率は 1 ～ 3% です。

成功率は低いものの、Akamai Technologies は 2021 年のインターネットの現状 / セキュリティ レポートで、2020 年に Akamai が世界中で 1,930 億回の Credential Stuffing 攻撃を確認したと述べています。

Credential Stuffing 攻撃の数が多く、さらに普及している理由は、多数の侵害された認証情報が入手可能であり、Credential Stuffing 攻撃をより効果的にし、人間のログイン試行とほとんど区別がつかない高度なボット ツールにアクセスできるためです。

たとえば、成功率がわずか 1% と低くても、攻撃者が 100 万の資格情報を侵害した場合、約 10,000 のアカウントが侵害される可能性があります。 侵害された大量の認証情報がダークウェブで取引されており、そのような大量の侵害された認証情報が複数のプラットフォームで再利用される可能性があります。

これらの大量の侵害された認証情報により、侵害されたアカウントの数が増加します。 これに加えて、人々が自分の資格情報を複数のオンライン アカウントで再利用し続けているという事実と相まって、資格情報の盗み取り攻撃は非常に効果的になります。

Credential Stuffing 対。 総当り攻撃

Credential Stuffing とブルート フォース攻撃はどちらもアカウント乗っ取り攻撃であり、Open Web Application Security Project (OWASP) は Credential Stuffing をブルート フォース攻撃のサブセットと見なしていますが、この 2 つは実行方法が異なります。

ブルート フォース攻撃では、悪意のあるアクターがユーザー名またはパスワード、あるいはその両方を推測して、アカウントを乗っ取ろうとします。 これは通常、ユーザー名とパスワードの可能な限り多くの組み合わせを、コンテキストや手がかりなしで試行することによって行われます。

ブルート フォースは、一般的に使用されるパスワード パターンや、Qwerty、password、12345 などの一般的に使用されるパスワード フレーズの辞書を使用する可能性があります。ブルート フォース攻撃は、ユーザーが脆弱なパスワードまたはシステムのデフォルト パスワードを使用する場合に成功する可能性があります。

一方、クレデンシャル スタッフィング攻撃は、他のシステムまたはオンライン アカウントから取得した侵害されたクレデンシャルを使用して、アカウントを乗っ取ろうとします。 Credential Stuffing 攻撃では、攻撃は資格情報を推測しません。 Credential Stuffing 攻撃の成功は、ユーザーが複数のオンライン アカウントで資格情報を再利用することにかかっています。

通常、ブルート フォース攻撃の成功率は、Credential Stuffing よりもはるかに低くなります。 ブルート フォース攻撃は、強力なパスワードを使用することで防ぐことができます。 ただし、強力なパスワードを使用しても、複数のアカウントで強力なパスワードが共有されている場合、クレデンシャル スタッフィングを防ぐことはできません。 オンライン アカウントで一意の資格情報を使用することにより、資格情報のスタッフィングが防止されます。

Credential Stuffing 攻撃を検出する方法

Credential Stuffing の脅威アクターは通常、人間のエージェントを模倣したボットを使用します。多くの場合、実際の人間とボットによるログイン試行を区別することは非常に困難です。 ただし、進行中の Credential Stuffing 攻撃を示す兆候はまだあります。

たとえば、Web トラフィックの急激な増加は疑念を生じさせるはずです。 このような場合、Web サイトへのログイン試行を監視し、複数の IP アドレスから複数のアカウントへのログイン試行が増加したり、ログイン失敗率が増加した場合、これは進行中の Credential Stuffing 攻撃を示している可能性があります。

Credential Stuffing 攻撃のもう 1 つの兆候は、ユーザーが自分のアカウントからロックアウトされた、または自分が行っていないログイン試行の失敗に関する通知を受け取っていると訴えることです。

さらに、ユーザー アクティビティを監視し、設定、プロファイル情報、送金、オンライン購入の変更など、通常とは異なるユーザー アクティビティに気付いた場合、これは Credential Stuffing 攻撃の兆候である可能性があります。

Credential Stuffing から保護する方法

Credential Stuffing 攻撃の被害者にならないようにするための対策がいくつかあります。 これも：

＃1。 複数のアカウントで同じ認証情報を再利用しない

Credential Stuffing は、ユーザーが複数のオンライン アカウント間で資格情報を共有することに依存しています。 これは、異なるオンライン アカウントで一意の資格情報を使用することで簡単に回避できます。

Google Password Manager などのパスワード マネージャーを使用すると、ユーザーは資格情報を忘れることを心配することなく、一意で非常に優れたパスワードを使用できます。 企業は、電子メールをユーザー名として使用できないようにすることで、これを強制することもできます。 このように、ユーザーはさまざまなプラットフォームで一意の資格情報を使用する可能性が高くなります。

＃2。 多要素認証 (MFA) を使用する

多要素認証は、ログインしようとしているユーザーの ID を認証するために複数の方法を使用することです。これは、ユーザー名とパスワードの従来の認証方法と、電子メールまたはテキスト メッセージを介してユーザーと共有される秘密のセキュリティ コードを組み合わせることによって実装できます。彼らの身元をさらに確認するために。 これは、セキュリティのレイヤーを追加するため、Credential Stuffing を防ぐのに非常に効果的です。

セキュリティコードを要求しなくても取得できるため、誰かがあなたのアカウントを侵害しようとしたときに通知することさえできます. MFA は非常に効果的であるため、Microsoft の調査では、MFA を使用すると、オンライン アカウントが侵害される可能性が 99.9% 低くなることが証明されています。

＃3。 デバイスのフィンガープリント

デバイスのフィンガープリントを使用して、オンライン アカウントへのアクセスを特定のデバイスに関連付けることができます。 デバイスのフィンガープリントは、デバイスのモデルと番号、使用されているオペレーティング システム、言語、国などの情報を使用して、アカウントへのアクセスに使用されているデバイスを識別します。

これにより、一意のデバイス フィンガープリントが作成され、ユーザー アカウントに関連付けられます。 別のデバイスを使用してアカウントにアクセスすることは、アカウントに関連付けられたデバイスによって許可されていない限り許可されません。

＃4。 漏えいしたパスワードを監視する

ユーザーがパスワードの強度を確認するだけでなく、オンライン プラットフォーム用のユーザー名とパスワードを作成しようとしている場合、資格情報は、公開された漏洩パスワードに対してカウンター チェックされる可能性があります。 これにより、後で悪用される可能性のある資格情報の使用を防ぐことができます。

組織は、ユーザーの資格情報をダーク Web で漏えいした資格情報と照らし合わせて監視し、一致が見つかるたびにユーザーに通知するソリューションを実装できます。 その後、ユーザーはさまざまな方法で身元を確認し、資格情報を変更し、MFA を実装してアカウントをさらに保護するよう求められます。

＃5。 資格情報のハッシュ

これには、ユーザー資格情報をデータベースに格納する前に暗号化することが含まれます。 これにより、資格情報が使用できない形式で保存されるため、システムのデータ侵害が発生した場合に資格情報の悪用を防ぐことができます。

これは絶対確実な方法ではありませんが、データ侵害が発生した場合にユーザーがパスワードを変更する時間を与えることができます。

Credential Stuffing 攻撃の例

Credential Stuffing 攻撃の注目すべき例には、次のようなものがあります。

• 2020 年に 500,000 を超える Zoom 資格情報が盗まれました。この資格情報詰め込み攻撃は、さまざまなダーク Web フォーラムから取得されたユーザー名とパスワードを使用して実行され、2013 年までさかのぼる攻撃から取得された資格情報が使用されました。盗まれた Zoom 資格情報は暗闇で利用可能になりましたウェブで販売し、喜んで購入者に安く販売
• 何千ものカナダ歳入庁 (CRA) のユーザー アカウントが侵害されます。 2020 年には、約 5,500 の CRA アカウントが 2 つの別々の資格情報攻撃で侵害され、ユーザーは CRA が提供するサービスにアクセスできなくなりました。
• 194,095 の The North Face ユーザー アカウントの侵害。 The North Face はスポーツウェアを販売する会社で、2022 年 7 月に Credential Stuffing 攻撃を受けました。この攻撃により、ユーザーの氏名、電話番号、性別、ロイヤルティ ポイント、請求先住所と配送先住所、アカウント作成日、そして購入履歴。
• 2019 年の Reddit クレデンシャル スタッフィング攻撃。クレデンシャル スタッフィング攻撃によって資格情報が侵害された後、何人かの Reddit ユーザーがアカウントからロックアウトされました。

これらの攻撃は、同様の攻撃から身を守る必要性の重要性を浮き彫りにしています。

結論

Netflix、Hulu、disney+ などのストリーミング サイト、または Grammarly、Zoom、Turnitin などのオンライン サービスの資格情報の販売者に出くわしたことがあるかもしれません。 売り手はどこで資格情報を取得すると思いますか?

そのような資格情報は、資格情報スタッフィング攻撃によって取得される可能性があります。 複数のオンライン アカウントで同じ資格情報を使用している場合は、被害者になる前に変更する必要があります。

自分自身をさらに保護するには、すべてのオンライン アカウントに多要素認証を実装し、侵害された資格情報を購入しないようにします。