今日のハッカーやサイバー犯罪者が使用するサイバー攻撃の数とさまざまな手法が懸念されます。組織は、ビジネスを保護するための意識を高め、対策を講じていますが、機密データや個人データへの不正アクセスを試みる不正なユーザーに関しては、常に困難な戦いに直面しています。
より多くのハッキングがデータ侵害につながると、ユーザーの資格情報に関する機密データがハッカーに利用可能になります。このようなデータは、Credential Stuffing として知られる別のサイバー攻撃方法の基礎となるため、これは組織にとって事態を悪化させるだけです。これらの違反によって公開されるユーザー ログイン資格情報が増えるにつれて、攻撃者はより多くの情報にアクセスして、他のオンライン アカウントのユーザー名とパスワードの組み合わせを侵害しようと試みます。
Credential Stuffing とは何ですか?
Credential Stuffing はサイバー攻撃の一種で、漏えいした正当なユーザーの資格情報を使用して別のサービスにログインします。
攻撃者は通常、以前のデータ侵害またはダーク Web ソースからのデータを使用して、電子メール アドレス、パスワード ペア、パスワードの組み合わせなどのユーザー資格情報にアクセスします。次に攻撃者は、盗んだ資格情報を使用して、ストリーミング サービス、銀行の Web サイト、ソーシャル メディア ネットワークなどの複数のオンライン サービスにログインしようとします。
この形式の個人情報の盗難は、多くのユーザーが同じ資格情報セット (ユーザー名とパスワード) を複数の Web サイトやサービスで頻繁に再利用するという前提で機能します。攻撃者は多くの場合、マルウェア ボットを使用して侵害を自動化し、その操作を拡大して多数のユーザー アカウントを侵害します。
攻撃者が使用する手法もより洗練されており、ボットは異なる IP アドレスから複数のログイン試行を試みることで IP ブラックリストを回避できます。
Credential Stuffing 攻撃の種類
Credential Stuffing 攻撃にはさまざまな形態があります。最も一般的なタイプの攻撃はブルート フォース攻撃で、可能な限り多くの異なるユーザー名とパスワードを使用してアカウントにアクセスしようとします。
このタイプの攻撃は高度に自動化されており、ユーザー名とパスワードの組み合わせの大きなリストを使用する場合に非常に効果的です。
他の種類の Credential Stuffing 攻撃には、辞書攻撃が含まれます。これには、一般的な単語やフレーズをパスワードとして試すことが含まれます。スプーフィング攻撃。攻撃者は正当なユーザーになりすましてアクセスしようとします。フィッシング攻撃では、攻撃者が悪意のあるリンクや添付ファイルを含む電子メールを送信して、ユーザーをだまして資格情報を明らかにさせます。
さらに、攻撃者は、パスワード クラッキング ツールやソーシャル エンジニアリング技術などのより高度な方法を使用して、ユーザー アカウントにアクセスすることもできます。 Credential Stuffing 攻撃から保護するには、組織とユーザーの両方が強力な認証手段を採用することが重要です。これについては以下で説明します。
Credential Stuffing とブルート フォース攻撃
Credential Stuffing はブルート フォース攻撃のカテゴリに分類されますが、攻撃をより具体的にする要因がいくつかあります。ブルート フォース攻撃は、その名前が示すように、パスワードを推測して複数の組み合わせを試行することでアカウントにログインしようとします。一方、Credential Stuffing は、次のような貴重な情報を除いて、同じブルート フォース ログイン試行を行います。 パスワードリスト 他の侵害から漏洩したユーザーデータから収集されました。
ブルート フォース攻撃は、可能性のあるすべての組み合わせを試すことによって、パスコードを使用してアカウントまたは iPhone にログインしようとするランダムな推測ベースの試行と考えてください。その例えで言えば、Credential Stuffing は同じことを行うことを意味しますが、利用可能なユーザー名とパスワードのリスト、または実際のユーザーのパスコードの組み合わせを使用して、試行回数を減らしてより効果的にします。
Credential Stuffing とパスワード スプレー
この 2 つの用語が同じ意味で使用されているのをよく耳にします。どちらも、ボットまたは手動で実行できるブルート フォース パスワード攻撃の形式であり、どちらもビジネスに信じられないほどの損害を与える可能性があります。
しかし、それらは互いにわずかに異なります。この 2 つの主な違いは、クレデンシャル スタッフィング攻撃では、ハッカーが 1 つのアカウントの有効なログイン情報をすでに持っており、それを使用してセカンダリ アカウントへのアクセスを試みることです。パスワード スプレー攻撃では、資格情報は不明です。ここで、ハッカーは一般的に使用されるさまざまなパスワードを使用してログインを試みます。
Credential Stuffing の仕組み
クレデンシャル スタッフィングは、攻撃者が別のソース (違反、フィッシング攻撃、またはクレデンシャル ダンプ サイト) からユーザー名とパスワードのデータベースを入手することから始まります。次に、攻撃者は自動化ツールを使用して、盗んだ資格情報を、ソーシャル メディア プロファイル、電子商取引市場、アプリなどの多くの Web サイトに対してテストします。ログインに成功すると、攻撃者は取得したデータが正当であることを認識し、ログインによって取得したアクセスをさまざまな方法で使用し始めます。彼らは、この新しく取得したデータを他の悪意のあるアクターが使用できるように販売したり、このアカウントからフィッシング メッセージやスパムを送信したり、クレジット カード番号などの機密の財務情報にアクセスしたり、アカウント所有者の財務情報を使用して盗んだりする可能性があります。
Credential Stuffing の例
最も高度なサイバーセキュリティ システムが導入されていても、ハッカーはオンライン アカウントに忍び込み、人々の個人データを取得しようとします。残念ながら、驚くべき成功率で機能します。ここではいくつかの例を示します。
- Uber: 2016 年、Uber は、クレデンシャル スタッフィングを介して攻撃者が顧客とドライバーのデータにアクセスした際に、万能のデータ保護侵害にさらされました。同社は攻撃者に $100,000 を支払わなければならなかっただけでなく、侵害に対して $120 万の罰金も科されました。
- HSBC: この大手銀行は、2018 年に攻撃者が名前、住所、口座番号、取引レポートなどを含む幅広い個人データを盗んだときに、顧客の資格情報の一部が侵害されたことを確認しました。
- スーパードラッグ: 2018 年に別のビッグデータ侵害が発生しました。今回は、約 20,000 人のスーパードラッグの顧客のデータが影響を受けました。ハッカーはアクセス権を取得し、会社に身代金を要求しました。
Credential Stuffing 攻撃で何が危ういのか?
Credential Stuffing を通じて攻撃者が自分のアカウントにアクセスすることで個人が被る可能性のある経済的損失は別として、組織も深刻な結果に直面する可能性があります。
実際、Ponemon Institute のレポートによると、アプリケーションのダウンタイム、顧客離れ、資格情報のスタッフィングによる IT コストにより、企業は年間約 1 兆 4,000 万ドルを失っています。これに加えて、GDPR などのデータ プライバシー法に基づく法的措置に直面する可能性もあります。これは、規制当局がこの種の攻撃に対してますます組織に責任を負わせるようになっているためです。
Credential Stuffing 攻撃を検出する方法
あなたまたはあなたの組織がこの方法で標的にされていることを示唆する、注意すべき兆候がいくつかあります。
複数のアカウントでの複数のログイン試行を探す
ログイン数が異常に急増している場合は、自動化されたボットが Credential Stuffing 攻撃を実行している可能性があります。時間の遅延や、ログイン試行の繰り返しを検出した以前のセッションの IP アドレスの禁止という形で、障害を設けることができます。しかし、一部のボットは、実際のログインのように見えるものをシミュレートして、別のデバイスや IP アドレスからログインしているように見せることができます。
サイト トラフィックの急増によるダウンタイムに注意する
Web サイトへのトラフィックが急増してサーバーが過負荷になり、突然のダウンタイムが発生した場合は、大規模なボットネット対応の Credential Stuffing 攻撃を示している可能性もあります。
通常よりも高いログイン失敗率に注意してください
人為的エラーやその他の自然な問題により、ログイン試行の一部が失敗すると予想することは妥当です。しかし、ログインの失敗率が通常よりも大幅に高い場合は、資格情報の詰め込みによって力ずくでログインしようとするボットが再び活動している可能性があります。このような場合、ロケーションとトラフィック パターン、および繰り返されるログイン試行の速度に注意してください。
Credential Stuffing の原因
これまで説明してきたように、Credential Stuffing はサイバー攻撃の一種で、盗んだユーザー名とパスワードを使用してオンライン アカウントへの不正アクセスを取得します。
この形式の攻撃は、データ侵害によってハッカーが大量のユーザー資格情報を取得しやすくなるため、ますます一般的になっています。
Credential Stuffing の主な原因の 1 つはパスワードの再利用です。これは、ユーザーが複数のアカウントに対して同じユーザー名とパスワードの組み合わせを使用する場合です。これにより、攻撃者が他のサイトで試すために必要な認証情報は 1 セットだけなので、アクセスがはるかに簡単になります。さらに、脆弱なパスワードも Credential Stuffing 攻撃の主な要因です。ユーザーが「123456」や「password」などの推測しやすいパスワードを選択すると、このタイプの攻撃に対して脆弱になる可能性が高くなります。
最後に、大規模なクレデンシャル スタッフィング攻撃は、データ侵害から電子メール アドレスと関連付けられたパスワードのリストを購入または取得する悪意のあるアクターによって可能になる可能性もあります。
Credential Stuffing 攻撃から保護するために、組織もユーザーも、2 要素認証やパスワード マネージャーなどの強力な認証手段を採用する必要があります。さらに、ユーザーは異なるサービス間で同じパスワードを再利用してはならず、オンライン アカウントには常に長くて複雑なパスフレーズを選択してはなりません。
最も効果的な予防のヒントをいくつか紹介します。
Credential Stuffing を防止する方法に関するヒント
Credential Stuffing 攻撃を検出するための上記の手法に加えて、それらを完全に防止するために従うことができるいくつかの簡単なヒントがあります。
多要素認証 (MFA) を強制する
十分に試行された多要素認証 (MFA) は、依然として Credential Stuffing 攻撃を防ぐ有効な方法です。これらのタイプの攻撃は、他の場所から入手できる資格情報を使用したシステムへのログインに依存しているため、トークン、2 番目のパスコード、生体認証指紋、または顔認識などの別の認証レイヤーを追加することで、攻撃を無効にすることができます。 MFA は、2 要素認証 (TFA) のアップグレード版と考えてください。
デバイスのフィンガープリントを試す
ユーザーデバイスと受信セッションについて収集された情報に基づいて特定の「フィンガープリント」を見つけることにより、潜在的なクレデンシャル スタッフィング攻撃を検出することができます。フィンガープリントは基本的に、ブラウザ、言語、オペレーティング システム、タイム ゾーンなどのパラメータを組み合わせたものであり、それらを合わせて身元を示します。たとえば、同じフィンガープリントが短期間に何度も見られる場合、または他の要因により疑わしいと思われる場合は、Credential Stuffing 攻撃である可能性があり、これらを阻止するために迅速に行動する必要があります。
CAPTCHA を導入する
ログイン時に実際の人間の存在をテストする単純な CAPTCHA プログラムも、Credential Stuffing 攻撃の防止に役立ちます。しかし、攻撃者がヘッドレス ブラウザを使用して CAPTCHA テストを回避するのがますます得意になっているため、ある程度の範囲にとどまっています。
ヘッドレス ブラウザのアクセスをブロックする
ヘッドレス ブラウザは、グラフィカル ユーザー インターフェイスを持たず、代わりにコマンドライン インターフェイスを介して Web ページを制御するブラウザであり、CAPTCHA や上記のその他のツールを回避するために、攻撃者によってよく使用されます。このようなヘッドレス ブラウザを経由する攻撃は、特定のスクリプトを使用して特定することができます。特別な予防措置を講じ、脆弱性からさらに保護するには、ヘッドレス ブラウザへのアクセスを完全にブロックする必要があります。
IP ブラックリストの適用
他の場所から取得した侵害された資格情報にアクセスできるにもかかわらず、攻撃者が資格情報スタッフィング攻撃を正当に見せかけるために使用する IP アドレスは依然として制限されている可能性があります。そのため、このような攻撃に対して対策を講じる 1 つの方法は、複数のアカウントにログインしようとする IP をブロックまたはサンドボックス化することです。これは、ログ履歴が役立つ場所でもあり、アカウントへのログインに使用された最後のいくつかの IP と疑わしい IP の IP を比較するために使用できます。
レート制限の非住宅トラフィック ソース
Credential Stuffing 攻撃に対抗するもう 1 つの方法は、Amazon Web Services などの疑わしいソースからのトラフィックに厳しいレート制限を適用することです。これらはほとんどの場合、ボット トラフィックであり、レート制限により Web サイトへのリクエスト数が制限され、Credential Stuffing の典型である可能性のある大量のアクティビティがブロックされます。
メールアドレスをユーザー ID として使用しない
アカウントへのログイン時にメール アドレスをユーザー ID として使用することは前代未聞ではありません。しかし、これにより、攻撃者は複数の Web サイトでユーザー名として電子メール ID を使用しようとする可能性があるため、クレデンシャル スタッフィングを戦術として簡単に使用できます。メール アドレスをアカウント ID やユーザー名として使用しないようにするか、アカウントの作成とログインの基準にすることでこれを防ぐ必要があることを、ユーザーに明確に伝えてください。
強力なパスワードを強制する
サイバー攻撃から保護するもう 1 つの方法は、すべてのユーザー アカウントに強力なパスワードを設定することです。パスワードが長いほど、ハッカーが解読するのが難しくなります。パスワードの長さが 8 文字以上で、文字、数字、および記号を組み合わせていることを確認することをお勧めします。
ボット検出および管理ツールを採用する
Credential Stuffing に対する最も効果的な保護は、包括的な ボットの検出と管理 サービス。これらは、レート制限と IP レピュテーション データベースを組み合わせて、疑わしいログインの試みを阻止し、正当なログインは通常通り通過させます。 CDNetworks のオファー Bot Shield - Bot対策は、Credential Stuffing によるトラフィックを含む悪意のあるボット トラフィックを識別し、すぐに対処できるように通知を送信できる、クラウドベースのボット管理ソリューションです。
また、CDNetworks などのいくつかのソリューション Application Shield
(マルチレイヤWAF) Web アプリケーション ファイアウォール (WAF) をコンテンツ配信ネットワーク (CDN) と統合して、クレデンシャル スタッフィング攻撃から保護することもできます。
