MoneyLion でクレデンシャル・スタッフィング攻撃:使い回しのパスワードを悪用

MoneyLion locks customer accounts after credential stuffing attacks

2021/10/01 BleepingComputer — 銀行投資プラットフォームである MoneyLion は、6月と7月にクレデンシャル・スタッフィング攻撃を受けた顧客のアカウントを、ロックせざるを得なくなった。このフィンテック企業は、2013年のサービス開始以来、850万人以上の米国人に対して、預金/貸付/投資などのモバイル・バンキング・サービスを提供してきた。

クレデンシャル・スタッフィング攻撃とは、様々なオンライン・サービスのセキュリティ侵害により流出したユーザー名とパスワードの組み合わせを、大量に使用して他のオンラインプラット・フォーム上のユーザー・アカウントにログインする攻撃のことである。このような攻撃は、複数のサイトのアカウントにおいて、認証情報を使い回している人々に対して有効な手口となる。

攻撃者の最終的な目的は、可能な限り多くのアカウントにアクセスし、機密情報や金銭を盗み出すこと、また、アカウント所有者の ID を乗っ取ることである。

MoneyLion のシステムは侵害されていない

MoneyLion は、「直ちに調査を開始し、ごく限られた数の口座が影響を受けた可能性があると判断した。同様の行為が 7月13日〜16日の間に再発し、7月27日〜30日の間にも再発した。調査の結果、MoneyLionとは関係のない別のサイトで、過去に発生したイベントで漏洩したと思われるアカウントのメーリアドレス/パスワード使用して、外部の未承認者がアプリケーション上の顧客アカウントにアクセスしようとしていたと思わる」と、同データ流出の通知で述べている。

この攻撃者は、顧客の口座にアクセスすることはできたが、MoneyLion のシステムには侵入していない。このデジタル金融プラットフォームは、攻撃に使用された認証情報が MoneyLion のサーバーから取得されたという証拠を発見できなかった。また、MoneyLion は、被害に遭った顧客の社会保障番号/運転免許証番号/リンクしている銀行口座やデビットカードに関連する支払い情報が、この事件で影響を受けたという証拠も見つけることができなかった。しかし、同社は、「外部の不正な者が、顧客のパスワードを使用して、そのアカウントにアクセスしたと思わる」と認めている。

すべてのアカウントで多要素認証が可能に

MoneyLion は、この攻撃に対応するため、影響を受けた顧客のアカウントをロックし、認証情報を再設定させた後に、このインシデントを顧客に通知した。同社は、「当社では、すべてのアカウントに多要素認証を導入した。しかし、不正行為には常に注意を払い、すべての Web サイトやアプリケーションに固有のパスワードを使用し、それらのパスワードを頻繁に更新し、安全な場所に保管することを推奨する」と述べている。

MoneyLion は、9月21日に開催された Fusion Acquisition Corp の株主総会で承認された、Fusion Acquisition Corp との企業結合の完了後に、株式を公開する計画を発表している。MoneyLion の広報担当者は、BleepingComputer が早朝に問い合わせを行った際に、すぐにはコメントを述べられなかった。

他所から認証情報などを収集して、金融サービスなどの価値の高いターゲットを狙うのを、クレデンシャル・スタッフィング攻撃というのだそうです。先日に、「パスワードに関する調査:再利用は? 難読化は? 多要素認証は?」という記事をポストしましたが、そこで危惧されていた使い回しが検知され、悪用されると、このような被害につながるという例ですね。気をつけましょう。

%d bloggers like this: