クレデンシャル・スタッフィング攻撃:現状を理解して対策を講じるために

The State of Credential Stuffing Attacks

2022/01/17 SecurityIntelligence — この数年において、クレデンシャル・スタッフィングが、デジタル攻撃者の間で好まれる手口となっている。Help Net Security の報告によると、研究者たちは 2020年に、世界で 1,930億件のクレデンシャル・スタッフィング攻撃を検出した。そのうち、金融サービス分野は 34億件の攻撃を受け、前年比で45%以上の増加となっている。Business Wire によると、2021年の上半期に詐欺師たちは、既存のユーザー・アカウントへの侵入や、新しいアカウントの作成などにより、デジタルア・カウントを標的にしてきた。そのうちの 30% ほどが、クレデンシャル・スタッフィングによる攻撃だった。

クレデンシャル・スタッフィングの仕組みとは?

Open Web Application Security Project によると、クレデンシャル・スタッフィング攻撃とは、悪意の行為者がフィッシング・キャンペーンやパスワード・ダンプなどの情報漏えいを利用して、ユーザー・アカウントの認証情報を盗むことから始まる。その後に、攻撃者は自動化されたツールを用いて、複数の Web サイトで認証情報をテストする。これらの Web サイトは、SNS プラットフォームやオンライン・マーケット・プレイスに属している可能性がある。TechRepublic によると、これらのツールキットの多くは無償または低価格で利用が可能であり、攻撃者が特定の Web サイト上のファイルを狙うための設定が付加されていることが多いという。

VP of Security Services である Sushila Nair は、「クレデンシャル・スタッフィングのような攻撃は自動化が可能であるため、参入障壁が低くなっている。ツールは安価であり、ダークウェブから得たパスワードの山をツールやスクリプトで処理することで、侵入の可否を確認できる」と述べている。

不正アクセスを可能にするツール

さらに、悪意の行為者は、どのパスワードがどのサイトのものかを特定する、オープンなツールをダウンロードすることもある。Information Security Buzz が指摘するように、そでにより攻撃の成功率が高められる。また、ボットネットによる認証試行の送信回数も制限されるため、レッドカードをもらわずに攻撃の機会を増やすことが可能だ。

ログイン試行に成功すると、そのアカウントは、さまざまな悪意の目的に活用される。たとえば、侵入したアカウントから現金を引き出すことができる。また、アカウントに含まれる機密情報にアクセスし、フィッシング・メッセージやスパム電話の送信や、ダークウェブ・マーケットでのデータの収益化も可能となる。

Sushila Nair は、「結局のところ、パスワード・スプレー攻撃が成功しやすく、高度な技術を必要としないという事実は、攻撃者にとって格好の出発点となる。データ侵害を引き起こすために必要なのは、1つの漏洩したクレデンシャルや、1つのレガシー・アプリケーションである。Identity Theft Resource Center によると、平均的な人は約100個のパスワードを用いると言われている。そのため、数多くの人々が、複数のサイトで同じパスワードを再利用していても不思議ではなく、この種の攻撃の成功に貢献している」と指摘する。

いくつかのニュースを

2021年に、ニュースになったクレデンシャル・スタッフィング攻撃を、いくつか検証してみまよう。

2021年2月に Bitdefender は、ある音楽ストリーミング・プラットフォームがクレデンシャル・スタッフィング攻撃の被害に遭ったことを報告した。攻撃者は、10万人以上のユーザーの、詳細な認証情報を含む悪意のロガー・データベースを使用して、それらのアカウントを侵害しようとした。セキュリティ会社の報告によると、おそらく誰かが、これらの情報を最初に漏らしてから、この攻撃に使用したものと思われる。

8月に FBI は、脅威アクターが別タイプのクレデンシャル・スタッフィング攻撃を行っていると警告した。この攻撃は、他社から流出したデータを利用して、食料品店/レストラン/フード・デリバリーなどの、オンライン・アカウントを標的にしていた。ユーザーが複数の Web サービスでパスワードを使い回すことを、攻撃者は期待していたと、The Record は報じている。これらのアカウントにアクセスすることで、脅威アクターはより多くにアクセスできるようになっていく。ユーザーの口座からの現金の引き出しや、個人情報の窃取、財務データの不正利用などを可能にしていた。

小売店の認証情報の不正利用

2021年10月に、あるデジタル通信事業者は、顧客のアカウントを何者かが奪ったことを確認した。この攻撃者は、ユーザーのパスワードや配送先住所などを変更し、また、これらのアカウントの一部に、新しい iPhone の購入費を請求していた。Threatpost によると、同社はデータ流出の被害を否定し、「クレデンシャル・スタッフィング攻撃のようなものを受けたと述べている。脅威アクターは、外部からユーザー名やパスワードにアクセスし、その情報を利用して保護されたアカウントにログインした」と述べていいる。

同時期に、Help Net Security は、Proxy Phantom と呼ばれる詐欺集団が始めた、クレデンシャル・スタッフィング・キャンペーンについて報告している。このキャンペーンでは、回転する IP アドレス群と 150万件以上の窃取アカウント情報を用いて、販売店の Web サイトのユーザー・アカウントへの侵入が試みられた。これらのボットベース攻撃では、1秒間に 2,691回ものログイン試行が行われていた。

クレデンシャル・スタッフィング攻撃からの防御方法

クレデンシャル・スタッフィング攻撃から身を守るためには、2つのことを知っておく必要がある。これまでの2年3年の間に、どのような状況になったのか、そして現在はどのような状況にあるのかという2点である。

Sushila Nair は、「クラウド化が進むにつれ、従来のファイアウォールという境界線は消えつつあり、アイデンティティが新しい境界線となっている。データが保存されているネットワークに侵入するためには、基本的に、アイデンティティが乗り越えなければならないフェンスとなる。Yubico は、ハッキング関連の侵害の 81% がインターネット上の認証情報の盗用によるものだと推定しており、85% の人々による複数サイトでのパスワード使い回しを認めていることも、驚くべきことではない。人間の無謬性に依存したセキュリティ管理は絶望的である。多要素認証 (MFA) やパスワードレス認証を用いて、新しい境界線を強化する必要がある」と述べている。

MFA は、ログイン・プロセスにステップを追加し、攻撃の流れを混乱させることができる。しかし、このような制御は、MFA だけに依存するわけではない。たとえば、情報セキュリティ担当者は、ユーザーに CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) を解くことを要求できる。それにより、クレデンシャル・キャンペーンで発生するような、自動化された攻撃の一部としてのログイン試行を防げると、CCSI は指摘している。

さらに、ユーザーの行動分析を利用して、認証されたアカウントにおける不審な動きの有無を確認することも可能だ。不審な行動を発見した場合は、そのユーザーに通知し、問題解決に向けて協力できる。そこには、すでに侵入されたパスワードと、新しいパスワードとの照合も含まれる。

たぶん、パスワード管理で悩んでいないという人は、いないんじゃなかと思います。それほどまでに、パスワード要求するサービスが増えています。そして、使い回しが始まり、クレデンシャル・スタッフィング攻撃にやられるというパターンですね。そうかと言って、2021年12月の「LastPass ユーザーのマスター・パスワードが侵害された?」にあるように、すべてを金庫に預けるというのも、なんとなく怖い気がします。自分にも、「どうでもよい」使い回しパスワードがありますが、誰にとって「どうでもよい」のかと考えると、自分ではなく攻撃者にとってなので、いろいろと考え直す点が多いですね。

%d bloggers like this: