FBI 警告:クレデンシャル・スタッフィング攻撃で家庭用プロキシが悪用される

FBI warns of residential proxies used in credential stuffing attacks

2022/08/22 BleepingComputer — 米連邦捜査局 (FBI) は、大規模なクレデンシャル・スタッフィング攻撃を実行するサイバー犯罪者たちは、追跡/フラグ付け/ブロックなどを回避するために、家庭用プロキシを悪用する傾向にあると警告している。この警告は、先週末に、同局のインターネット犯罪苦情センター (IC3:Internet Crime Complaint Center) から民間企業への通知として発行された。その目的は、クレデンシャル・スタッフィング攻撃への防御策を実施する必要のある、インターネット・プラットフォーム管理者の意識を高めることにある。

クレデンシャル・スタッフィングとは、過去のデータ侵害で公開された、大量のユーザー名/パスワードの組み合わせを使用し、他のオンライン・プラットフォームにアクセスしようとする攻撃の一種である。

一般的にみて、複数の Web サイトで、同じパスワードを使用する人々が多い。そのため、サイバー犯罪者たちは、パスワードの解読や、情報のフィッシングなどを行うこと無く、アカウントを乗っ取るための十分なチャンスが得られる。

FBI はアナウンスメントで、「有効なユーザー認証情報を悪用する攻撃者は、メディア/リテール/ヘルスケア/レストラン/フードデリバリーなどの、複数の業界にわたる多数のアカウントやサービスにアクセスする。そして、商品やサービスの不正な入手や、金融口座などオンラインへのアクセスを行い、正当なアカウント保有者の負担を強いる可能性がある」と述べている。

家庭用プロキシの使用

クレデンシャル・スタッフィング攻撃は、正当なログイン試行とは異なる特徴を持つため、Web サイト側での検知と阻止は容易である。そのための、Web サイト側の基本的な保護機能を無効にするために、脅威アクターたちは住宅用プロキシを使用し、ブロック・リストに登録されにくい一般家庭の IP アドレスの背後に、実際の IP アドレスを隠していると、FBI は警告している。

プロキシとは、リクエストを受け付けて転送するオンライン・サーバーのことであり、実際の接続元 (攻撃者) ではなく、プロキシからの接続であるかのように見せかける。さらに言うなら、データセンターでホストされるプロキシよりも、家庭用プロキシの方が望ましい。なぜなら、Web サイト側の保護メカニズムにとって、疑わしいトラフィックと通常の消費者トラフィックの識別が、プロキシにより難しくなるからだ。

一般的に、サイバー犯罪者たちは、正規の家庭用のモデムや IoT などのデバイスをハッキングすることで、また、ホームユーザーのコンピュータをマルウェアなどでプロキシに置き換えることで、これらのプロキシを利用可能にする。

彼らは、それらをツールとして使用することで、クレデンシャル・スタッフィング攻撃を自動化していく。具体的には、過去に盗んだログイン情報を使って、ボットによる大量のサイトへのログインを試みることになる。

さらに、これらのプロキシ・ツールの一部には、アカウントのパスワードに加えて、オプションとしてブルートフォース機能を提供するものもある。また、コンフィグレーションにより、固有の文字/最小のパスワード長といった、特定の要件に合わせて攻撃方法を修正するものも存在する。

Creating a config in the OpenBullet credential stuffing tool
クレデンシャル・スタッフィングツール OpenBullet でコンフィグを作成
Source: F5

FBI によると、クレデンシャル・スタッフィング攻撃は、標的を Web サイトに限定したものではない。セキュリティが不十分なモバイル・アプリを標的とした攻撃も、最近は確認されているという。

同局のアドバイザリでは、「サイバー犯罪者は、Web サイトだけでなく、企業のモバイル・アプリも標的にする可能性がある。従来の Web アプリに比べて、モバイル・アプリは、セキュリティ・プロトコルが脆弱であることが多く、CPM (checks per minute) と呼ばれるログイン試行回数が多い。そのため、アカウントの認証が高速化されることが多い」と警告されている。

FBI とオーストラリア連邦警察の共同作戦において、クレデンシャル・スタッフィング攻撃により窃取された 30万組以上のユニークな認証情報を持つ、2つの Web サイトが調査された。FBI によると、これらの Web サイトの登録ユーザー数は 175,000 人を超え、サービスの売り上げは $400,000 以上だという。

管理者たちがすべきこと

FBI のアドバイザリは管理者に対して、クレデンシャル・スタッフィング攻撃によるアカウントの喪失を防ぐために、ユーザーが脆弱なパスワードを使用している場合には、以下のようなプラクティスを実施するよう促している。

  • MFA (多要素認証) を提供し、すべてのアカウントでの採用を奨励/強制する。
  • 広く漏洩した認証情報をダウンロードし、顧客のアカウントと比較することで、一致するものを見つけ、パスワードのリセットを強制的に行う。
  • 指紋認証により、ログインしようとする人物がアカウントの所有者であることを確認する。
  • クレデンシャル・スタッフィング攻撃ツールで使用される、デフォルトのユーザー・エージェント文字列を特定/監視する。
  • 自社のWeb サイトでプロキシツールが使用している設定を検索/発見し、ターゲットを絞った変更を実施することで、その価値を失わせる。
  • シャドー・バンニング (shadow-banning) を導入し、不審なユーザー/アカウントをブロックすることなく、プラットフォーム上で実行できることを制限する。

一般ユーザーは、自分のアカウントで、強力でユニークなパスワードを使用し、MFA を有効化することで、また、フィッシングの試みに対して警戒を続けることで、自分自身を守ることができる。

この記事を訳しながら思い出したのは、1月15日の「2022年の認証情報を考える:240 億件以上のパスワードセットが闇取引されている現状とは?」です。世界の総人口と比べてみると、あぁそうかと思う反面、もっと多いのではとも推測してしまいます。Web サイトを運営する側の対策もありますが、それらを利用する側のユーザーの意識が、https://www.grcs.co.jp/promotion/z-today最も重要になる領域ですね。そうかと言って、すべてのパスワードを同列に並べて、厳重にプロテクトするのも大変です。それぞれのアカウントの重要性に基づき、3レベルくらいのグループに振り分け、パスワードの強度と、MFA などの有効化などを、決めていくと良いのではないかと、個人的には考えています。

%d bloggers like this: