Okta: Credential stuffing accounts for 34% of all login attempts
2022/09/21 BleepingComputer — 2022 Q2 にクレデンシャル・スタッフィング攻撃が流行し、そのためのトラフィックが、一般ユーザーからの正当なログイン試行回数を上回る国もあるという。この種の攻撃で悪用されるのは、複数のサイトで同じ認証情報のペア (ログイン名とパスワード) を使用する、パスワード・リサイクルという悪習慣である。
一度、あるサイトから認証情報が漏れたケースや、ブルートフォースでクラックされたケースにおいて、脅威アクターたちは、他のサイトで同じ認証情報を用いてユーザーのアカウントにアクセスしようとする、クレデンシャル・スタッフィング攻撃を実行する。
最近になって FBI が警告しているように、これらの攻撃は、流出した認証情報のリストの入手が容易であることで、そして、サイバー犯罪者が自動化されたツールを利用することで、多くのサイトに対してペア・テストを実施できるようになったことで、その攻撃量が増加している。
100億回を超えるクレデンシャル・スタッフィング試行
ID とアクセスを管理する Okta の報告によると、2022年は状況が悪化しており、2022年の最初の 90日間に、100億件以上のクレデンシャル・スタッフィング試行を、同社のプラットフォーム上で観測したという。
この数字は、認証トラフィック全体のおよそ 34%に相当し、全試行の3分の1が悪意のある不正なものであることを示している。地理的な観点から検証すると、最悪のケースは東南アジアと米国であり、2022 Q1 を通じて、クレデンシャル・スタッフィング・トラフィックが、通常のログイン試行を凌駕していること判明している。
これらの攻撃の多くは、短時間に多数のクレデンシャルを試す、バースト・アプローチをとるため、影響を受けるプラットフォームでは、最大で10倍もの急激な負荷上昇が持続する。Okta のレポートでは、2022年1月にピークに達した、約2カ月間に及んだ攻撃が例示されている。
この負荷の図は、これらの攻撃がオンライン・プラットフォームにとって破壊的であることを示している。つまり、ID 管理インフラに大きな負担をかけ、遅延を引き起こし、一般的なユーザー・エクスペリエンスを低下させていることが特徴となっている。
Okta は、攻撃の標的とされた業界として、小売/e コマースが最も多かったと報告している。また、教育/エネルギー/金融サービス/ソフトウェア/SaaS などに対しても、かなりの量の攻撃が記録されている。
最近の、e コマース・プラットフォームに対するクレデンシャル・スタッフィング攻撃の例としては、 North Face の顧客に対する攻撃がある。同ブランドのオンラインショップでは、約 20万件のアカウントが侵害された。
クレデンシャル・スタッフィング攻撃に対する防御策として、主にオンライン・プラットフォームの責務となるものには、フィンガープリント・チェック/プロアクティブなクレデンシャル・チェック/プロキシ発見システムの使用/疑わしいアカウントに対するシャドーバンの実施などが挙げられる。
ユーザーの観点からは、多要素認証 (MFA) を使用し、すべてのオンライン・アカウントにユニークで強力なパスワードを設定することで、この種の大半の脅威を適切に防御できる。
しかし、最近の MFA Fatigue 攻撃に見られるように、脅威アクターはソーシャル・エンジニアリングにより、MFA をバイパスする方法を見出している。したがって企業は、番号のマッチング/認証試行のしきい値などにより、MFA を適切に保護することが重要になる。
文中の、「東南アジアと米国であり、2022 Q1 を通じて、クレデンシャル・スタッフィング・トラフィックが、通常のログイン試行を凌駕していること判明している」という記述と、それに対応するチャートは、ちょっと衝撃的ですね。9月22日の「MFA 疲れを狙う攻撃:フィッシングで根負けさせ Microsoft/Cisco/Uber などを陥落」では、新たな攻撃パターンの成功例が詳述されています。どこかに書いてありましたが、セキュリティをテクノロジーだけで達成しようとすると、いつまでたったも、何も解決しないという言葉が思い出されます。
IoT OT Security News 
You must be logged in to post a comment.