Massive Credential Stuffing Campaign Hits 35,000 PayPal Users
2023/01/20 InfoSecurity — 今週に PayPal が公表したのは、2022年12月に発生したアカウントへの不正アクセスと、米国の数万人の顧客に対して通知が行われたことだ。この不正アクセスは、12月6日〜12月8日に発生し、その後に事態を把握した同社は、脅威となった人物によるアクセスを排除した。PayPal からメイン州司法長官事務所に提出された侵害通知書には、「この間において、不正な第三者が、特定の PayPal ユーザーの個人情報の一部を閲覧し、取得した可能性がある」と記されている。
PayPal は、「このインシデントの結果として、あなたの個人情報が悪用されたこと、または、あなたのアカウントで不正な取引が生じたことを示唆する情報はない。 また、あなたのログイン資格情報が PayPal システムから取得されたという証拠もない」と述べている。
ただし、問題となっている 34,942件のアカウントにアクセスした脅威アクターが、不正な取引を行わなかったとしても、収益性の高い個人情報を持ち逃げした可能性はある。PayPal によると、「暴露された個人情報に含まれる可能性があるのは、顧客の氏名/住所/生年月日/社会保障番号/個人納税者番号などである」とのことだ。
MyCena Security Solutions の CEO である Julia O’Toole は、「PayPal は、ユーザー・アカウントが悪意を持って使用された証拠はないと述べているが、被害者にとって何の慰めにならないだろう。それらの被害者に対して攻撃者は、フィッシング・メールやなりすまし詐欺を仕掛けることが可能となり、また、他のサイトで一連のパスワードを再使用できるのだ」と主張している。
この攻撃は、他のサイトから盗まれたログイン情報や、ダークウェブで買い求められたログイン情報が、自動化されたソフトウェアに送り込まれ、複数のサイトにおけるログイン試行で一致するかどうかを確認するという、クレデンシャル・スタッフィング・キャンペーンの特徴を、すべて備えているのだ。
Piiano の CEO である Gil Dabah は、「この種の侵害は、ユーザーが2要素認証 (2FA) を有効にすること、そして、パスワードを再利用しないことの重要性を示している。すべてのユーザーに対して、PayPal が 2FA の利用を強制していれば、このような事態は避けられたはずだ。2FAでは、携帯電話を使ってログインを承認する必要があるため、ユーザーにとって利便性が低くなる。しかし、ログインしたユーザーが金融取引を行う場合は、利用することが強く推奨される」と主張している。
文中で指摘されているように、この 35,000 人の PayPal ユーザーに、即時的な被害が生じていないとしても、今後のクレデンシャル・スタッフィング攻撃で、標的にされる可能性は否定できません。2022/09/21 の Okta レポートでは、全ログイン試行の 34%をクレデンシャル・スタッフィング攻撃が占めていると解説しています。以下のチャートは、2022年 Q1 における米国のログイン試行トラフィックを示しています。
正規 (ピンク) のトラフィックに対して、クレデンシャル・スタッフィング (ブルー) が、大きく上回っている状況が見えてきます。日本の状況が分かりませんが、我々の予測と実態が、大きく乖離している可能性もあるでしょう。よろしければ、カテゴリ authNauthZ も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.