パスワード・リセット攻撃が 232% 増：安全が確保されない機能に依存していませんか？

Rapid Growth of Password Reset Attacks Boosts Fraud and Account Takeovers

2023/09/05 InfoSecurity — デスクトップ Web ブラウザからの、パスワード・リセット試行の４回に１回は詐欺であると、セキュリティ研究者たちが指摘している。年次で発行される LexisNexis Risk Solutions Cybercrime Report によると、パスワード・リセット攻撃の一部として、詐欺の試みが急増しているという。具体的に言うと、英国では毎週 70,000 件のパスワード・リセット攻撃が発生しており、個人のオンライン・アカウントを詐欺師が乗っ取ろうとしていることが、研究者たちにより検出されている。

この種の攻撃には、ユーザーのパスワードや電話番号を変更して、サービスから締め出すことが含まれている。このレポートによると、それらの “detail change” 攻撃は、2023 年に 232% も増加しているという。犯罪者であるハッカーたちは、不正に取得したアカウントの個人情報を悪用して、さらなる詐欺行為をはたらく。

最も一般的に標的になりやすいアカウントは、メディア・ストリーミング／e コマース／モバイル・サービスなどであるという。

ボットがパスワード リセット攻撃の増加を促進

LexisNexis Risk Solutions が発見したのは、パスワード・リセット攻撃の件数が、この１年間で４倍に増加していることだ。研究者の推測は、ボットの増加が原因であるというものだ。ボット・ベースのパスワード・リセット攻撃は、なんと 1680% も増加している。研究者たちによると、英国の国民をターゲットにするためにテクノロジーを悪用する、詐欺の手口の巧妙化が進んでいるようだ。

ボット・ベースの攻撃の詳細についてはは、こちらを参照してほしい。悪質なボットにより、アカウント乗っ取り攻撃の年間増加率が 10% も引き上げられている。

デスクトップ・ユーザーのリスクが高い

この調査によると、デスクトップ・コンピューターのユーザーが、パスワード・リセット攻撃のリスクに直面する可能性が高いようだ。そこから始まる次段階の攻撃により、スマートフォンの使用に苦労している高齢者などが、さらに脆弱化していく。

モバイル・アプリには組み込まれている追加のセキュリティ保護対策が、デスクトップのデバイスとブラウザには提供されていないことも要因となる。さらに、LexisNexis Risk Solutions の Director of Fraud and Identity Strategy である Rob Woods によると、オンライン・バンキングなどの分野でセキュリティが向上したことで、詐欺師たちユーザーの人為的ミスに頼らざるを得なくなっているようだ。

彼は、「２要素認証などのセキュリティ対策を有効化し、モバイル・アプリに組み込まれているセキュリティ対策を利用することは、一般の人々がパスワード・リセット攻撃から身を守るための、簡単で非常に効果的な方法だ」と付け加えている。

パスワードリセット攻撃の増加は、強力な認証方法に移行していない企業や、パスワード・リセット・ツール保護の措置を講じていない企業にも、リスクをもたらしている。

ペンテスト会社 Akimbo Core の CREST fellow and managing director である Holly Grace Williams は、「それぞれの企業は、ログイン・インターフェースのセキュリティ保護に注力しているが、安全なパスワード・リセット機能の必要性を忘れがちである。つまり、適切なパスワードの選択や多要素認証の使用／推奨／強制については、ユーザーを教育する取り組みは進んでいるが、パスワードを忘れた場合に用いる機能について、同じレベルの努力が払われているとは限らない。ここでも、多要素認証は役立つが、リセット・プロセスの一環として、簡単に無効化できる場合には役に立たない」と、Infosecurity に語っている。

彼女は、「パスワード・リセット機能では、メインのログイン・インターフェースと同じくらいのレベルで、安全性が確保される必要がある。それが達成されないケースでは、同じくらいの脆弱性が当てはまることが分かる」と付け加えている。

たしかに、ログインのプロセスに関してはセキュリティ対策が進んできていますが、パスワード・リセットに関しては、なんらかの盲点があるように思えます。そして、文中の冒頭で指摘されているように、「パスワード・リセット試行の４回に１回は詐欺」だという調査結果にいたっているのでしょう。この LexisNexis のレポートは、さまざまな統計データを取り込んでいて、とても利用価値の高いものだと感じます。よろしければ、カテゴリ Statistics と併せて、ご参照ください。