コンテンツ配信ネットワークの Akamai Technologies は、フィッシングやその他の詐欺に騙されないように人々を説得するのに時間と労力が費やされているにもかかわらず、実際にはクレデンシャルスタッフィング攻撃のほうがより大きな脅威である可能性があると考えています。
Akamaiは最新版のインターネットの現状レポート(PDF)で、過去18ヶ月間に約35億件のクレドスタッフィング攻撃を検知したと発表しました。懸念されるのは、これらの攻撃の半数が金融サービス業界のみを標的としていたことです。
クレデンシャル スタッフィングは、パスワード システムへのブルート フォース アクセスとほぼ同義ですが、レインボー テーブルや一般的に再利用されるユーザー名とパスワードの組み合わせの他の設定ではなく、以前に侵害されたログイン クレデンシャルを使用する点が異なります。
金融機関に対する攻撃のほぼすべて(94 パーセント)は、SQL インジェクション、ローカル ファイル インクルード(world+dog がリモート サーバーにファイルをアップロード、読み取り、場合によっては実行できる)、XSS、そして Apache Struts の脆弱性で悪名高く使用され、Akamai が数えたところ 800 万回を超える試行があった OGNL Java インジェクションという 4 つの手法のみを使用していました。
Akamai社は、同社のデータによると、オンライン犯罪者が18ヶ月間に35億件ものクレジットスタッフィング攻撃を実行したと発表しました。また、昨年12月から今年5月の間に、同社は197,524件のフィッシングドメインを特定しており、そのうち3分の2は消費者を直接標的としていました。
ハッカーが新しいApache Strutsメガボルトに狙いを定めて暗号通貨を採掘
続きを読む
「過去1年間、クレデンシャル・スタッフィング攻撃は着実に増加しており、その一因は消費者を狙ったフィッシング攻撃の増加です」と、インターネットの現状レポートのセキュリティ版編集者であるマーティン・マッキー氏は述べています。「犯罪者は、盗んだ既存の認証情報をフィッシングで補完し、アカウントの乗っ取りや作成したリストの転売で収益を得ています。金融サービス組織とその消費者を標的とした経済圏が形成されつつあるのです。」
Akamai が確認した悪質な活動のすべてが、銀行から資金を奪おうとする巧妙な試みだったわけではありません。800 件の攻撃は、金融サービス企業に対する昔ながらの DDoS 攻撃でした。
「犯罪者がまさに生き残るために必要な業界を狙っているという事実には、深い皮肉が潜んでいる。金融機関はこうした攻撃の検知能力を高めている一方で、攻撃者は古い手口で成功を収め続けている。これは問題だ」と、哲学的なマッキー氏は結論づけた。®
