大量の悪意あるログイン試行を吐き出すボットが、事態を一段と悪化させたようだ。
Akamai 社の最新のインターネットの現状レポート (PDF)によると、2017 年 11 月から今年 6 月までの間に Akamai 社の顧客だけで 300 億件の悪意のあるログインの攻撃を受けており、これは月平均で 37.5 億件に相当します。
この傾向は5月と6月にさらに強まり、トラフィックが急増して悪意のあるログイン試行が40億回を超えました。これは、2018年の残りの期間に何が起こるかを示す悪い前兆です。
クレデンシャルスタッフィングとは、フィッシング攻撃やデータ侵害で盗まれたログイン情報をボットを使って他の多くのサイトで試し、どれだけの成功率が得られるかを調べる手法です。膨大な数のネットユーザーが同じパスワードを何度も使い回す習慣があるため、成功例も少なくありません。
2年前に始まったこの手法は、サイバー犯罪者がこの儲かる手法に飛びついたことで、急速に人気が高まった。
Akamaiのセキュリティ担当シニアディレクター、ジェイ・コーリー氏によると、クレデンシャルスタッフィングボットの主な目的は、盗んだログイン情報がアカウントに有効かどうかをテストすることです。有効であれば、そのログイン情報は他の犯罪者に売却されます。
認証ボットの増加は、その成功に牽引されている。「利益が出なければ、彼らはそんなことをしないだろう」とコーリー氏は言う。「彼らはこれをゴールドラッシュのようなものと捉えているのだ。」
攻撃者にとって、ログイン回数は諸刃の剣です。攻撃者は攻撃においてできるだけ多くのログインを試行する必要があります。試行回数が多ければ多いほど、アカウントへの侵入成功率も高まるからです。しかし、ログイン回数が多すぎると、防御側が気づき、サービス拒否攻撃と誤認する可能性があります。
Equifaxの大規模ハッキングで被害を受けていない人は立ち上がってください。おっと、おっと、みんな座ってください。
続きを読む
好まれた方法は「低速でゆっくりと」で、悪意のあるログインを通常のトラフィック量の中に隠そうとするものでした。「賢い人は1時間に1~2件のログインを少しずつ送信します。彼らはレーダーに引っかからずに侵入します」とコーリー氏は指摘しました。
この報告書では、大規模なクレデンシャルスタッフィング攻撃についても記録されています。米国の信用組合は、悪意のあるログイントラフィックが、1日あたり800件からその10倍にあたる8,723件に急増したことに気づきました。この週、この信用組合は2万近くの異なるIPアドレスから31万5,000件の悪意のあるログイン試行を観測しました。しかし、2,000未満の自律システム番号からのHTTPユーザーエージェント接続はわずか4,382件で、このボットは、人々がよく耳にするメガボットの基準からすると小規模でした。そのため、アクティブなボットのほとんどにまだ派手な名前が付けられていないのかもしれません。
クレデンシャルスタッフィングボットのトラフィック(28億2000万回)の大部分は米国から発信されており、ロシアはさらに15億5000万回を占めています。英国は2億回未満で、大きく差をつけて6位でした。
標的アカウントの圧倒的多数は米国でした。これはAkamaiの顧客基盤が米国に偏っていることが一因かもしれませんが、米国の犯罪者は大規模な侵害の後、米国向けのユーザー名とパスワードの「辞書」を大規模に構築しています。
これは、標的となる可能性のある侵害された認証情報の数の増加が、認証情報スタッフィングボットの増加に拍車をかけていることを意味します。
認証を強制したり、安っぽいパスワードを魔法のように廃止したりする以外に、ボットを止めることはできるのでしょうか?
こうした攻撃の標的となっている業界の組織が、さらなる不正行為検出の体制を整えているかどうかは、歴史的に見て明るい材料はないものの、評価が難しい。
ユーザーに長年許されてきた不適切なパスワード習慣と同様に、悪い状況をできるだけ長く我慢し、手遅れになってから投資する可能性が高いと思われます。®
