Shape Security 社は最新の「認証情報流出レポート」の中で、平均的なオンライン小売業者のログイン トラフィックの最大 90% が、認証情報スタッフィング攻撃を試みるサイバー犯罪者によって生成されていると推定しています。
同社は、世界中のさまざまな業種の 51 の組織について数字を解析し [PDF]、2017 年に悪意のある人物によって 23 億件もの認証情報が盗まれたと報告しました。これは実際には 2016 年に同組織が報告した合計数よりわずかに少ないですが、それでも 1 件の流出あたり平均 4,750 万件の認証情報に相当します。
報告書に取り上げられている組織には、Yahoo ! (20億)、Edmodo (7,700万人)、中国のストリーミングサービス Youku (1億100万人)、Equifax (1億4,500万件の個人記録が影響を受けたが、驚くべきことにログインはわずか14,961件) などの有名企業が含まれています。
クレデンシャル スタッフィングの手口は単純です。攻撃者は、ハッキングされたアカウント データベースから盗んだパスワードを他の多くの Web サイトでも試し、それが機能することを期待します。
つまり、ウェブサイト A と B で同じメールアドレスとパスワードを使用していて、A がハッキングされた場合、犯罪者は盗んだログインデータを使用してウェブサイト B のアカウントにアクセスしようとするのです。可能性は低いように思われますが、Shape の推定では、成功率は最大 3 パーセントで、プロの犯罪者にとっては優れた利益率です。
データベースへの侵入だけでも十分に深刻な被害ですが、被害者が攻撃の成功を報告するまでの時間の長さによって、被害はさらに深刻化します。Shapeの調査によると、パスワードが盗まれた瞬間からハッキングが公表されるまでの平均期間は15ヶ月に達しており、これはクレデンシャルスタッファー(認証情報入力者)が他のアカウントへのログインを試みるのには十分な時間です。
「ほとんどの人が気づいていないのは、たった一度の侵害がドミノ効果で被害を及ぼす可能性があるということだ」とシェイプ社のCTO、シュマン・ゴセマジュムダー氏は語った。
時間、時間、時間
ここでの敵は遅延だと彼は述べた。もし被害者が侵入後すぐに互いに警告し合うことができれば、クレデンシャル・スタッフィングの威力は大幅に低下するだろう。
「反撃するために、組織は団結して集団防御を構築し始めており、ある侵害から盗まれた認証情報が別の侵害へのログインに使用されている場合に警告を発し、侵害された認証情報を使用してプラットフォームにアクセスしようとする攻撃者を効果的にブロックしています。」
ほぼ同程度に驚くべきことは、企業がログイン失敗によるクレデンシャルスタッフィングトラフィックを監視できることです。例えば、あらゆる業種がクレデンシャルスタッフィングの脅威に直面していますが、業種によっては攻撃件数がはるかに多い場合があります。
Shape 独自の顧客分析によると、電子商取引の場合、ログイン トラフィックの 91 パーセントがクレデンシャル スタッフィングによるものであったのに対し、航空会社では 60 パーセント、銀行では 58 パーセント、ホテルでは 44 パーセントであった。
私の名前、パスワード、または魂のいずれかが無効です。しかし、どれでしょうか?
続きを読む
当然のことながら、クレデンシャルスタッフィング詐欺による損失は大きく、米国だけでも年間50億ドルに達しています。これは、攻撃者がアカウント乗っ取りを利用して商品の購入、実店舗での決済、電子ギフトカードの購入を行っているためです。攻撃によって得られた個人識別情報(PII)は、犯罪フォーラムで販売されることもあります。
より深い疑問は、認証情報が脆弱な状況にあるにもかかわらず、なぜ企業はより優れたセキュリティ対策を導入しないのかということです。その選択肢としては、多要素認証(MFA)の強制的な導入、クレデンシャル・スタッフィングの検出強化、そしてデータ共有の強化などが挙げられます。
より長期的な解決策としては、WebAuthnが挙げられます。これは、従来の認証情報を完全に廃止し、物理認証や生体認証のメカニズムを採用する新しい標準規格です。その利点は、盗まれる認証情報が存在しないことです。
報告書の著者は、これには一部の人が考えているよりも時間がかかるかもしれないと指摘しています。「競争の激しい企業は、潜在的な収益を失うことを恐れて、MFA の形で自社のエクスペリエンスにさらなる摩擦をもたらすことを嫌がります。」®
