自動車メーカーのゼネラルモーターズは、先月同社が受けたクレデンシャルスタッフィング攻撃により、顧客の名前、個人のメールアドレス、目的地データ、さらには顧客アカウントに関連付けられた家族のユーザー名と電話番号が流出したことを認めた。
インディアナ州フォートウェインにあるGMのシボレー・シルバラードとGMCシエラのピックアップトラック工場でトラックが組み立てラインから出荷される。
GMの関係者は今月顧客に送った書簡[PDF]の中で、社会保障番号やクレジットカード番号、銀行口座番号、運転免許証データなどの個人情報は顧客のGMアカウントには保存されておらず、公開もされていないと述べた。
書簡によると、4月11日から4月29日までの18日間、GMは一部のGMオンライン顧客アカウントへの不審なログインを検知し、脅威アクターが顧客のリワードポイントをギフトカードに交換していたことが判明した。GMのオンラインプラットフォームを通じて、シボレーやビュイックなどの自動車ブランドのオーナーは、リワードポイントを貯めたり交換したりしながら、支払いやサービスを管理することができる。
GMは攻撃を発見した後、アカウントウェブサイトのリワード機能を停止し、問題の影響を受けた顧客に、オンライン顧客アカウントに再度アクセスするにはパスワードをリセットする必要があることを通知しました。同社は法執行機関に侵害を報告しました。
GMはまた、影響を受けた顧客に対するポイント還元も行っている。
同社関係者は書簡の中で、ログイン情報はGM自身から盗まれたものではないと述べている。同社はクレデンシャルスタッフィング攻撃の被害に遭った。これは、サイバー犯罪者が1つのウェブサイトから盗んだユーザー名とパスワードを用いて他のウェブサイトにログインしようとする攻撃である。こうした攻撃の中には、ボットネットを用いてサインオン試行回数を増やすものもある。
攻撃者が成功した場合、クレジットカード情報を使用して購入したり、顧客のアカウントに保存されているギフトカードを盗んだり、フィッシング攻撃に情報を使用したり、ログイン情報や個人データを他の悪意のある人物に販売したりするなど、さまざまな活動に認証情報を使用できます。
GM攻撃に関するニュースが報じられたのは、オンラインウェディングプランニングサイトZolaもクレデンシャルスタッフィング攻撃の被害に遭ったことを認めた同じ週で、一部の顧客はサイトにリンクされた銀行口座がギフトカードの購入に使用されたと苦情を述べている。
1月、ニューヨーク州司法長官レティシア・ジェームズ氏は、同州におけるクレデンシャル・スタッフィング詐欺に関する数か月に及ぶ調査の報告書を発表し、小売店、レストランチェーン、食品配達サービスを含む17社の110万件を超えるオンラインアカウントの認証情報が侵害されたことを明らかにした。
クレデンシャルスタッフィング攻撃により、オンラインアカウントのセキュリティを確保するための主要なユーザー認証方法として、パスワード以外の方法を企業が採用すべきだという要求がさらに高まっている。批評家は、パスワードは簡単に破られ、顧客の機密データが漏洩したり盗まれたりする危険性があると指摘している。
「多要素認証があらゆるユーザーアカウントのデフォルトオプションであるべきという時代はとうに過ぎ去っている。特に、顧客がパスワードを選べる公共ウェブサイトではそうだ」と、サイバーセキュリティ企業サーベラス・センチネルのソリューションアーキテクチャ担当副社長、クリス・クレメンツ氏はThe Registerへの電子メールで語った。
ユーザーは複数のサービスで同じパスワードを使い回すことが多いため、パスワードの複雑さを要件にするだけでは、クレデンシャルスタッフィング攻撃に効果的に対抗できません。パスワードがいくつもの場所で使い回され、第三者から盗まれてしまうと、パスワードの長さや複雑さは関係ありません。
クレメンツ氏は、オンライン顧客アカウントを提供する組織は、多要素認証(MFA)やFIDOアライアンスが開発した標準など、より安全なアカウント保護メカニズムをデフォルトでサポートする必要があると述べた。
「デフォルト設定は重要です」と彼は付け加えた。「ほとんどのユーザーは、特別な理由がない限り、最初のアカウント設定プロセスから逸脱することはありません。すべてのユーザーアカウントでMFAをデフォルトで有効にすると、ユーザーオンボーディングに余分な手順が追加される可能性がありますが、それがもたらすセキュリティ保護の強化はまさに雲泥の差です。」
サイバーセキュリティベンダーPerimeterXの新興製品担当バイスプレジデント、ウリエル・マイモン氏は、The Registerへのメールで、GMとZolaへの攻撃は、クレデンシャルスタッフィング攻撃が「ウェブ攻撃のライフサイクルを継続的に促進し、盗まれたユーザー認証情報を他のeコマースサイトで悪用する可能性がある」ことを示していると述べた。「これらの認証情報は、私たちが日常生活で使用している他のアプリでもすぐにテストされることになるでしょう。」
- トヨタ、世界的な半導体不足で自動車生産を削減
- 消費者レビューサイト Which? が Ford と VW に CAN バス ポートを発見し、「セキュリティだ! 問題だ...」と叫び始める
- 自動運転車について何を言っても、安全性は「OK」に見える
- ジープハッカー:クライスラーの自動車セキュリティパッチをいかにして回避したか
「サイバー犯罪者が攻撃サイクルを断ち切るために情報を利用することを困難にし、かつ費用を負担させる責任は、アプリプロバイダーとウェブサイト運営者にあります」とマイモン氏は述べた。「これは、消費者のデジタルジャーニーのあらゆる場面で、アカウント情報や個人情報の盗難、検証、不正利用を阻止することを意味します。」
同氏は、2021年中に総ログイン数のうち悪意のあるログイン試行が増加し、8月には全ログイン試行の93.8%に達し、2020年のピーク時より8%増加したと指摘した。
GMの担当者は書簡の中で、GMのパスワードをリセットするだけでなく、複数のアカウントで同じパスワードを使い回さないこと、そして重複するパスワードがあれば更新することを顧客に勧めました。さらに、個人情報保護のベストプラクティスのリストと、身元情報の保護、不正行為の警告設定、信用情報のセキュリティ凍結に関する連邦取引委員会(FTC)の推奨事項も顧客に提供しました。
また、クレジットカードに初期または拡張不正使用警告を設定することもできます。®
