侵害が報告される前、あるいは検知される前に盗まれたパスワードを特定することを目的としたシステムが火曜日に開始された。
Shape Security の Blackfish 認証情報防御システムは、犯罪者による盗まれたユーザー名とパスワードの使用をリアルタイムで検出するように設計されています。
この技術は、盗まれたパスワードの悪用やアカウント乗っ取りの試みを、盗まれた認証情報がダークウェブ上で売りに出されるずっと前に組織が特定するためのメカニズムです。
サイバー犯罪者は、第三者のウェブサイトで盗まれたパスワードや漏洩したパスワードをテストするプロセスを定期的に自動化しています。
例えば、オンラインテイクアウト会社Deliverooの顧客は、クレデンシャルスタッフィング攻撃によってアカウントを乗っ取られ、注文していない食品の代金を請求されました。同じ手口を使った別の攻撃では、以前の侵害で使用されたパスワードとメールアドレスが悪用され、英国国営宝くじのオンラインアカウント2万6000件にアクセスされました。Grouponは、一部の英国顧客のアカウントで不正な購入が行われた原因は、他のサイトからのパスワード漏洩にあると主張しました。
クレデンシャルスタッフィングが機能するのは、多くのユーザーが複数のサイトで同じログイン情報を使い回しているからです。これは深刻なセキュリティリスクであり、データ侵害の件数が増加するにつれて、ますます深刻化しています。
Shape Security のネットワーク データによると、小売業などの多くの業界では、Web サイトへのログイン試行の 90% 以上が、正規のユーザーではなく、クレデンシャル スタッフィング攻撃によるものであることがわかっています。
Shape Securityの顧客基盤には、上位4行のうち3行、上位5航空会社のうち4社、上位5ホテルチェーンのうち2社、そして米国政府機関上位5社のうち2社が含まれています。同社は、顧客間でブルートフォース攻撃に関するアラートをクラウドソーシングすることで、効果的な早期警戒システムを構築していると主張しています。
GoogleのCTOで元クリック詐欺対策責任者のシュマン・ゴセマジュムダー氏は、 El Reg紙に次のように語った。「サイバー犯罪組織は企業であり、ROI(投資収益率)を求めています。ですから、小規模なウェブサイトをクレデンシャル・スタッフィング攻撃で狙うのは理にかなっていません。過去5年間、Shapeは大手銀行、航空会社、小売業者、その他サイバー犯罪者が盗んだ認証情報を使ってアカウントを乗っ取る業界のログインシステムを保護する技術を開発・導入してきました。」
「したがって、この場合、サイバー犯罪活動は市場の上位層に集中しているため、攻撃データに関連する『ロングテール』はあまり存在しません。」
Shape SecurityのBlackfish認証情報防御システム
Facebook、Twitterなどの企業は、ユーザー保護のため、数年前からダークウェブを調査し、盗難された認証情報のリストを入手してきました。「これは役立つこともありますが、その有用性には限界があります」とゴセマジュムダー氏は述べています。「ダークネットから入手した盗難認証情報のリストは、最近盗まれた認証情報と比べると価値がはるかに低い傾向があり、高度なサイバー犯罪者はまず、Shapeが保護しているような大手消費者向けサイトに対してこれらの情報を使用します。」
Shapeの認証情報防御技術は、盗まれたデータをサイバー犯罪者にとって無価値なものにすることで、クレデンシャル・スタッフィング攻撃を根絶することを最終目標としています。しかし、セキュリティ専門家の初期反応は賛否両論です。
PasswordsConの創設者であるPer Thorsheim氏は次のようにコメントしています。「彼らは、サイトやサービスで実際に使用されているパスワードを収集し、顧客に提供することで、それらのパスワードを使用しているアカウントを見つけて無効化(変更)できるようにしたいと考えています。興味深いアイデアですが、セキュリティとユーザーエクスペリエンスの両面で疑問があります。これはオンラインサービスです。オンラインでない場合はどうなるのでしょうか?」
侵害通知サービス「haveibeenpwned」のセキュリティ研究者トロイ・ハント氏は、Shapeのマーケティング資料だけではサービスの有用性についてコメントするのは難しいと述べた。
NISTデジタルアイデンティティガイドラインの共著者であるサラ・スクワイア氏は、より楽観的な見方を示しました。「6月に、米国国立標準技術研究所(NIST)は、すべての企業に対し、ユーザーの認証情報を漏洩したパスワードコーパスと照合するよう勧告しました。Shapeは、企業が漏洩をタイムリーに自己開示する必要なく、実際に悪用されている漏洩コーパスと相互参照できるようにすることで、さらに一歩前進しました。」®
