クレデンシャル・スタッフィング: クレデンシャルスタッフィングとは何か?そしてそれを止めるには?

クレデンシャル・スタッフィングとは?

クレデンシャル・スタッフィングとは、アカウント乗っ取り攻撃の一部で、ボットを配備し、一致するユーザー名とパスワードの組み合わせが見つかるまで、常にさまざまな組み合わせを大規模に試行するものです。長年のデータ漏洩により個人情報が流出し、この情報をオンライン詐欺師が容易に購入できるようになったため、クレデンシャル・スタッフィングはアカウント乗っ取り(ATO)攻撃を行う上で重要な役割を担っています。

クレデンシャル・スタッフィングは、ネット詐欺の成功に不可欠な要素となっており、これを阻止することは非常に重要です。詐欺師は、自動化されたスクリプトを使用して、有効な認証情報をログインフォームに大量に入力するなどして、クレデンシャルスタッフィングを実行します。また、このような攻撃を仕掛けるために、人間の労働力を利用します。人を使うことで自動化の兆候を探す防御策を回避したり、価値の高いアカウントに対して自ら攻撃を行うことさえ可能になります。

クレデンシャル・スタッフィングによってアカウントの侵害に成功すると、攻撃者は、単にアカウントから金銭や情報を盗むだけでなく、フィッシングやスパムメッセージの送信など下流の詐欺に利用したり、盗んだお金を洗浄したり、有効な認証情報をそれ自身のリストとして転売するなど、幅広いオプションを持つことになります。

クレデンシャルスタッフィング攻撃の手順とは?

credential stuffing

クレデンシャルスタッフィング攻撃の仕組み

クレデンシャルスタッフィング攻撃には、主に3つのステップがあります。

データハーベスティング

攻撃者は、クレデンシャル・スタッフィング攻撃を行う前に、まず、有効な電子メール、ユーザー名、パスワードのリストを入手します。このリストはさまざまなデータ侵害から入手したデータをもとに、ダークウェブやパブリックウェブでも容易に入手することができます。 このようなクレデンシャルはフィッシング、マルウェア、ソーシャルエンジニアリングなどの手法により盗まれている可能性があります。

アカウントの検証

データを取得した後、攻撃者はクレデンシャル・スタッフィングという手法で正しい組み合わせを見つけ出し、アカウントにアクセスします。ボットを使って盗んだクレデンシャルのリストをツールに入力し、プロキシを設定し、ターゲットを定義して、攻撃を開始するだけです。先に述べたように、より巧妙な攻撃には人の労働力を使うか、攻撃者が自ら攻撃を行うこともあります。

攻撃の収益化

これは、オンライン詐欺師がお金を盗んだり、アカウント自体の情報を利用してさらなる攻撃を行うなど、さまざまな方法で攻撃を収益化します。また、攻撃者は、クレデンシャル・スタッフィング攻撃によって正しいユーザー名とパスワードの組み合わせが判明した後、これらの有効なクレデンシャルリストを再販することもできます。この攻撃は、特定のウェブサイトに対して検証されたクレデンシャルリストを抽出するのに役立ち、その後、ダークウェブ上で転売することができます。

なぜクレデンシャルスタッフィング攻撃が増加しているのか?

簡単に言えば、ウェブ上で購入できるユーザー名、電子メール、パスワードは非常に多く、攻撃者はそれらを簡単に入手することができるからです。クレデンシャル・スタッフィング攻撃を行うには、データを自動プログラムに入力するだけで良いのです。最小限の労力と費用で、攻撃者は数千、あるいは数百万の組み合わせを数分でテストし、大規模なクレデンシャルスタッフィング攻撃を仕掛けることができます。

簡単に入手できるデータと、安価で使いやすいボットの組み合わせは、クレデンシャル・スタッフィング攻撃を行うのに最適な環境を作り出しているのです。FBIによると、2017年から2020年にかけての金融分野への全攻撃のうち、なんと41%がクレデンシャル・スタッフィングによるもので、数百万ドルの盗難に遭っているとのことです。FBIはさらに、消費者が同じログイン認証情報を継続的に使用することで、この状況が悪化すると指摘しています。

"2020年9月のメモによると、「顧客や従業員が複数のオンラインアカウントで同じメールとパスワードの組み合わせを使用すると、サイバー犯罪者は盗んだ認証情報を使ってさまざまなサイトへのログインを試みる機会にその組み合わせを利用することができる」と書かれています。データ分析会社が行った2020年の調査によると、回答者の60%近くが、複数のアカウントでパスワードを使い回している、と回答しています。"攻撃者がアカウントの侵害に成功すると、クレジットカードやポイントプログラムの悪用、なりすまし詐欺、振込や請求書払いなどの不正取引の送信により、攻撃を収益化します。"

これらの要因が重なり、クレデンシャル・スタッフィング攻撃が頻繁に行われ、しばしば成功するシナリオが出来上がっているのです。

現行の不正アクセスへの防衛手法の限界

明らかに、IDに基づく不正検知の取り組みは、もはや時代遅れとなってしまっています。なぜなら、攻撃者は正規ユーザーのログイン認証情報を簡単に入手し、それを使って自分自身が正規ユーザーであるかのように見せかけることができるだけでなく、自分の本当の居場所や意図をかなり簡単に隠すことができるからです。IPスプーフィング、デバイスの難読化、その他多くの手口が使われます。

データドリブンなリスク判定エンジンの多くは、「信頼」か「不信」か、という両極端で明確なシグナルで正規ユーザーを探すという極端な方向に向いています。そのため、デジタルIDが破損し、意図を偽ることができるという詐欺の新しい現実への対応に苦慮しています。

credential stuffing

正規ユーザーの予測不可能な行動や、盗んだ個人情報を利用した詐欺師の高度ななりすましやクローキング技術により、ますますグレーな領域が広がっています。正規ユーザーにとって、正当な理由であっても、ある要素が欠けてしまうと、不正防止モデル全体の歯車が狂ってしまうのです。詐欺師は、このような詐欺防止システムの仕組みを理解し、その知識を直接、攻撃する企業に対して利用するのです。このようなシナリオでは、パワーバランスは残念ながら悪者側に有利になっているのです。

ターゲットフリクションでよりスマートな認証を実現

credential stuffing

企業は、もはやイタチごっこのゲームを常に行うのではなく、詐欺を混乱させ、これらの大規模な攻撃に歯止めをかけるための長期的なアプローチが必要なのです。そこでアーコスラボは、リスクベースの意思決定とインテリジェントなステップアップ認証を組み合わせ、正規ユーザーのデジタルフットプリントが詐欺師によって改ざんされていないかどうかを明確にします。

リアルタイム解析

アーコスラボのプラットフォームは、トラフィックの高度なリアルタイム分析を行い、不正行為の最も微妙な兆候をも探し出します。しかも、プライバシーとコンプライアンスの頭痛の種となる個人情報を収集することなく行われます。このプラットフォームは、その代わり、行動、デバイス、ネットワークの特性、およびそれらがどのように接続されているかに焦点を当てています。

分類とトリアージ

複数のリスクスコアがあると、アクションが難しくなります。そこでアーコスラボは、リスクプロファイルに基づいてトラフィックを分類し、セグメント化します。トラフィックが正規のものであるか、ボットであるか、人間の搾取工場からのものかに基づいて分類することで、二次スクリーニングの必要性や強制力の種類をシステムに知らせることができる実用的なインテリジェンスを提供します。

チャレンジ&インタラクション

トラフィックの意図を決定論的に理解するためには、二次スクリーニングをリスク評価と対にする必要があります。アーコスラボが個別に提示するクイズ認証は、自動化攻撃を失敗させるために対話型技術を活用して、リスクの高いトラフィックをテストします。また、リスクベースで段階的に表示するクイズで、攻撃者経験する摩擦の量を増やすことで時間をかけさせ、攻撃を断念させることができます。

継続的な学習

アーコスラボのお客様は、リスク評価とチャレンジを組み合わせた不正防止システムのメリットを享受することができます。継続的なフィードバックループを活用し、不正検出率を向上させるとともに、正規ユーザーへのチャレンジ率を低下させることができます。組み込みの機械学習により、高度な異常検知と進化した保護機能を提供し、攻撃を減らすことで社内チームの負担を取り除くことができます。

オンラインサービスを提供する企業には、収益源を守り、顧客の信頼を維持するために、不正行為に対して強固な姿勢が必要です。このマルチステップアプローチは、ビジネスを長期的に保護する包括的な不正防止策を保証します。詳細についてはこちらのデモ依頼からお問合せください。アーコスラボ がユーザーエクスペリエンスに影響を与えることなく不正行為に対抗する方法を詳細にお伝えいたします。

FAQ

クレデンシャルスタッフィングとは、アカウント乗っ取り攻撃の一種で、攻撃者がユーザー名とパスワードの有効な組み合わせが見つかるまで、常に異なる組み合わせを試すというものです。ボットを導入することで、低コストで攻撃の規模を拡大することができます。長年のデータ漏洩により個人情報が流出し、攻撃者が消費者情報を容易に購入できるようになった今、クレデンシャルスタッフィングはアカウント乗っ取り(ATO)攻撃の実行に重要な役割を果たすようになりました。

これは、攻撃者が用いるハッキングの手法から、クレデンシャルスタッフィングと呼ばれています。人々はデジタルアカウントやウェブサイト上でパスワードを再利用するため、盗まれたパスワードを使用して、攻撃者は複数のアカウントのロックを解除することができます。

クレデンシャルスタッフィングでは、長年の情報漏洩により流出した実際の消費者データを利用します。一方、ブルートフォース攻撃では、攻撃者はランダムな文字とパスワード候補を使ってパスワードを推測しようとします。クレデンシャルスタッフィングでは実際のデータを使用するため、有効なクレデンシャルに到達する確率はブルートフォースアタックよりも高くなります。

グローバルブランドがクレデンシャルスタッフィング対策としてアーコスラボを信頼する理由はたくさんあります。ここでは、そのうちの5つをご紹介します。

  1. アーコスラボは、企業が最大100万ドルの損失回復を得ることができる、完全保険のクレデンシャルスタッフィング保証を提供する世界で唯一のベンダーです。
  2. 48時間の修復保証でビジネスリスクを低減することが可能です。
  3. 完全にユーザーセントリックなアプローチを維持しながら、攻撃の迅速な修復を実現しま
  4. 企業のトラフィックを常時監視し、最適化することで、常に万全の保護を実現します。
  5. 企業との緊密な連携により、お客様が自信を持ってクレデンシャルスタッフィング攻撃に立ち向かえるよう支援することにコミットします。