アカウントの乗っ取りは誰にとっても悪夢のシナリオです。他人があなたの財務や最も機密性の高いデータにアクセスすることは非常にストレスがかかり、あなたの生活全体に影響を及ぼしかねません。誰かがあなたの銀行口座を空にしたり、あなたの名前でクレジットカードを作ったりすることを想像してみてください。
クレデンシャル・スタッフィング攻撃から身を守り、その被害に遭わないようにすることは、人々に課せられた責務である。強力でユニークなパスワードを設定し、データを注意深く監視することは、攻撃から身を守るために不可欠である。
クレデンシャル・スタッフィングとは何か?
クレデンシャル・スタッフィングとは、犯罪者が盗んだユーザー名とパスワード(多くの場合、過去のデータ侵害から収集したもの)を使ってオンライン・アカウントに侵入しようとすることです。多くの人が異なるプラットフォーム間でパスワードを再利用するため、1つのログインで複数のアカウントにアクセスできることが多い。これこそが、hackers 標的としていることなのだ。
サイバー犯罪者は、自動化されたツールや「ボット」を使って、一度に何千ものログインを試み、可能な限り多くのサイトを攻撃する。
これらのボットは 高速で、実際の人間の行動を模倣するようにプログラムされているため、発見やブロックが難しくなっている。たった1つクラックされたアカウントがあるだけで、盗まれたお金や個人情報の盗難につながる可能性がある。
クレデンシャル・スタッフィング攻撃の仕組み
クレデンシャル・スタッフィングとは、盗まれたデータを入手し、それを使って銀行やその他の安全なサイトのアカウントにアクセスしようとすることである。 Hackers個人データを見つけ(または購入し)、ログインを試みるプロセスを自動化してアカウントへのログインを試みます。
データ収集
すべては盗まれたデータから始まる。Hackers パスワードを入手するために、必ずしもサイトに侵入する必要はない。盗まれた認証情報の多くは、ダークウェブ(サイバー犯罪者がハッキングされたデータを売買できるインターネットの隠れた部分)に行き着く。
これらのログイン認証情報は、多くの場合、過去のデータ侵害に由来するもので、自由に取引されたり、大量に販売されたりする。
悪名高い「コレクション#1-5」のように、何十億ものユーザー名とパスワードが含まれているコレクションもある。サイバー犯罪者にとっては金鉱のようなもので、他のプラットフォームで1回一致するだけでいいのだ。
自動ログイン試行
hackers 盗んだ認証情報を隠し持ったら、次のステップはそれをテストすることだ。そこで自動化の出番となる。
攻撃者は、複数のウェブサイトで大規模なログイン試行を行い、盗まれた組み合わせがまだ有効かどうかを確認します。これらのボットは賢く、ヘッドレス・ブラウザ(グラフィカル・ユーザー・インターフェイスを持たず、バックグラウンドで動作し、プログラムで制御されるウェブ・ブラウザ。さらに、ログインの試行間隔に遅延を加えることで、システムを騙して通常のユーザーがログインしていると思わせ、疑念やセキュリティ・プロトコルを回避することさえある。
アカウント買収
認証情報が一致し、ログインが成功すると、hackers 電子メールアカウントなどのアカウントを完全にコントロールできるようになる。
そこから、銀行口座から資金を流出させたり、個人データを盗んだり、あるいは本当の所有者を締め出したりすることもできる。Hackers 、どのアカウントを乗っ取ることができるかによって、異なるアプローチをとる。銀行口座に侵入して空にしてしまわなくても、他の口座にフィッシング・メッセージを送るなど、他の犯罪にメール・アカウント・アクセスを使ってハッキングすることは可能です。また、侵害されたアカウントを他の犯罪者に売ることもある。要するに、たった一度のログイン成功が、ユーザーを混乱に陥れるのだ。
クレデンシャル・スタッフィング vs ブルートフォース vs パスワード・スプレーイング
これら3つの攻撃タイプはすべてパスワードを狙うが、その方法は異なる。
クレデンシャル・スタッフィング
クレデンシャル・スタッフィングは、過去に盗まれた本物のパスワードに依存している。Hackers 推測しているのではなく、既存のデータを使っているのだ。攻撃が成功するかどうかは、どれだけの人がプラットフォーム間でパスワードを再利用しているかにかかっている。
ブルートフォース攻撃
ブルートフォースは推測ゲームのようなものだ。攻撃者は、ランダムなパスワードの組み合わせを、最終的に1つが機能するまで何度も何度も試す。これは自動化されているが、通常は同じIPアドレスから何度も試行錯誤が繰り返されるため、発見が容易で遅い方法である。
パスワード噴霧
パスワード・スプレッディングは、ブルート・フォースとクレデンシャル・スタッフィングをミックスしたものである。Hackers "password123 "や "123456 "のような一般的なパスワードを、コレクション#1で見つけたような多数のアカウントで試す。この方法は、1つのアカウントで繰り返し失敗した試みにフラグを立てる検知システムを回避するため、卑劣です。
クレデンシャル・スタッフィングが脅威となる理由
クレデンシャル・スタッフィングが悪化している。その理由の1つは、盗まれたクレデンシャルがオンライン上に大量に出回っていることである。先に述べたようなコレクションは、攻撃者がシステムをテストし、餌とするための潜在的なログイン情報を無限に供給することになる。人々がパスワードを再利用し続ける限り、リスクは高いままだ。
もうひとつの問題は、こうした攻撃の背後にあるテクノロジーだ。ボットはさらに進化している。
ヘッドレス・ブラウザのようなツールを使えば、実際のユーザーと同じように振る舞うことができ、IPスプーフィングを使えば検知システムをかわすことができる。プラグインを統合し、ブラウザーをカスタマイズすることで、攻撃者はユーザーの行動を模倣するよう微調整することができる。ボットの中には、CAPTCHAの課題を解いたり、マウスの動きを真似たりするものもある。これに対抗するため、ウェブサイトはユーザーのブラウザ、デバイスの種類、行動パターンを追跡するデバイス・フィンガープリンティングを使用して、疑わしいログインを検出し、自動化された攻撃をブロックすることができる。
その上、オンラインアカウントの数は爆発的に増えている。ほとんどの人が何十ものログインを持っている。つまり、攻撃者が運試しをするターゲットが増え、認証情報が盗まれる可能性のある場所が増えたということだ。
パスワードの習慣が脅威に追いついていない。多くの人はいまだに、単純で推測しやすいパスワードや、複数のサイトで同じパスワードを使っている。ある調査によると、84%のユーザーがオンライン・アカウントに危険なパスワードを使用している。たった一度の侵害で、突然 hackerハッカーは電子メールから金融口座まで、あらゆるものにアクセスできるようになる。
クレデンシャル・スタッフィング攻撃の実例
クレデンシャル・スタッフィングは単なる理論上の脅威ではない。それはすでに、さまざまな業界の大手企業に混乱を引き起こしている。
有名な例としては、HSBC銀行があり、攻撃者は盗んだログインを使って顧客口座にアクセスした。この侵害により、財務データへの不正アクセスが可能となり、同社は事態の収拾の間、オンライン・ログイン・プロセス全体を停止せざるを得なくなった。14,000人もの顧客が影響を受けた。
Redditで、クレデンシャル・スタッフィング攻撃が相次ぎ、ユーザーが突然アカウントからロックアウトされた。Redditでは、アカウントにアクセスできる場合、パスワードをリセットするようユーザーに求めなければならなかった。
もう一つの重要なケースはTurboTaxによるもので、攻撃者は2019年の攻撃で盗んだ認証情報を使って税務情報にアクセスした。これはユーザー名とパスワードだけの問題ではなく、いったん内部に侵入すると、犯罪者は社会保障番号やその他の機密個人データにアクセスすることができた。
任天堂はまた、数千のニンテンドーネットワークIDアカウントが侵害される大規模な侵害を経験した。攻撃者は再利用された認証情報を使ってアカウントに侵入することに成功し、不正購入やゲーマーのプライバシーへの懸念につながった。侵害されたアカウントは30万件にのぼる。
クレデンシャル・スタッフィングの影響
クレデンシャル・スタッフィング攻撃は、いくつかの大きな問題につながる可能性がある。被害者がアカウントからロックアウトされ、金銭が直接盗まれたり、被害者の情報を使ってクレジットカードを申し込むなどの不正な方法で盗まれたりする可能性がある。
財務上の損失
クレデンシャル・スタッフィング攻撃の最も直接的で目に見える影響の1つは、金銭的な被害です。いったん攻撃者が支払い口座や銀行口座にアクセスすると、資金が消え始めるのに時間はかかりません。
被害者は、銀行やカード・プロバイダーと何週間もやり取りをすることになる。これは計り知れないストレスとなる。
Identity 盗難
金銭だけでなく、クレデンシャル・スタッフィングはさらに危険なもの、つまりID窃盗への扉を開く。
攻撃者が十分な個人情報を手に入れることができれば、他人になりすますことができる。新しい口座を申請したり、他人の名前を使って詐欺やその他の犯罪を犯すことさえある。ID窃盗の被害は何年も尾を引き、完全に解決するには長い時間がかかることが多い。
Privacy 侵害
パーソナルスペースの問題もある。攻撃者がアカウントに侵入すると、数字やパスワードを見られるだけでなく、プライベートな詳細情報にもアクセスされる。プライベートな写真や個人データなどが流出する可能性がある。これは深刻なプライバシーの侵害だ。誰かが許可なく会話やファイルを閲覧できるという考えは、関係者にとって不穏で不安なものです。
ユーザーがクレデンシャル・スタッフィングから身を守る方法
ユーザーは、健全なパスワードや、二要素認証や多要素認証のような他の方法を含め、クレデンシャル・スタッフィングから強力に保護する必要がある。
VPN (バーチャル・プライベート・ネットワーク)を使えば、あなたのIPアドレスをマスキングしてセキュリティのレイヤーを増やすことができ、hackers あなたのオンライン活動を追跡したり、クレデンシャル・スタッフィング攻撃で標的にしたりすることが難しくなります。サイトやサービスごとに固有のパスワードを使うのは面倒に聞こえるかもしれませんが、パスワード・マネージャーを使えば簡単です。
2FAは多くのオンライン・アカウントでも可能です。できる限りどこでも使ってください。たとえ誰かがパスワードを盗むことに成功したとしても、2FAがさらに壁を作ります。通常、電話やEメールに送信されるコードを入力することで、攻撃者が気づかれずに侵入することが難しくなります(すでにEメールアカウントに侵入されている場合を除く)。
また、情報収集にも役立ちます。デジタルフットプリントスキャナーは、Dark Web モニタリングなどを提供し、既知のデータ漏洩で電子メールや認証情報が漏洩していないかどうかを確認することができます。脅威を先取りし、パスワードを更新するタイミングを知るための便利な方法であり、メールアドレスを検索し、リークに登場する場所を確認するのも簡単だ。