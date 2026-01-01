アカウント乗っ取り（ATO）攻撃の目的は、詐欺的取引の完了や個人特定情報（PII）の入手、あるいはさらなる攻撃のために、正規ユーザーのオンラインアカウントの支配権を手に入れることです。アカウント乗っ取り攻撃では、オンラインアカウントへのアクセス権を盗み取ろうと、クレデンシャルスタッフィングやフィッシングなどさまざまな手法が使われます。
アカウント乗っ取り攻撃は、総当たりでユーザーアカウントへのアクセスを得ようとするかもしれません。ログイン試行の回数を制限することにより、そうした攻撃が成功する前に阻止できます。
ボットによるクレデンシャルスタッフィング攻撃では、盗まれたクレデンシャルを使ってアカウントへのアクセス試行が行われます。悪性のボットアクティビティを阻止することにより、アカウント乗っ取りを防げます。
ATO攻撃は多くの場合、既知の悪性IPアドレスから仕掛けられます。SQLインジェクションなどのアプリケーション層攻撃でアクセスしようとする場合もあります。そうしたリクエストは、WAFルールでブロックできます。
多要素認証（MFA）の使用を強制する、送信元にかかわらずすべてのリクエストを検証するなど、ゼロトラストの枠組みを使用すれば、アカウント乗っ取り攻撃の防止に役立ちます。