漏洩した認証情報が他に及ぼす影響
ユーザーが組織のリスクを増幅させる場面
資格情報漏洩のリスク
ある調査によると、調査対象となった従業員の44%が、個人用と仕事用の両方のアカウントで同じログイン資格情報を使用していることがわかりました。
組織が単純なユーザー名とパスワードの組み合わせでシステムやデータを保護している場合、攻撃者は容易(かつ迅速)に侵入することができます。同様に、辞書に載っている単語をパスワードとして使用する、漏洩したパスワードを変更しないなど、ユーザーが適切な衛生管理を実践していない場合、攻撃のリスクが高まります。
保護されたシステムやアカウントに侵入するために使用される最も一般的な方法の1つとして、クレデンシャルスタッフィング攻撃があります。この攻撃では、漏洩した資格情報(他��の組織で発生したデータ漏洩で流出したユーザー名とパスワード)を使って組織のログインエンドポイントにスパムを仕掛け、アクセスを得るとさらに悪質な活動を行います。
多くの場合、盗まれた資格情報のリストはダークウェブで売買され、多くの組織への侵入を試みるために使用されます。このように盗まれたデータを使った侵害の成功率は低いものの、攻撃者がアクセスできる資格情報が大量であることや、ユーザーが複数のアカウントで資格情報を使いまわす傾向があること、侵害を認識した後に資格情報をすぐに変更しない場合があることなどが、侵害の成功を招いています。
つまり、大規模な総当たりパスワード攻撃において、Cloudflareは公開された資格情報を使用したHTTPリクエストを1分あたり12,000件以上の割合で観測していることになります。たとえそのうち成功するのが数パーセントだとしても、ひとたび攻撃者が突破すれば、組織に深刻なダメージを与える可能性があります。
クレデンシャルスタッフィング攻撃は大量かつ頻繁に試みられるため、これを防御するには、不正なログイン要求をブロックし、強固な認証要件を実施し、侵入時のラテラルムーブメントを最小限に抑えることができる、プロアクティブで多層的なセキュリティ戦略が必要です。
クレデン��シャルスタッフィングがいまだに成功する理由
クレデンシャルスタッフィングに成功すると、アカウントが乗っ取られ、攻撃者はユーザーのアカウントを完全に制御できるようになり、機密データを盗んだり、内部システムを侵害したり、より大規模な攻撃を実行したりできるようになります。
スポーツベッティング会社のDraftKingsは、盗まれた資格情報を使ってシステムにアクセスされ、67,000人以上のユーザーの個人データの安全性が損なわれるという、重大なクレデンシャルスタッフィング攻撃を受けました。
このデータには、住所、メールアドレス、電話番号、口座残高情報、支払いカードの一部情報、およびその他の機密情報が含まれていましたが、侵害の全容は明らかになっていませんでした。その結果、攻撃者は複数のユーザーアカウントから約30万ドルを引き出すことに成功しました。
このような攻撃を受けて、安全性が損なわれたアカウントのパスワードをすぐに変更するユーザーもいるでしょう。しかし、他の多くのユーザーは、複数のシステムでパスワードを使いまわし続けたり、侵入後も同じパスワードを使い続けたり、より安全性の低いものに変更したりしています。カーネギーメロン大学の調査では、パスワードの変更を行ったのは、侵入されたドメインにアカウントを持つユーザーの3人に1人に留まりました。
また、既知のデータ漏洩インシデントの件数は多く(2022年だけで7億件以上の資格情報が盗まれた)、十分な資金力を持つ攻撃者は、簡単に盗まれたユーザー資格情報を購入することができます。
攻撃者が正規のユーザーアカウントの資格情報を解読すると、その組み合わせを使用して複数の組織を標的にすることができます。たとえば、従業員の勤務先情報が漏洩し、ダークウェブ上で販売された場合、攻撃者はその情報を使用して、人気のバンキングアプリケーションやその他の価値の高い標的を狙う可能性があります。被害者が複数のプラットフォームにアクセスするために同じパスワードを使用している場合、さらなる損失が発生する恐れがあります。
安全なアクセスの負担
クレデンシャルスタッフィングやアカウント乗っ取りから身を守るための、安全なアクセスの負担は個人ユーザーと組織の両方にのしかかります。パスワードの衛生管理を徹底することは重要ですが、他のセキュリティ対策が整っていなければ、それだけでは攻撃を防ぐことはできません。
たとえば、単一要素認証(例:ユーザー名/パスワードのみを要求する)に頼っている組織は、攻撃者が保護されたアカウントやシステムに侵入するために、1つの攻撃形式を実行するだけでよいため、ユーザーを意図せずアカウント乗っ取りの危険にさらす恐れがあります。
これとは対照的に、ユーザー名とパスワードの組み合わせだけでなく、一意の物理トークンを要求するなど、多要素認証を実施し、ユーザーに定期的なパスワードの更新を義務付け、Zero Trustセキュリティ対策を実施している組織は、クレデンシャルスタッフィングの試みを防げる可能性がはるかに高くなります。
防御策の実施
クレデンシャルスタッフィングを防止しようとする組織の試みは、いくつかの要因によって複雑化しています。このような攻撃は、他社から盗まれたデータやダークウェブで購入されたデータによるため、企業はユーザーが漏洩した資格情報を使いまわしていることに気付かないことがあります。さらに、攻撃者は、悪意のあるボットを使用してログインエンドポイントにリクエストを送信するクレデンシャルスタッフィングソフトウェアを使用して、しばしば攻撃を自動化します。
しか��しながら、ユーザーとデータを保護するために組織が取るべき戦略はいくつかあります。
MFA必須
クレデンシャルスタッフィングに対する最善の防御策は、プロアクティブな方策です。保護されたシステムやデータにアクセスするために、ユーザーに複数の身分証明書の提示を義務付けることで、企業は、ユーザーが流出した資格情報を使いまわしている可能性があっても、侵害が成功する可能性を最小限に抑えることができます。さらにセキュリティ体制を強化するために、定期的にパスワードのリセットを要求したり、ユーザーパスワードの長さや文字を指定したりすることもできます。
流出した資格情報を使用するリクエストのブロック
クレデンシャルスタッフィングツールは、ログインの試行を正当なものとして偽装することができますが、組織はwebアプリケーションファイアウォール(WAF)のルールセットを設定することで、一般に公開されている盗難資格情報のデータベースとこれらのリクエストを照合することができます。一致した場合、ユーザーには対話型の質問が提示されるか、リクエストは自動的に拒否されます。
Zero Trustセキュリティの導入
Zero Trustは、組織のネットワークの内外に脅威が存在することを想定した最新のセキュリティモデルで、すべてのユーザー、デバイス、リクエストを継続的に検証します。Zero Trustは、最小権限アクセス(すなわち、ユーザーが機密データに触れる機会を最小限に抑えること)を強制し、デバイスのIDと権限を検証し、ユーザーIDを繰り返し検証することで、MFAをさらに強化します。これらの対策を組み合わせることで、侵入を防ぎ、ラテラルムーブメントの機会を減らし、侵入が成功した場合でも影響を軽減することができます。
クレデンシャルスタッフィングの防止
Cloudflareは、強力なグローバルネットワーク(320都市、120か国以上)を基盤としており、現在の攻撃パターンや新たな攻撃パターンに対する比類ない知見を持っています。これにより、自動化された攻撃や標的型攻撃の両方からお客様を守ることができます。
Cloudflare Zero Trustは、企業が不正なリクエストからログインエンドポイントを保護するための厳格なアクセス要件を実装する上で役立ちます。さらに、Cloudflareを使用して、失敗したログイン試行をレート制限し、悪質なボット動作を特定してブロックし、カ��スタムファイアウォールルールによって悪意のあるソースからのアクセス試行をフィルタリングすることで、企業はクレデンシャルスタッフィングに対する脆弱性を軽減することができます。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
このトピックを深く掘りさげてみましょう。
Cloudflareがどのようにクレデンシャルスタッフィングやその他の新たな脅威から組織を守るのか、State of application security(アプリケーションセキュリティの現状)ホワイトペーパーをご覧ください。
記事の要点
この記事を読めば、以下が理解できます。
クレデンシャルスタッフィング攻撃がアカウント乗っ取りにつながる仕組み
MFAだけではクレデンシャルスタッフィングを阻止できない理由
帯域幅消費型攻撃から組織を守る戦略