資格情報スタッフィング攻撃の説明(およびそれらを防ぐ方法)

更新日:2022-04-25 /記事:Gene Fay
資格情報スタッフィング攻撃のしくみ

クレデンシャルスタッフィング攻撃を防ぐ方法を知るための鍵は、それらが何であるか、どのように実行されるか、そしてどのようにできるかを理解することです。 ビジネスとデータに影響を与える.

簡単に言えば、クレデンシャルスタッフィング攻撃は、盗まれたユーザー名とパスワードの自動照合であり、犯罪者が有効なログインクレデンシャルの組み合わせを見つけるために使用できます。 このアプローチはアカウント乗っ取り攻撃を促進し、通常はそれらに先行する傾向があります。 犯罪者は、アカウントを乗っ取って自分の目的に使用する前に、まずアカウントにアクセスする必要があります。

資格情報の詰め込み攻撃は、すべてのオンライン攻撃タイプのかなりの割合を占めています。実際、 すべてのデジタルトラフィックのほぼ5% これらの攻撃に関連しています。

クレデンシャルスタッフィング攻撃の最近の増加は、定期的なデータ侵害による消費者の個人情報の継続的な、場合によっては非常に収益性の高い盗難によるものです。 オンラインアカウント全体でパスワードを再利用およびリサイクルする消費者は、特に危険にさらされています。

基本的に、これは、攻撃者が複数のオンラインアカウントでXNUMX人のユーザーが使用している単一の有効なユーザー名とパスワードの組み合わせにアクセスできる場合、これらのアカウントはすべて簡単に、比較的短い時間枠で侵害される可能性があることを意味します。

資格情報スタッフィング攻撃はどのように機能しますか?

クレデンシャルスタッフィング攻撃には、次のXNUMXつの主要なフェーズがあります。

  1. データハーベスティング
  2. クレデンシャルマッチング
  3. 攻撃の現金化

攻撃者は多くの場合、ボットを使用して資格情報の検証プロセスを自動化し、ユーザー名とパスワードの有効な組み合わせを見つけます。 これらの強力なボットは、何千ものパスワードをユーザー名と照合して、デジタルアカウントへの不要なアクセスを取得するために使用できる有効な組み合わせを見つけることができます。 このアプローチにより、攻撃者は、企業や個人にかなりの損害を与えながら、努力を拡大してROIを向上させることができます。

資格情報スタッフィング攻撃はどのくらい一般的ですか?

これらのデジタル攻撃は非常に一般的であり、幅広い業界やオンラインドメインで蔓延しています。 時には、人間ではなく自動化されたボットによって実行されることもあります。 人工知能機能を備えた高度なボットは、攻撃者が簡単かつ容易に利用でき、攻撃者はサポートサービスにアクセスして攻撃を支援することもできます。 このテクノロジーにより、攻撃者はボットを使用して大規模な攻撃を簡単に実行でき、コストを最小限に抑えることができます。

多くの攻撃者は、基本的な不正防御技術についても知っており、この知識を使用して、技術システムを迂回して悪用して利益を得ることができます。 ネットワークに侵入すると、ボットを使用して内部を探索し、個人データを盗み、企業の運用とセキュリティシステムを混乱させる可能性があります。

統計を理解する

無料のデータ侵害通知プラットフォーム HaveIBeenPwnd.com 8.5を超えるデータ侵害イベントから400億を超える侵害された資格情報を追跡します。 このサービスは、一般に公開されているか、地下プラットフォームを使用して広く配布されているデータセットからの資格情報のみを追跡します。 多くのデータベースダンプはプライベートであり、小さなハッキンググループだけがそれらにアクセスできます。

クレデンシャルスタッフィング攻撃は、盗まれたクレデンシャルの販売と攻撃者の取り組みを支援するカスタムサポートツールを中心とした完全なアンダーグラウンドエコノミーによってサポートされています。 これらのツールは、リークされたデータセットで見つかったハッシュパスワードが解読された後、さまざまなデータセットから照合される「コンボリスト」を使用します。 基本的に、資格情報の詰め込み攻撃を開始するには、専門的な知識やスキルは必要ありません。 必要なデータとツールを購入するのに十分なお金を持っている人は誰でも攻撃を実行できます。

資格情報の詰め込み攻撃は費用効果が高く、アカウントの乗っ取り200万件あたりわずか100,000ドルです(source).

セキュリティおよびコンテンツ配信会社のアカマイは、193年だけで世界規模で2020億の信用情報スタッフィング攻撃を発見しました。 この番号は 360年の数字より2019%増加。 この増加の一部は、より多くの顧客のより広範な監視に起因する可能性があります。 金融サービス業界などの一部の業界は、特に頻繁に標的にされました。 アカマイの2021年2020月のレポートでは、これらの攻撃の量が急増したことを挙げています。これには、XNUMX年後半のXNUMX日で、XNUMX億を超える攻撃が開始されたことが含まれます。

攻撃を見つける方法

資格情報の詰め込み攻撃は、自動化されたツールとボットネットを介して開始されます。これにより、不正な要求を多数の異なるIPアドレスに分散するプロキシを使用できるようになります。 また、攻撃者は、本物のユーザーエージェント(Webリクエストを構成するオペレーティングシステムとブラウザーを識別するヘッダー)を模倣するように、選択したツールを構成することもよくあります。

これはすべて、攻撃と実際のログイン試行を区別することを困難にします。 特に、トラフィックの多いWebサイトでは、ログイン要求の突然の波が通常のログイン動作から目立たなくなります。 とはいえ、短期間のログイン失敗率の増加は、Webサイトに対して資格情報の詰め込み攻撃が開始されたことを示している可能性があります。

疑わしいログイン動作を検出するために高度な動作診断を使用する多くのWebアプリケーションファイアウォールおよび同様のサービスがあります。 プラス、 ウェブサイトの所有者は自分で対策を講じることができます 将来の攻撃を防ぐため。

続きを読む

資格情報の詰め込み攻撃を防ぐ方法

あなたはロボットですか?

資格情報の詰め込み攻撃は、今日のインターネットユーザーのデジタルアカウントに対する最も重大な脅威のXNUMXつであり、これは企業にも当てはまります。 組織、中小企業、およびその間のすべての人は、個人データと組織データの安全を確保するために、これらの脅威に対する保護対策を講じる必要があります。

最も人気のあるもの クレデンシャルスタッフィング防止 テクニックは次のとおりです。

  • キャプチャ
    CAPTCHAは、他のボットによる攻撃を防ぐために使用される一般的なボットの一種です。 インターネットユーザーは、ログイン時にパズルを解いて、人間であることを確認する必要があります。 CAPTCHAは、画像、テキスト、音声、数学的合計など、さまざまなバージョンで利用できます。
  • 行動生体認証ログイン
    一部の企業は、脅威を検出するために、一般的なユーザーの行動とWebトラフィックのパターンを分析することに頼っています。 彼らはこのデータを使用して、システムの異常な動作や悪用の可能性を見つけることができます。
  • IPアドレスのブロック
    多くの企業が疑わしい活動のためにIPアドレスをブロックしており、他の企業は、レビューと検証ができるまで疑わしい要求を隔離することを選択しています。
  • 二要素および多要素認証
    2FAとMFAは、ユーザーだけが知っているかアクセスできる必要がある追加情報を使用して、セキュリティと認証の追加レイヤーを提供します。 この認証は、XNUMX回限りのPIN、SMS、セキュリティの質問、または指紋や顔のスキャンなどの生体認証の読み取りの形式で行うことができます。
  • デバイスインテリジェンスとフィンガープリント
    デバイスインテリジェンスは、オペレーティングシステム、IPアドレス、ブラウザの種類などのデータで構成されています。 このデータは、特定のデバイスにリンクできる一意のIDを作成するのに役立ちます。 この典型的なデータからの逸脱は、疑わしい行動にフラグを立て、企業や人々が積極的に行動し、より多くの認証手段を導入することを可能にします。
  • パスワードとセキュリティの衛生
    パスワードの衛生管理は、スタッフメンバー向けのすべての企業のセキュリティ意識向上トレーニングの一部である必要があります。 パスワードの再利用は、資格情報の詰め込み攻撃の主な要因であるため、企業はこの慣行を阻止し、職場と個人の両方で強力で一意のパスワードを使用することがいかに重要であるかをスタッフに確実に知らせる必要があります。
    Webユーザーは使用できます 安全なパスワードマネージャー 所有しているすべてのオンラインアカウントに対して、複雑で予測不可能なパスワードを生成します。 パスワードマネージャーはこれらのパスワードを自動的に保存し、ユーザーの電子メールアドレスが公開データダンプに表示された場合はユーザーに通知することもあります。

一部の大企業は、影響を受ける電子メールアドレスが自社のシステムにも存在するかどうかを確認するために、公開データダンプを分析および監視することにより、積極的な対策を講じ始めています。 サーバー上で見つかったアカウントの場合、パスワードをリセットする必要があり、データがすでに侵害されている可能性のある消費者を保護するために多要素認証を有効にすることを提案します。

これらの予防策はどの程度効果的ですか?

多くの企業は、上記の防御方法の100つまたはいくつかを使用して、資格情報の詰め込み攻撃から自社とデータを保護しています。 ただし、これらのアプローチはXNUMX%効果的ではありません。 それらは、進化する攻撃に対する継続的な保護を提供するのに部分的にしか効果がないことを証明する欠点を提示します。

これらの予防策は統合の課題を提起し、技術コストを増加させますが、リスクの決定を複雑にし、不正防止の取り組みをさらに妨げる可能性があります。 たとえば、多要素認証は、実装にコストがかかるだけでなく、SMSやOTPが遅延または失われる傾向があります。

同様に、行動の変化に基づいてIPアドレスをブロックすると、企業が無意識のうちに正当な顧客やリードをブロックする可能性があります。 今日のほとんどのユーザーは多くのデバイスとブラウザをインストールしているため、デバイスインテリジェンスをスタンドアロンのセキュリティソリューションとして使用することはできません。 CAPTCHAは、絶えず変化するボットテクノロジーに遅れをとっています。 攻撃を止めずにインターネットユーザーを不必要に妨害することが多いため、急速に効果がなくなりつつあります。

要点:抑止力が鍵

クレデンシャルスタッフィング攻撃の問題が増大する脅威である時代において、あらゆる規模の企業は、拡大する修復コストと実行可能なROIを生み出す効果的なセキュリティ対策とのバランスを取るために戦います。 これらの攻撃は、攻撃者にとって非常に手頃な価格です。 しかし、彼らは経済的損失と評判の低下の下でビジネスを不自由にする可能性があります。

つまり、資格情報の詰め込み攻撃を軽減するだけでは、企業を危害から守るには不十分な場合があります。 代わりに、データを安全に保つために犯罪者の抑止に焦点を当てる必要があります。 攻撃方法が進化し続ける中で、組織に永続的な保護を提供するには、不正防止への革新的なアプローチが必要です。

前述のAkamaiStateof the Internetレポートによると、資格情報の詰め込み攻撃はどこにも行きません。 それらを完全に停止することはできないため、企業は、一致するユーザー名とパスワードを取得するプロセスを可能な限り困難にすることを目指す必要があります。 パスワードの再利用を減らし、強力なパスワードの作成を奨励​​することは、さまざまなセクターの企業が利用できる最も効果的で手頃な抑止力の一部です。

続きを読む

ジーンフェイについて

Gene Fayは、情報技術での成功の実績を持つ経験豊富なハイテクエグゼクティブです。 サイバーセキュリティ、ストレージエリアネットワーク(SAN)、セールス、プロフェッショナルサービス、およびデータセンターに精通している。 ノースイースタン大学-経営管理大学院のハイテクに焦点を当てたMBAを取得した強力な情報技術の専門家。 彼はまた、eXecutive Security Podcastのホストでもあります。このポッドキャストは、個人がセキュリティの分野に参入して成長する方法について、CISOや他のセキュリティリーダーとの会話を特集しています。

接続します。