攻撃の解剖学 - 仕組み
クレデンシャルスタッフィング攻撃では、公開されたユーザー名とパスワードのペアの大規模なリストを使用します。 一部のデータ侵害では、資格情報の保存が不適切なため、パスワードデータベース全体が漏洩します。 また、サイバー犯罪者がパスワード推測攻撃によって一部のユーザーのパスワードを解読するケースもあります。 クレデンシャルスタッファーは、 フィッシング や同様の攻撃によってユーザー名やパスワードにアクセスすることもできます。
These lists of usernames and passwords are fed to a botnet, which uses them to try to log onto certain target sites. For example, the credentials breached by a travel website may be checked against a large banking institution. If any users reused the same credentials across both sites, then the attackers may be able to successfully log into their accounts.
After identifying valid username/password pairs, the cybercriminals may use them for a variety of different purposes, depending on the account in question. Some credentials may provide access to corporate environments and systems, while others may allow attackers to make purchases using the account owner’s bank account. A credential stuffing group may take advantage of this access themselves or sell it on to another party.
クレデンシャルスタッフィングとブルートフォース攻撃
ブルートフォースパスワード攻撃は、いくつかの異なる特定の攻撃手法をカバーする一般的な用語です。 一般に、ブルートフォース攻撃とは、攻撃者が何かが機能するまで、パスワードのさまざまな組み合わせを試していることを意味します。
ブルートフォース攻撃という用語は、攻撃者がパスワードに対してあらゆる可能なオプションを試している攻撃を指すために最も一般的に使用されます。 たとえば、8文字のパスワードに対するブルートフォース攻撃では、aaaaaaaa、aaaaaaab、aaaaaaacなどが試行される可能性があります。 このアプローチは、最終的に正しいパスワードを見つけることが保証されていますが、強力なパスワードでは実行できないほど遅くなります。
クレデンシャルスタッフィングは、ユーザーのパスワードを推測するために異なるアプローチを取ります。 考えられるすべてのパスワードの組み合わせを調べるのではなく、侵害で公開されたために個人が使用したことがわかっているパスワードに焦点を当てます。 パスワード推測に対するこのアプローチは、ブルートフォース検索よりもはるかに高速ですが、パスワードが複数のサイトで再利用されることを前提としています。 ただし、 ほとんどの人は複数のサイトで同じパスワードを使い回 すため、これは安全な仮定です。
クレデンシャルスタッフィングを防ぐ方法
クレデンシャルスタッフィングは、個人と企業のセキュリティの両方に深刻なリスクをもたらします。 クレデンシャルスタッフィング攻撃が成功すると、攻撃者はユーザーのアカウントにアクセスでき、機密情報や、ユーザーに代わって金融取引やその他の特権的なアクションを実行する能力が含まれている可能性があります。 しかし、パスワードの再利用の脅威が広く知られているにもかかわらず、ほとんどの人はパスワードの動作を変更していません。
また、クレデンシャルスタッフィングは、パスワードが個人アカウントとビジネスアカウントで再利用された場合、企業を危険にさらす可能性があります。 企業は、クレデンシャルスタッフィング攻撃のリスクを軽減するために、次のようないくつかの異なる手順を踏むことができます。
- 多要素認証 (MFA): クレデンシャルスタッフィング攻撃は、攻撃者がユーザー名とパスワードだけでアカウントにログインできることに依存しています。 MFAや 2FA を実装すると、攻撃者はログインを成功させるためにワンタイムコードも必要になるため、これらの攻撃はより困難になります。
- キャプチャ: クレデンシャルスタッフィング攻撃は、通常、自動化されています。 ログインページにCAPTCHAを実装すると、この自動トラフィックの一部がサイトに到達し、潜在的なパスワードをテストするのをブロックできます。
- アンチボットソリューション: CAPTCHA以外にも、組織はボット対策ソリューションを導入して、クレデンシャルスタッフィングトラフィックをブロックすることもできます。 これらのソリューションでは、行動の異常を使用して、サイトへの人間と自動訪問者を区別し、不審なトラフィックをブロックします。
- Website Traffic Monitoring: A credential stuffing attack involves a massive volume of failed login attempts. Monitoring traffic to login pages may allow an organization to block or throttle these attacks.
- 侵害された資格情報の確認: クレデンシャルスタッフィングボットは、通常、データ侵害で公開されたクレデンシャルのリストを使用します。 脆弱なパスワードやHaveIBeenPwnedなどのサービスのリストとユーザーのパスワードを照合することで、ユーザーのパスワードがクレデンシャルスタッフィングに対して潜在的に脆弱であるかどうかを判断するのに役立ちます。
Harmony Browseによるクレデンシャルスタッフィングの防止
Check Point’s Harmony Browse protect against credential stuffing in a couple of different ways, including:
- パスワードの再利用のブロック: 従業員がウェブサイトで新しいパスワードを作成するとき、Harmony Browseは、他のアカウントに同じパスワードを使用しているかどうかを確認します。 Harmony Browseは、パスワードの再利用をブロックすることで、クレデンシャルスタッフィング攻撃の脅威を軽減します。
- ユーザー資格情報の保護: クレデンシャルスタッフィング攻撃で使用されるリストには、フィッシング攻撃を使用して盗まれたクレデンシャルが含まれていることがよくあります。 Harmony Browseは、これらの認証情報を盗むように設計されたゼロデイフィッシングサイトをブロックします。
Harmony Browseの動作を確認するには、 このビデオをご覧ください。
Feedback