1. HOME
  2. ブログ
  3. Blog
  4. FBI(米国連邦捜査局)によると、クレデンシャルスタッフィング攻撃が急増している

Info.

お知らせ

Blog

FBI(米国連邦捜査局)によると、クレデンシャルスタッフィング攻撃が急増している

FBI(米国連邦捜査局)によると、クレデンシャルスタッフィング攻撃が急増している のページ写真 1

トピック: クレデンシャルスタッフィングデータ侵害スピアフィッシング

2020年9月21日、Mike Vizard

FBIのサイバー部門は金融機関を狙ったクレデンシャルスタッフィング攻撃が急増しているという民間企業向けのアドバイザリを発表しました。

攻撃者は、ダークWebで売却されている数十億の認証情報によって、クレデンシャルスタッフィング攻撃をさらに簡単に実行できます。FBIのレポートによると、通常、このような攻撃は、金融機関がアプリケーションを構築するために使用しているAPI(アプリケーションプログラミングインターフェース)を標的としています。昔からそうであったように、金融機関が攻撃を受けている理由は、そこにお金があるからです。

FBIによると、攻撃者は複数のアカウントとアプリケーションで同じパスワードが使用されているという事実も悪用しています。

このような攻撃は、主にサイバー犯罪組織が管理しているボットネットによって実行されており、基本的にはブルートフォースを悪用しています。FBIのレポートでは、昨年7月、米国の中堅金融機関が、インターネットバンキングプラットフォームで、さまざまな認証情報の組み合わせを使ったログインが「絶え間なく」実行されていたと報告した例を紹介しています。また、このレポートでは、2020年1~8月に、攻撃者が、アカウントアグリゲーションソフトウェアを悪用して、攻撃者が管理するアカウントを同じ金融機関に属する顧客アカウントにリンクした結果、350万ドル以上の不正な小切手の引き出しと電信送金が発生したことも報告しています。

幸いにも、通常、クレデンシャルスタッフィングは成功率が低い傾向がある攻撃です。しかし、ボットネットは引き続き成長しており、大規模な攻撃を実行するためのコストは減少しているため、セキュリティ部門は、この脅威ベクタを悪用する攻撃の波が今後も増加することを予測する必要があります。

このような攻撃を軽減するためのFBIのサイバー部門からの提言は下記のとおりです。

  • 顧客と従業員にこのような攻撃が実行されていることを警告し、アカウントへの不正アクセス、変更、および異常なアクティビティを積極的に監視する。
  • 顧客と従業員に、他のアカウントで使用されていない一意のパスワードを使用し、パスワードを定期的に変更するように推奨する。
  • ATO(アカウント乗っ取り)と詐欺が確認された場合は、ユーザ名とパスワードを変更するように顧客に指示する。
  • 顧客の認証情報の組み合わせを既知の漏洩したユーザ名/パスワードのデータベースと照合して検証する。
  • 認証情報の組み合わせの有効性がわからないように、インターネットバンキングのログインページの応答を変更して、ユーザ名とパスワードの両方が正しくない場合とパスワードのみが正しくない場合に同じエラーメッセージと応答時間を表示する。
  • 既存のアカウント情報の変更を確認するようにアカウントの所有者に連絡するための企業ポリシーを確立する。
  • 特に銀行、保険、および取引口座の口座情報の作成と更新、およびアカウントアグリゲーションサービスへの初期口座アクセスを提供するために、MFA(多要素認証)を設定する。
  • トラフィックの異常な増加と認証の失敗を識別する異常検出ツールを使用する。

クレデンシャルスタッフィングでは、個人と企業全体を対象に何百万件ものフィッシング攻撃が実行されています。盗み出された認証情報は、すべてクレデンシャルスタッフィング攻撃を前例のない規模で実行するための「燃料」になります。セキュリティ部門は、エンドユーザにパスワードを定期的に変更するように推奨する方法を模索しています。エンドユーザは、パスワードを忘れた場合、パスワードの変更を余儀なくされる可能性があります。

エンドユーザに強力なパスワードの使用を推奨することが重視されていますが、残念ながら、パスワードの多くは依然としてダークWebに流出しています。ほとんどの企業は、何があっても数か月ごとにパスワードを変更するようにエンドユーザに義務付けると、さらによい結果を得ることができるでしょう。結局のところ、軍が基地の安全性を確保するために使用しているパスワードを定期的に変更するには、それなりの理由があります。

もちろん、エンドユーザが、この推奨に抵抗した時期もあったかもしれません。しかし、さらに多くのエンドユーザが自分のパスワードがダークWebにあることに気づくようになると、この抵抗感は減少するはずです。

パスワードが時代遅れになる日は来るかもしれません。それまでの間、パスワードが最初で最後のセキュリティレイヤであることに変わりはありません。

原文はこちら:

FBI sees spike in credential stuffing attacks

September 21, 2020 Mike Vizard

https://blog.barracuda.com/2020/09/21/fbi-sees-spike-in-credential-stuffing-attacks/

 

関連記事