アカウントハッキングの2つの手法

ログインページがあるウェブサイトを運営中であれば、アカウントハッキング攻撃の標的になっている可能性が高いと言えます。ログインページを持っているほぼ全てのウェブサイトで悪性ボットが発見され、この悪性ボットがアカウントハッキングに活用された、とセキュリティ専門家が報告しました。

ログインページは最もアビュージングが深刻なウェブページだ、とセキュリティ専門家が明かしています。これは、ログインページがある約600個のドメインを研究した後、特に悪性ボットトラフィックが多く発生している約100個のページを更に研究し、バッドボッド（Bad Bot）というリストを作成しました。

アカウントハッキングと関連する行為は、基本的に少数、または多数のクレデンシャルが適用されるかされないかを試してみる事と関連があります。よってうまくいけば、ハッカー攻撃者は該当ユーザーの名前とパスワードをダークウェブで販売を試みたり、アカウントに接続し個人情報や金融情報を盗み出します。そしてそのような情報を詐欺行為に活用したりします。

このようなアカウントハッキング攻撃は、大きく2つの類型に分けられます。2つとも似たような頻度ですが、1つは「ボリュメトリック（volumetric）攻撃」です。「ボリューム」という単語からも分かるように、ボットがログインページに恐ろしい量のクレデンシャルを代入するのがボリュメトリック攻撃です。クレデンシャル・スタッフィング（credential stuffing）とも呼ばれていて、活動量が500％～5,000%に急増する為、この攻撃は簡単に探知することが可能です。

では、なぜサイバー攻撃者はボリュメトリック攻撃を行うのでしょうか？それは、サイバー攻撃者にメリットがあるからです。そのメリットとは、サイバー攻撃の結果がすぐに確認できる、という点です。セキュリティ専門家によると、ログインのリクエストが通常時の数百～数千倍に急増したとしたら、ボリュメトリック攻撃を疑わなくてはいけない、と主張します。また、多くのウェブサイトから多数のクレデンシャルを確認が出来るという事だけでも、サイバー攻撃者にとってはメリットなので頻繁に行われる、と付け加えます。

ボリュメトリック攻撃を実行する際、ボット運営者は2つの事実を前提とします。1つ目が、最近盗み出したクレデンシャルなので今でも有効であるだろうということ、2つ目が、ユーザーは同じクレデンシャルを色々なところで活用する、ということです。セキュリティ専門家は、1日に約17回のボリュメトリック攻撃によるアカウントハッキングを検知するといいます。企業別に見ると1か月に約2～3回程度の割合で発生し、ある企業では10回も同じ攻撃を受けたとのことです。

ボリュメトリック攻撃以外にも、他のアカウントハッキング攻撃の手法として「息をひそめてゆっくりと」行う「クレデンシャルクラッキング・ストーキング」があります。悪性ボットが24時間ずっと継続してログイン要請を送るものですが、ペースが非常に遅いため検知が難しいという特徴があります。

ボリュメトリック攻撃は普通、定められた時間にのみ発生します。一方、クレデンシャルクラッキング・ストーキングのようなペースが遅い攻撃は、際限なく継続して要請を送ります。攻撃の開始と終了を把握するのが難しいぐらい、「いつもそこに存在する要素」として残っています。

セキュリティ専門家は、ログインページが存在するウェブサイトは、攻撃を受ける可能性がとても高い、と警告します。航空会社、各種ショッピングモールサイト、金融取引サイトなどが代表的で、単純な攻撃もあれば、より高レベルの攻撃もあります。レベルが高い攻撃であるほど、セキュリティソリューションの探知に引っかかりにくい、と付け加えてセキュリティ専門家は説明します。

ではどのようにして単純なアカウントハッキング攻撃を防げばいいのでしょうか？特定IPアドレスを遮断すればいい、とセキュリティ専門家はアドバイスします。また他にも、特定国家からのトラフィック全体をブロックするのも一つの方法です。高レベルな攻撃の場合は、各リクエストの合法性を検討した後、確認が取れたもののみ通信を許可する方法が最適だ、と言います。

サイバー攻撃者の間にも、核となるトレンドが存在します。最近のサイバー攻撃者達は、日時と攻撃頻度を決めておき、攻撃を実行します。例を挙げると、水曜日に攻撃のボリュームを一番大きくする、などの計画が立てられているということです。先週の水曜日に不法なログイン要請が多かったとしたら、来週の水曜日にもそうなる可能性が高くなるでしょう。セキュリティ専門家の分析によると、金曜日と土曜日に攻撃が最も多くなる傾向がある、とのことです。