アカウントハッキングの2つの手法

サイバー攻撃の手法も日を追うごとに高度化、多様化してきています。今回のブログでは、サイバー攻撃のトレンドの一つである、アカウントハッキングの手法についてご紹介します。

FacebookTwitterLinkedIn
Login Screen

ログインページがあるウェブサイトを運営中であれば、アカウントハッキング攻撃の標的になっている可能性が高いと言えます。ログインページを持っているほぼ全てのウェブサイトで悪性ボットが発見され、この悪性ボットがアカウントハッキングに活用された、とセキュリティ専門家が報告しました。

ログインページは最もアビュージングが深刻なウェブページだ、とセキュリティ専門家が明かしています。これは、ログインページがある約600個のドメインを研究した後、特に悪性ボットトラフィックが多く発生している約100個のページを更に研究し、バッドボッド(Bad Bot)というリストを作成しました。

アカウントハッキングと関連する行為は、基本的に少数、または多数のクレデンシャルが適用されるかされないかを試してみる事と関連があります。よってうまくいけば、ハッカー攻撃者は該当ユーザーの名前とパスワードをダークウェブで販売を試みたり、アカウントに接続し個人情報や金融情報を盗み出します。そしてそのような情報を詐欺行為に活用したりします。

強引に侵入してすぐに離脱する戦略と、時間はかかるが地道に攻撃する戦略

このようなアカウントハッキング攻撃は、大きく2つの類型に分けられます。2つとも似たような頻度ですが、1つは「ボリュメトリック(volumetric)攻撃」です。「ボリューム」という単語からも分かるように、ボットがログインページに恐ろしい量のクレデンシャルを代入するのがボリュメトリック攻撃です。クレデンシャル・スタッフィング(credential stuffing)とも呼ばれていて、活動量が500%~5,000%に急増する為、この攻撃は簡単に探知することが可能です。

では、なぜサイバー攻撃者はボリュメトリック攻撃を行うのでしょうか?それは、サイバー攻撃者にメリットがあるからです。そのメリットとは、サイバー攻撃の結果がすぐに確認できる、という点です。セキュリティ専門家によると、ログインのリクエストが通常時の数百~数千倍に急増したとしたら、ボリュメトリック攻撃を疑わなくてはいけない、と主張します。また、多くのウェブサイトから多数のクレデンシャルを確認が出来るという事だけでも、サイバー攻撃者にとってはメリットなので頻繁に行われる、と付け加えます。

ボリュメトリック攻撃を実行する際、ボット運営者は2つの事実を前提とします。1つ目が、最近盗み出したクレデンシャルなので今でも有効であるだろうということ、2つ目が、ユーザーは同じクレデンシャルを色々なところで活用する、ということです。セキュリティ専門家は、1日に約17回のボリュメトリック攻撃によるアカウントハッキングを検知するといいます。企業別に見ると1か月に約2~3回程度の割合で発生し、ある企業では10回も同じ攻撃を受けたとのことです。

Card
Card

攻撃ペースが遅い「クレデンシャルクラッキング・ストーキング」

ボリュメトリック攻撃以外にも、他のアカウントハッキング攻撃の手法として「息をひそめてゆっくりと」行う「クレデンシャルクラッキング・ストーキング」があります。悪性ボットが24時間ずっと継続してログイン要請を送るものですが、ペースが非常に遅いため検知が難しいという特徴があります。

ボリュメトリック攻撃は普通、定められた時間にのみ発生します。一方、クレデンシャルクラッキング・ストーキングのようなペースが遅い攻撃は、際限なく継続して要請を送ります。攻撃の開始と終了を把握するのが難しいぐらい、「いつもそこに存在する要素」として残っています。

セキュリティ専門家は、ログインページが存在するウェブサイトは、攻撃を受ける可能性がとても高い、と警告します。航空会社、各種ショッピングモールサイト、金融取引サイトなどが代表的で、単純な攻撃もあれば、より高レベルの攻撃もあります。レベルが高い攻撃であるほど、セキュリティソリューションの探知に引っかかりにくい、と付け加えてセキュリティ専門家は説明します。

ではどのようにして単純なアカウントハッキング攻撃を防げばいいのでしょうか?特定IPアドレスを遮断すればいい、とセキュリティ専門家はアドバイスします。また他にも、特定国家からのトラフィック全体をブロックするのも一つの方法です。高レベルな攻撃の場合は、各リクエストの合法性を検討した後、確認が取れたもののみ通信を許可する方法が最適だ、と言います。

サイバー攻撃者の間にも”トレンド”が存在、金曜日、土曜日は要注意

サイバー攻撃者の間にも、核となるトレンドが存在します。最近のサイバー攻撃者達は、日時と攻撃頻度を決めておき、攻撃を実行します。例を挙げると、水曜日に攻撃のボリュームを一番大きくする、などの計画が立てられているということです。先週の水曜日に不法なログイン要請が多かったとしたら、来週の水曜日にもそうなる可能性が高くなるでしょう。セキュリティ専門家の分析によると、金曜日と土曜日に攻撃が最も多くなる傾向がある、とのことです。

関連記事

サイバーセキュリティで AI から企業機密を保護するShare
Apr 2025 | -
サイバーセキュリティ
サイバーセキュリティで AI から企業機密を保護する
このブログでは、AI を悪用した不正侵入から企業資産を守るために、Singtel が提供するサイバーセキュリティソリューションをご紹介します。さらに、プライベートな会話を高度に暗号化することで、いかに従業員の機密性を確保するかについても取り上げます。
従来の防御の先へ:サイバーセキュリティの再考Share
Dec 2024 | -
サイバーセキュリティ
従来の防御の先へ:サイバーセキュリティの再考
企業がデジタルトランスフォーメーション (DX) を加速させるにつれ、サイバー攻撃の巧妙さも増しています。このような脅威と戦うために、企業は先進的なサイバーセキュリティのイノベーションを模索する必要があります。ここでは、通信事業者のデータがそれにどのように役立つかをご紹介します。
MSS とサイバー攻撃からの復旧Share
Oct 2024 | -
サイバーセキュリティ, Japanese, Japan
MSS とサイバー攻撃からの復旧
ソフトウェアのエラーにより発生した大規模な IT 障害の結果として、グローバル企業の脆弱性が露呈しています。では、サイバー攻撃により同様なインシデントが発生した場合、企業は何をすべきでしょうか?最初にすべきなのは、問題の存在を認識することです。以下に、マネージドセキュリティサービス (MSS) がどのように役立つかをご紹介します。