資格詰め攻撃

資格詰め攻撃とは？

資格詰め攻撃は、サイバー犯罪者が以前の情報漏洩で取得された大規模なデータセットのユーザー名とパスワードを用い、自動化されたスクリプトで他のウェブアプリにログインを試みるサイバー攻撃の一種です。この攻撃では、不正に得たアカウント情報を利用して不正な購入、フィッシング攻撃、そしてデータや資金の窃取を行います。特に、同じユーザー名とパスワードの組み合わせを複数のサイトで使い回している場合、一度の試行で多数のアカウントにアクセスを許してしまいます。

2020年7月、3億8600万人以上のユーザー情報を含む複数のデータセットが、プログラマー向けフォーラムに無料で公開されました。サイバー犯罪者は18社分の漏洩情報を利用し、各データセットの個人を特定できる情報（PII）は異なるものの、一般に名前、ユーザー名、メールアドレス、パスワードが含まれていました。現在では、ハッシュ化されたパスワードさえ解析が進み、アカウント乗っ取りや資格詰め攻撃の被害が拡大しています。同時期、オンライン食品配達サービスのInstacartは内部調査の結果、「侵害はなかった」と発表しましたが、25万以上のユーザーが資格詰め攻撃の犠牲となりました。

‍

資格詰め攻撃の兆候

• ログイン情報が正しくないため、アカウントにアクセスできなくなる。
• 自分が行っていない「過剰なログイン試行」により、アカウントがロックされたと通知される。
• 承認していないにも関わらず、パスワードが変更されたとのメール確認が届く。
• 特定のウェブアカウントに関連する取引で、不正な請求に気付く。
• メールアドレスが変更され、アカウントの通知が届かなくなる。

‍

資格詰め攻撃の仕組み

大規模な資格詰め攻撃で攻撃者が通常行う流れは以下のとおりです:

1. 複数のユーザーアカウントに同時に自動でログインできるボットを構築し、異なるIPアドレスに偽装する。
2. 自動化されたスクリプトを実行し、盗まれた認証情報が各サイトで有効か確認する。複数のサイトで同時に試行することで、一つのサイトへの連続ログインを避ける。
3. 成功したログインをチェックし、被害アカウントから個人情報、クレジットカード情報、その他重要なデータを入手する。
4. フィッシング攻撃や、侵害されたサービスを利用したその他の取引のために、アカウント情報を保存する。

資格詰め攻撃とパスワードスプレー攻撃の違い

資格詰め攻撃はブルートフォース攻撃に似ていますが、いくつかの重要な違いがあります:

• ブルートフォース攻撃は、既知の情報なしにランダムな文字列、一般的なパスワード、辞書の単語などを試して認証情報を推測する。
• ユーザーが単純で推測しやすいパスワードを選んでいる場合、ブルートフォース攻撃は成功する。
• ブルートフォース攻撃は過去の情報漏洩データの活用が必要なため、成功率はかなり低い。

最新のセキュリティ対策が整ったウェブアプリでは、ブルートフォース攻撃は失敗しやすい一方、資格詰め攻撃は成功する可能性があります。強力なパスワードを使っていても、複数のサービスで同じ認証情報を使い回す場合、侵害につながる可能性があるためです。

資格詰め攻撃を防ぐ方法

1. CAPTCHA の利用

CAPTCHA（人間であることを確認するためにタスクを実行させる手動検証）は、資格詰め攻撃の影響を和らげる効果があります。ただし、攻撃者はヘッドレスブラウザを用いてCAPTCHAを回避する可能性もあります。MFAのように、CAPTCHAも他の対策と併せて、特定の状況に応じて適用することができます。

2. パスワードレス認証

パスワードレス認証は、ユーザーが知っている情報ではなく、持っているもの（機器や別のアカウント）や、本人確認（バイオメトリクス）を使って認証するため、資格詰め攻撃を防ぐ効果があります。さらに、ログイン体験が向上し、パスワードリセットにかかる時間やコストも削減されます。

3. 連続認証

この仕組みは、パスワード一度きりの認証ではなく、バイオメトリクスや行動パターンなどでユーザーを継続的に確認します。そのため、資格詰め攻撃をはじめとするサイバー攻撃が成功しにくくなります。

4. 多要素認証 (MFA)

ユーザーに、知識に加えて持っているものによる確認を求めるのは、資格詰め攻撃に対する優れた防御策です。攻撃用ボットは、携帯電話やアクセストークンなど実際の認証手段を提供できません。全ユーザーに対してMFAを強制するのは難しいですが、他の対策と組み合わせることで、例えばデバイスフィンガープリントと併用することが可能です。

5. IPレート制限を利用する

このセキュリティ対策は、あらかじめ設定した閾値（例:1秒間に3回以上）を超えるログイン試行を行うIPをブロックします。明らかに人間が手動で入力できる速度を超えており、自動化された試行を示唆します。

6. IP ブラックリストの利用

攻撃者は通常、限られたIPアドレスの中から試行するため、複数のアカウントへのログインを試みるIPをブロックまたはサンドボックスすることが有効です。特定のアカウントに対して最近用いられたIPを確認し、疑わしい悪意あるIPと比較することで、誤検知を減らすことができます。

7. デバイスやブラウザのフィンガープリントの利用

JavaScriptを用いてユーザーの機器情報を収集し、各セッションに対して「ユニークなフィンガープリント」を作成することが可能です。フィンガープリントは、OS、言語、ブラウザ、タイムゾーン、ユーザーエージェントなどの組み合わせで構成されます。同一の組み合わせが複数回見られる場合、ブルートフォース攻撃または資格詰め攻撃の可能性が高いです。

厳密なフィンガープリントを複数の要素で確認できれば、IPのブロックなど、より強固な対策を講じることができます。さらに、一般的な2～3要素を組み合わせ、一時的な禁止などの緩やかな対策を取る方法もあります。一般例としては、OS＋ジオロケーション＋言語の組み合わせです。

8. メールアドレスをアカウントIDとして使用させない

資格詰め攻撃は、複数のサービスで同一のユーザー名やアカウントIDが再利用されることに依存しています。IDとしてメールアドレスを利用すると、再利用が起こりやすくなります。ユーザーにメールアドレスをアカウントIDとして使用させないことで、他サイトで同じ認証情報を使い回すリスクを大幅に減らせます。

Wallarmがどのように資格詰め攻撃への対策を支援するか

Wallarmの業界をリードするボット管理システムは、前述の対策を実行し、悪意あるボットからの攻撃を防ぎます。また、自動化されたセキュリティロジックを追加することで、資格詰め攻撃、スクリーニング、タグ付け、その他の自動化された悪質な攻撃を防止します。

内蔵のボット保護機能に加え、Wallarmはサイトやアプリが利用可能で高性能かつ安全であることを保証するため、さまざまな保護機能を提供しています。Wallarmのアプリセキュリティソリューションは、以下を含みます:

1. DDoS Protection

どんな状況でも稼働率を維持します。あらゆる規模のDDoS攻撃から、貴社のサイトおよびネットワークインフラへのアクセス妨害を防ぎます。

2. ‍WAF

クラウド型のソリューションは、正当なトラフィックを許可し、不正なトラフィックをブロックすることでエッジでアプリを守ります。オンプレミスのWAFは、貴社ネットワーク内のアプリやAPIを安全に保ちます。

3. ‍API Security

WallarmのAPI Security Solutionは、許可されたトラフィックのみがAPIエンドポイントにアクセスできるようにし、脆弱性の悪用を特定・ブロックします。参考記事 "How to hack API" もご覧ください。