資料の紹介
流出したIDとパスワードを悪用し、ボットなどで自動的に不正アクセスを試みる「クレデンシャルスタッフィング攻撃」が世界中で激増している。主な被害としては、オンライン取引での顧客アカウントの乗っ取りや、SaaS型サービスへの侵入による機密情報の漏洩などがある。
背景には、攻撃ツールや流出情報の入手コストの低下に伴い、参入障壁が下がったことが挙げられる。クレデンシャルスタッフィング攻撃の成功率は0.2~2%程度と言われるが、仮に5000万人の顧客がいるメガバンクを攻撃すれば10万アカウントの乗っ取りに成功する可能性がある。攻撃コストが安くて報酬が高ければ、組織的な犯罪チームによる認証情報悪用が現実的になる。
本資料では、クレデンシャルスタッフィング攻撃の実態を攻撃者側の経済的な環境とともに詳細に解説する。“仕事”としてサイバー攻撃を選んだプロ集団は、目標達成に向けて必要な投資を惜しまず、ログイン自動化、アクセス地域の偽装、CAPTCHA認証(人間と機械の判別テスト)回避などを実行する。悪意のある攻撃を阻止するには、進化し続ける攻撃の現実を知り、適切な防御策を講じることが重要だとしている。
