顧客アカウント乗っ取りの増加とその防止方法
顧客アカウントの乗っ取り(ATO)が見出しを飾ることはほとんどありませんが、詐欺師が顧客アカウントに侵入する手口はよく知られています。ただログインするだけです!素早く、簡単でありながら割りがよいのです。
2021年にニュースを賑わせた大規模サプライチェーンや重要インフラへの攻撃も、糸口は推測されたパスワードや盗まれたパスワードを使用する同じ手法でした。JBS、Colonial Pipeline、Solarwinds、 米国の2つの浄水場のいずれでも、 従業員の認証情報を使ってアカウントを乗っ取り、甚大な被害をもたらしました。最も悪名高いパスワードがSolarwinds123です。
つまり、ハッカーは、サイバーディフェンスの抜け穴を見つけるよりも、玄関から入っていく方が簡単だと知っているのです。ハッカーらは、正しいユーザー名とパスワードで「セキュリティ」(従来のログイン方法)をすり抜け、正規のユーザーのふりをします。
この記事では、顧客アカウント乗っ取りの統計、ハッカーが認証情報を盗むために使用する攻撃の種類、そしてATOが増加している理由について詳しくみていきます。その全体像を示した後、パスワードを完全に排除することが最大の防御になることについて解説します。すべてのパスワードの排除は、FIDO2プロトコルから始まりますが、それで終わりではありません。FIDO2 protocol, but it doesn’t end there.
典型的なアカウント乗っ取りとは?
毎年、何百万ものATOが存在しますが、それらの影響を受ける顧客が少ないため、スポットライトを浴びることはありません。企業は、アカウント乗っ取りの被害者に対して、「侵害されたのは数アカウントだけです」といった保証を静かに通知します。気休めにはならないかもしれませんが、顧客が報道機関に持ち込むのを止めることができる場合があります。
現実には、たった一度のアカウントの乗っ取りで、会社や顧客に経済的なダメージを与えてしまうのです。犯罪者がクレジットカード番号とリンクしたアカウントにアクセスしたとしたら、犯罪者がオンラインで買いあさるのをどうしたら阻止できるでしょうか?その後、攻撃者は同じ認証情報を他のサイトで使ってみたり、ダークウェブで販売したりすることができます。65%以上の人が同じパスワードを多くのアカウントで使いまわしており、ハッカーもそれを知っています。
ATOがTurboTaxの顧客に与えた影響
攻撃者は最近、盗まれた認証情報を再利用した一連のアカウント乗っ取りによってIntuitのTurboTaxプラットフォームを標的としました。Intuitは6月に、攻撃者が「…お客様の名前、社会保障番号、住所、生年月日、運転免許証番号、財務情報(給与や控除など)などの情報を取得した可能性があります」と顧客に通知しました。世紀の事件です。
数日のうちに、Intuit社は、侵害の程度がメディアで誇張されており、数字の上では正当な弁明であると述べました。企業はブランドを守り、信頼を回復するためにダメージコントロールを行わなければなりません。しかし、TurboTaxの顧客は、ハッカーがそのデータを使って個人情報を盗み、クレジットカードを作り、請求書を乱発し、信用を失墜させる可能性があると懸念を示しました。企業にとって、顧客を安心させることは重要です。もし失敗したら、一生顧客を失うことになります。
顧客アカウント乗っ取りの統計
Aite Groupによると、アカウント乗っ取り攻撃による損失は、すべての業界で160億ドル以上となっており、2020年には300%も跳ね上がったとのことです。重要なのは、ほとんどのATOがボットを用いていることです。ボット対策ベンダーであるPerimeterXの報告によると、2020年後半の全ログイン試行のうち75~85%がアカウント乗っ取り試行であったとのことです。
セキュリティプロバイダーのImpervaも、1時間に70万回のログインを試みたATOを緩和したことを挙げ、ボットを利用した攻撃を非難しています。一方、ハッカーは自動化を利用して、数週間の間隔をあけた一般的なログインペースで低速、低頻度のATO攻撃を仕掛け、検知を回避しています。認証情報復元サービスのVeriCloudsは、多くの企業がアカウント乗っ取りの被害に遭っているが、全く気付いていないと主張しています。
アカウント乗っ取りの脅威
アカウント乗っ取りを防止する方法を決める前に、ハッカーが認証情報を盗んで顧客のアカウントに侵入する際に使う手口を理解することが必要です。
- クレデンシャルクラッキング:
一般的なブルートフォース戦術は、クレデンシャルクラッキングと呼ばれています。オンラインで行われる場合、ハッカーは何千もの一般的なパスワードとユーザー名を試行して、アカウントに侵入します。彼らは、顧客のログインを解読するまで、クレデンシャルの組み合わせを繰り返すスクリプトを開発します。
ブルートフォース攻撃は、ボットネット(マルウェアに感染し、乗っ取られたPCのネットワーク)を利用して、大量かつ高速な攻撃を行います。これにより、検出される前に最大数のアカウントを乗っ取ることが可能です。ログインに何度も失敗すると発生するアカウントロックアウトは、ある程度の防御にはなりますが、ハッカーは次のアカウントに移るだけです。
オフラインで実行する場合、ハッカーはパスワードハッシュ(基本的に暗号化されたパスワード)を含む盗まれたクレデンシャルデータを使用します。その後、「パスワードを解読する」ソフトウェアを使用してプレーンテキストのパスワードを確定します。脆弱なパスワードの場合、これには数秒しかかかりません。強力なパスワードであれば時間がかかり、複雑なパスワードの中には事実上解読不可能なものもあります。パスワードが判明すると、攻撃者はそのパスワードを使用してログインします。この方法の利点は、ロックアウトを回避できることと、オフラインで実行されるためパスワードの解読自体が検知されないことです。 - パスワードスプレー攻撃:
ブルートフォース攻撃の一種であるパスワードスプレー攻撃は、各種さまざまな顧客アカウントに対して1組の共通認証情報のみを使用します。ハッカーは、各アカウントを複数回攻撃することで発生するロックアウトを回避するために、この方法を選択します。パスワードスプレー攻撃は、ブルートフォースと同様に、ボットを使って素早く攻撃し、真の攻撃者を見つけることを難しくします。 - フィッシングとスミッシング:
フィッシングは広く知られているにも関わらず、いまだに巧みになりすましたサイトに誘い込む詐欺メールにひっかかることがあります。一度ログインすると、攻撃者は認証情報を盗んでしまいます。Ivanti社の調査によると、2020年には74%の企業がフィッシングの被害に遭っています。
スミッシングは、詐欺的なフィッシングメールが単にSMSテキストに置き換わったものです。Aberdeenの調査によると、攻撃者はモバイル端末でより高い成功率を得ているため、スミッシング詐欺が増えてきています。 - ソーシャルエンジニアリングとリサーチ:
プロのハッカーは、ソーシャルメディアやウェブサイトで時間をかけてリサーチし、ターゲットの住所、電話番号、家族やペットの名前など、パスワードを推測するのに役立つあらゆる情報を探しています。これは、ナレッジベースの質問にも利用されています。特に見返りの大きい金融や医療分野では、消費者アカウントに対する地道で集中的な攻撃が標的型攻撃の典型的な例です。 - クレデンシャルスタッフィング:
この手口は、複数のアカウントで同じパスワードを使用するという私たちの悪い癖を利用したものです。実際、ハッカーはTurboTaxを標的にクレデンシャルスタッフィングを行ったと報告されています。多くの場合、犯罪者は他のサイトから盗んだり、ダークウェブで購入したりした認証情報の大規模なデータダンプから着手します。そして、これらをボットを使って、成功するまであらゆるサイトやアプリでテストします。 - 中間者(MITM)攻撃:
無料の公共WiFiやホットスポットを使用しないよう警告されたことがあるでしょう。パスワードがないということ、それは、ハッカーがすぐ近くのテーブルでカフェラテを飲んでいることを示すひとつ目の手がかりです。「中間者」は、自分のネットワーク経由でトラフィックを迂回させることで、通信を傍受することができます。このため、オンライン上のやり取りを盗聴したり、受信者になりすましたりします。攻撃者は、ログイン情報を盗んだり、データを転送したり、マルウェアをインストールしたり、スパイゲームをプレイしたりするための、完全な可視性を得ることができます。 - SIMのスワッピング:
攻撃者は、サービスプロバイダーに対し、自分がアカウント所有者であると思わせることで、標的の電話番号をSIMカードに転送することができます。電話番号のコントロールが可能となると、弱いSMS認証を使ってアカウントを乗っ取ります。これは、AppleのエンジニアであるRob Rossに起こったことです。ハッカーが彼の番号をコントロールし、彼の暗号通貨アカウントにアクセスしたことで、ほぼ100万ドルを失いました。
顧客アカウント乗っ取りの防止
アカウント乗っ取りを防止する最善の方法は、間違いなく顧客のパスワードを完全に排除することです。パスワードがないということは、ブルートフォース、フィッシュ、推測、盗用、傍受、バイパスするための認証情報がないということです。パスワードをなくすことで、すべての攻撃の80%を占める、認証情報に関連するセキュリティ侵害を回避することができます。
生体認証:パスワードに代わるもの
パスワードを使わずにユーザーを認証する方法はいくつかあります。IT管理者がワークステーションや特権アカウントにアクセスするために使用するセキュリティキーは、広く知られています。問題は、ハードウェアトークンはプロビジョニングにコストがかかり、拡張性に欠け、紛失する可能性があるということです。これらは消費者向けではなく、従業員向けに設計されています。
現在では、生体認証で顧客や従業員を確認する、より優れた方法があります。指紋認証と顔認証は、それぞれ固有の身体的属性に基づいてユーザーの本人確認を行うため、いずれも高い安全性が確保されています。すでに何百万人もの人がデバイスのロック解除にこれらの認証を使っており、その使い勝手の良さには定評があります。セキュリティが脆弱である、使いづらいという問題を1つのソリューションで解決することができます。
FIDO2によるアカウント乗っ取り防止の仕組み
FIDO2準拠の生体認証では、公開鍵暗号方式(PKI)を採用し、アカウントの乗っ取りを防止しています。まず、アカウントに登録されたデバイスには、それぞれ1組の固有の暗号鍵(公開鍵と秘密鍵)が割り当てられます。
「FIDOでは、生体情報と秘密鍵がエンドユーザーのデバイスから外に出ることはありません」と、Transmit Securityの製品担当副社長Niv Goldenbergは説明します。「生体情報は、デバイス上でユーザーをローカルに認証するために使用されます。その後、秘密鍵がチャレンジに署名し、それを[認証]サーバーに返送します。渡されるのは、署名入りのチャレンジのみです。」
つまり、生体情報と秘密鍵が「飛行中」になることはなく、中間者攻撃などの脅威によって傍受されることはありません。また、FIDO2では、ハッカーの標的となる生体情報識別子の中央データベースも存在しません。Goldenbergは、「仮にサーバーに侵入されても、秘密鍵や生体情報はそこに無いため、ユーザーになりすますことはできません。それらの情報はデバイス内に保管されています」と言います。
ATOを事前に阻止する
生体認証は、パスワードをなくすだけで顧客アカウント乗っ取りの脅威のほとんどを防ぐことができます。これは重要なポイントです。認証は最も脆弱なリンクと同じ強さしかないため、顧客パスワードを完全に削除することが重要です。パスワードは、アカウントの復元プロセスで使用することも、キャッシュに保存することもできません。
これは、私たちが解決した多くの課題の一つです。パスワードが完全に不要なのは、Transmit Securityのパスワードレス認証だけです。また、エンドツーエンドのCIAM(Customer Identity & Access Management)プラットフォームの一部として、顧客行程のあらゆる段階で、発生したリスクや不正を瞬時に検知できます。私たちのクラウドネイティブサービスは、エンドツーエンドのATO保護を提供し、以下を可能にします。
- パスワードレスMFAで顧客を強力に認証。
- 煩わしさのない、リスクベースの認証を実現。
- 動的なリスクアセスメントによって異常な行動やシグナルを検出。
- 本人確認によって詐欺師による偽のアカウント開設を防止。
- xCIAMプラットフォームのシナジー効果により、統一された可視性と強みを獲得。
統計データから見るアカウント乗っ取り
プロアクティブなセキュリティにより、被害が発生する前に不正行為を阻止できます。また、簡単に統合できるため、予想よりも早く顧客アカウントの乗っ取りを防ぎ、関連コストを削減することができます。
