Akamai Diversity

Akamai Japan ブログ

Credential Stuffing とアカウントの乗っ取り ~ビジネスの視点

※ このBlog 記事は2021.2.11に執筆されたChristine RossのBlog記事を翻訳した内容を元に作成しています。

犯罪者がアカウントの支配権を握るために正規のアカウント所有者になりすます「アカウント乗っ取り(ATO: Account takeover )」は、あらゆる業種の企業に大きな損害をもたらします。アカウントが盗まれたことによる損失といった経済的な損害に始まり、規制や法律に関する問題、顧客の喪失、信用の毀損によって新規顧客を獲得できないといった数多くの関連する問題が生じる危険性があります。ATO と新規アカウントの不正な作成による損害額は、米国だけで年間 100 億ドル以上にのぼると推定されています。

数年前まで、ATO は金融サービス業界特有のアタックサーフェスとして耳にすることが多かったと思います。しかし現在では、メディアゲーム小売などの複数の業種で Credential Stuffing と ATO の被害が増加しています。昨年末 (2020年11月) に開催された Edge Live | Adapt イベントでは、あらゆる業種でますます巧妙化する Credential Stuffing および ATO についてのセッションが開催されました。こちらからオンデマンドでセッションをご覧になれます。

Credential Stuffing では、犯罪者は標的とした Web サイトやサービスに対して大量のユーザー名とパスワードでログインを試すボット攻撃を仕掛け、最終的に ATO を目指します。Akamai により 2018 年 7 月~2020 年 6 月の期間に記録された Credential Stuffing 攻撃の数は 1,000 億件を超えています。

ビジネススキルに長けた犯罪者

Credential Stuffing、ATO、その他自動化されたあらゆるセキュリティ攻撃について考える時、多くの場合私達は、攻撃者が使用する高度なテクノロジーについて心配するのではないでしょうか。人間のふるまいを精巧に模倣する新しいツールが使用されないか、あるいは攻撃がさらに巧妙になり、既知の検知の仕組みを回避するのではないかといったことが懸念されるでしょう。Akamai の Tony Lauro は、最近のThe Daily Swig の記事で、ボットオペレーターが使用する最新の手法について数多く紹介しています。

しかし、見落とされがちな点として、攻撃を成功させるために高いビジネススキルが利用されているという事実があります。ボットネットオペレーターなどの犯罪者組織は、合法的なビジネスを行う場合とよく似た考え方で攻撃を行います。絶好のビジネスチャンスを追い求め、コストの最小化と利益の最大化を目指します。Akamaiの Jonathan Singer は、このような例として、ゲーム業界で犯罪者が形作る経済圏について紹介しています。

犯罪者は、攻撃を行うためのワークフローまで準備しています。このようなワークフローはキルチェーンと呼ばれます。サイバーセキュリティ業界における考え方の枠組みとして、Lockheed Martin が 2011 年にこの用語を提唱しました。もともとは軍事的な概念だったキルチェーンは、犯罪者が目標を達成するために実施する一連の手順が構造化されたプロセスです。Credential Stuffing や ATO におけるキルチェーンを図 1 に示します。

Fig1.PNG

図 1. Credential Stuffing と ATO のキルチェーン

標的となった企業がキルチェーンを断ち切る方法

キルチェーンは犯罪者の視点から見たものです。標的となる組織にはどのような現象が生じるでしょうか。さらに重要な点として、標的となる組織はキルチェーンを断ち切るために何ができるでしょうか。

映画などでよく使われる言い回しですが、犯罪者を捕まえるためには、犯罪者になりきって考えることが必要です。Credential Stuffing と ATO のキルチェーンの場合、ビジネスパーソンと同じ思考が求められます。セキュリティチームは、組織が標的となって攻撃を受けるがままにならないように、ボットと人間が関与するキルチェーンの各段階に対して、その影響を緩和する対策を講じることができます。各段階の実施を完全に阻止するための緩和措置もありますが、攻撃のコストを高めることで、簡単に攻撃できてコストの低い他の標的に攻撃者が目を向けることを期待する緩和措置もあります。

Credential Stuffing および ATO 攻撃を詳しく分析すると、いたちごっこのような様相を呈します。攻撃者がとる各行動に対して標的となる組織が対応し、それに対してまた攻撃者が行動を起こすといった具合です。図 2 に示すように、複雑で相互に依存する一連の流れが生じます。すべての攻撃を完全に阻止することはできないかもしれません。しかし、攻撃者が攻撃しづらくするとともに、攻撃のコストを高くするための緩和措置を重点的に実施することで、キルチェーンを妨害することができます。

Fig2.PNG

図 2. 組織が Credential Stuffing と ATO のキルチェーンを妨害する方法

セキュリティのコストは下げつつ、攻撃者のコストを上げる

Credential Stuffing と ATO から企業を守るには、攻撃者を単に技術力に優れた犯罪者と考えるのではなく、ビジネス能力に長けた犯罪者と見なすことが重要です。

攻撃者にとっての技術的コストと経済的コストを上げるとは、次のようなことを意味します。

  • 攻撃者がハードウェア、コンピューティング、人員増強(CAPTCHA ファームなど)により多くの資金を投入せざるを得なくします。
  • 攻撃者が同等の数の認証情報を検証するために、盗難された認証情報をより多く購入せざるを得なくします。
  • 認証情報の検証、または検証された認証情報の悪用に時間と労力がかかるようにします(フィッシングやソーシャルエンジニアリングなど)。
  • 成功の確率を下げるとともに、攻撃のコストに比して得られる価値を小さくすることで、攻撃者の投資回収率 (ROI) を下げます。

攻撃者が組織を攻撃する際の技術的な難易度と経済的コストを上げることで、標的にされる組織では、次のようなコスト削減効果が見込めます。

  • 侵害されたアカウントの確認にかかるコストと労力の削減
  • 規制が課せられる業種における規制不遵守、政府による罰金、訴訟のリスクの緩和
  • アカウントの盗難にともない新しいアカウントを用意するコストの削減
  • 顧客離れとブランドの資産価値毀損による経済的損失の低減
  • 攻撃および攻撃にともなうトラフィックを減少させることによるインフラコストの低減
  • 今でさえ負荷の高いセキュリティおよび不正防止チームによる対応時間の短縮

考え方を転換し、ビジネスの視点から Credential Stuffing と ATO を妨害

攻撃者は、常に新たな手法やテクノロジーを駆使して Credential Stuffing と ATO を実行します。攻撃者は、ビジネスパーソンと同じように常に自己を磨いて進化しています。顧客、従業員、企業を守るには、防御する側も、攻撃を阻止するための新しい考え方を取り入れる必要があります。適切なテクノロジーを導入することで多くの攻撃を阻止できますが、すべてを阻止できるわけではありません。そこで、ビジネスの面にも目を向け、攻撃の経済的コストを高める新たな考え方を取り入れる必要があります。先ほどご紹介したような手順を実施して、攻撃者のコストを上げ、攻撃の効率性を下げることで、犯罪者の「ビジネスモデル」を全体として妨害することができるでしょう。

Leave a comment