アカウント乗っ取り防止対策ソリューション：Account Protector

アカウント乗っ取り・不正利用におけるサイバーキルチェーンの危険性

Akamai の調査では 2020 年の 1年間で、前年比 224% 増の 1,930 億件以上のリスト型攻撃を検知しました。リスト型攻撃では、攻撃者は標的とした Web サイトやサービスに対して Bot による大量のユーザー名とパスワードのペアでログイン試行する攻撃を仕掛け、ログインに成功したリストを生成します。このリストを入手した攻撃者はその後アカウントの乗っ取りに転じるため、リスト型攻撃の増加はアカウント乗っ取りの増加にも影響を及ぼします。実際にアカウント乗っ取りによる被害は、米国において前年比 113 % 増の 140 万件もの被害が発生しております。このようにアカウント乗っ取りによる不正利用は顕著な増加傾向にあり、これらの攻撃から顧客を保護するための適切なセキュリティ対策が求められています。

アカウント乗っ取りを成功させる攻撃者の行動はサイバーキルチェーンとして 5 つのステップに分解されます。

• Reconnaissance : 偵察 (ログイン情報の不正入手)
• Weaponization : 武装化 (Botnet 活用)
• Delivery : デリバリー (Bot を使ったリスト型攻撃)
• Exploitation : エクスプロイト (人による不正ログイン)
• Action : 目的の実行 (不正行為)

これまで Akamai では 悪性 Bot によるリスト型攻撃 (Delivery ステップ) までのステップに対する保護を提供してきましたが、Account Protector がセキュリティポートフォリオに追加されることによりサイバーキルチェーンの全ステップに渡り包括的な保護が可能となりました。

Account Protector とは？

Account Protector の高度な機械学習および振る舞い検知エンジンにより、アカウント乗っ取りによる不正利用から正規ユーザーを保護することができます。正規ユーザーとアカウント乗っ取りを試みる攻撃者の属性や挙動をプロファイリングし、ログイン試行の度に正規ユーザーの振る舞いと比較して異常がないかを検査します。ログイン要求が正規ユーザーからの要求かどうかをリアルタイムで評価します。

評価のためにログインアカウント毎に過去の振る舞いデータを基にユーザープロファイルが作成されます。プロファイルには一般的に使用されるデバイス (ブラウザ情報) や、IP アドレス、ネットワーク、ロケーション、ログインの頻度や時刻などが含まれます。また、ログインアカウント毎のユーザープロファイルとは別に顧客全ユーザーの振る舞いデータを基に母集団のプロファイルも生成されるため、初回ログインからアノマリを検知することが可能です。

Account Protector はどのようにアカウント乗っ取りを防止するのか？

■ リスクスコアに応じた柔軟で多彩なアクション

Account Protector によるリスク評価の結果、ログイン試行毎にリスクスコアが計算されます。リスクスコアは 0 – 100 の範囲で算出され、より数値が大きいほどアカウント乗っ取りのリスクが高いことを示します。Account Protector ではこのリスクスコアの値に基づき柔軟で多彩なアクションを定義することができます。

Account Protector による検知をわかりやすい例で説明します。これらの異常を検知すると Account Protector のリスクスコアの値が高くなります。

例 1 : 日本からログイン試行のあった数分後にアメリカからログイン試行される

→ 物理的に数分後にアメリカへ移動することは不可能なため、リスクスコアの値が高くなります。

例 2 : 普段スマートフォンからしかログインしないアカウントが PC からログイン試行される

→ 普段利用するデバイスや接続元ネットワーク (モバイル ネットワーク → WIFI) が異なるためリスクスコアの値が高くなります。

■ ヘッダー インジェクション機能

Account Protector のリスク評価の結果をリクエストヘッダーに含めてオリジンサーバーへ転送することができます。ヘッダー情報にはログインアカウント毎に独自に生成されるユニーク ID (UUID) やリスクスコアの根拠となる指標データなどを含めることができるため、それらの情報をオリジンサーバー側での分析や追加アクションの判断に活用することができます。よくあるユースケースとしてはスコアの値が XX 以上の場合は、オリジンサーバー側で多要素認証をユーザーへ強制するというものです。

※ Akamai でランダムに生成した UUID (ハッシュ値ではない) でユーザーを識別します。また、この UUID は顧客ごとに完全にユニークな値となります。

以下はオリジン サーバーへ転送できるヘッダー情報のサンプルとなります。ヘッダー内の各フィールドの細かい説明については、今回は省略しますが、以下のサンプルでは ”score=61” と記述があるとおりリスクスコア61 と評価されたことがわかります。

■ 不正なユーザー行動の分析

Account Protector は従来のセキュリティ製品と同様に Security Center に統合されているため、Akamai Control Center からシームレスにレポート画面を閲覧できます。Security Center 上に新たにUser Intelligence Console (下図) が用意され、ユーザー行動における不正なログイン試行の調査を実施することが可能です。

主なレポート機能です。

• 検知状況の統計ダッシュボード (リスクスコア/エンドポイント/タイムラインごとの表示)
• リアルタイムレポートおよび過去レポートの提供
• UUID 検索による個々のユーザー行動の詳細分析
• 豊富なフィルター機能による可視化
• Web Security Analytics への組み込み (Account Protection 項目の追加)

冒頭で説明しました通り、昨今リスト型攻撃やアカウント乗っ取り・不正利用の被害は年々増加傾向にあります。アカウント乗っ取りが行われることでユーザー体験が損なわれるだけではなく、不正購買、不正送金、不正ポイント利用、アカウントの転売、情報漏洩などのさまざまなリスクにつながります。

また、インシデントが発生することでヘルプデスク チームによる不正行為の調査、失った資産の保証、関連する機関への報告などの対応が発生するため、リソースが多く消費されてしまいます。

Account Protector の高度な機械学習および振る舞い検知エンジンにより、アカウント乗っ取りによる不正利用から正規ユーザーを保護することができます。ぜひこの機会に Akamai の Account Protector の利用をご検討してみてはいかがでしょうか。