Credential Stuffing とアカウントの乗っ取り - ビジネスの視点
犯罪者がアカウントの支配権を握るために正規のアカウント所有者になりすます「 アカウントの乗っ取り (ATO)」は、あらゆる業種の企業に大きな損害をもたらします。アカウントが盗まれたことによる損失といった経済的な損害に始まり、規制や法律に関する問題、顧客の喪失、信用の毀損によって新規顧客を獲得できないといった数多くの関連する問題が生じる危険性があります。ATO と新規アカウントの不正な作成による損害額は、米国だけで 年間 100 億ドル以上 にのぼると推定されています。
数年前まで、ATO は金融サービス業界特有のアタックサーフェスとして耳にすることが多かったと思います。しかし現在では、メディア、ゲーム、小売などの複数の業種で Credential Stuffing と ATO の被害が増加しています。最近開催された Edge Live | Adapt イベントで、Akamai のチームは、あらゆる業種でますます巧妙化する Credential Stuffing および ATO についてのセッションを開催しました。オンデマンドでセッションをご覧になれます。
Credential Stuffing では、犯罪者が標的となる Web サイトやサービスに対して大量のユーザー名とパスワードを試すボット攻撃を仕掛け、最終的に ATO を目指します。Akamai により 2018 年 7 月~2020 年 6 月の期間に記録された Credential Stuffing 攻撃の数は 1,000 億件を超えています。
ビジネススキルに長けた犯罪者
Credential Stuffing、ATO、その他自動化されたあらゆるセキュリティ攻撃について考える時、多くの場合私達は、攻撃者が使用する高度なテクノロジーについて心配するのではないでしょうか。人間のふるまいを精巧に模倣する新しいツールが使用されないか、あるいは攻撃がさらに巧妙になり、既知の検知の仕組みを回避するのではないかといったことが懸念されるでしょう。私の同僚である Tony Lauro が最近の Daily Swig の記事で、ボットオペレーターが使用する最新の手法について数多く紹介しています。
しかし、見落とされがちな点として、攻撃を成功させるために高いビジネススキルが利用されているという事実があります。 ボットネット オペレーターなどの犯罪者組織は、合法的なビジネスを行う場合とよく似た考え方で攻撃を行います。絶好のビジネスチャンスを追い求め、コストの最小化と利益の最大化を目指します。別の同僚 Jonathan Singer は、このような例として、ゲーム業界で犯罪者が形作る経済圏について紹介しています。
犯罪者は、攻撃を行うためのワークフローまで準備しています。このようなワークフローはキルチェーンと呼ばれます。サイバーセキュリティ業界における考え方の枠組みとして、 Lockheed Martinが 2011 年にこの用語を提唱しました。もともとは軍事的な概念だったキルチェーンは、犯罪者が目標を達成するために実施する一連の手順が構造化されたプロセスです。Credential Stuffing や ATO におけるキルチェーンを図 1 に示します。
図 1.Credential Stuffing と ATO のキルチェーン
企業がキルチェーンを妨害する方法
キルチェーンは、犯罪者の視点から見たものです。標的となる組織にはどのような現象が生じるでしょうか。さらに重要な点として、標的となる組織はキルチェーンを妨害するために何ができるでしょうか。映画などでよく使われる言い回しですが、犯罪者を捕まえるためには、犯罪者になりきって考えることが必要です。Credential Stuffing と ATO のキルチェーンの場合、ビジネスパーソンと同じ思考が求められます。セキュリティチームは、組織が標的となって攻撃を受けるがままにならないように、ボットと人間が関与するキルチェーンの各段階に対して、その影響を緩和する対策を講じることができます。各段階の実施を完全に阻止するための緩和措置もありますが、攻撃のコストを高めることで、簡単に攻撃できてコストの低い他の標的に攻撃者が目を向けることを目指す緩和措置もあります。
Credential Stuffing および ATO 攻撃を詳しく分析すると、いたちごっこのような様相を呈します。攻撃者がとる各行動に対して標的となる組織が対応し、それに対してまた攻撃者が行動を起こすといった具合です。図 2 に示すように、複雑で相互に依存する一連の流れが生じます。すべての攻撃を完全に阻止することはできないかもしれません。しかし、攻撃者が攻撃しづらくするとともに、攻撃のコストを高くするための緩和措置を重点的に実施することで、キルチェーンを妨害することができます。
図 2. 組織が Credential Stuffing と ATO のキルチェーンを妨害する方法
セキュリティのコストは下げつつ、攻撃者のコストを上げる
Credential Stuffing と ATO から企業を守るには、攻撃者を単に技術力に優れた犯罪者と考えるのではなく、ビジネス能力に長けた犯罪者と見なすことが重要です。攻撃者にとっての技術的コストと経済的コストを上げるとは、次のようなことを意味します。
攻撃者がハードウェア、コンピューティング、人員増強(CAPTCHA ファームなど)により多くの資金を投入せざるを得なくします。
攻撃者が同等の数の認証情報を検証するために、盗難された認証情報をより多く購入せざるを得なくします。
認証情報の検証、または検証された認証情報の悪用に時間と労力がかかるようにします(フィッシングやソーシャルエンジニアリングなど)。
成功の確率を下げるとともに、攻撃のコストに比して得られる価値を小さくすることで、攻撃者の投資回収率(ROI)を下げます。
攻撃者が組織を攻撃する際の技術的な難易度と経済的投資を増やすことで、組織において次のようなコスト削減効果が見込めます。
侵害されたアカウントの確認にかかる労力と予算の削減
規制が課せられる業種における規制不遵守、政府による罰金、訴訟のリスクの緩和
アカウントの盗難にともない新しいアカウントを用意するコストの削減
顧客離れとブランドの資産価値毀損の最小化
攻撃および攻撃にともなうトラフィックを減少させることによるインフラコストの低減
今でさえ負荷の高いセキュリティおよび不正防止チームによる対応時間の短縮
ビジネスの視点から不正行為を妨害
攻撃者は、常に新たな手法やテクノロジーを駆使して Credential Stuffing と ATO を実行します。攻撃者は、ビジネスパーソンと同じように常に自己を磨いて進化しています。顧客、従業員、企業を守るには、防御する側も、攻撃を阻止するための新しい考え方を取り入れる必要があります。適切なテクノロジーを導入することで多くの攻撃を阻止できますが、すべてを阻止できるわけではありません。そこで、ビジネスの面にも目を向け、攻撃の経済的コストを高める創造的な考え方を取り入れる必要があります。攻撃者のコストを上げ、攻撃の効率性を下げさせ、犯罪者の「ビジネスモデル」を全体として妨害するような段階を採ることで、ビジネスを不正行為から守ることができるようになるでしょう。
