クレデンシャルスタッフィングが増加しています。 F5 Labs 2021 Credential Stuffing Report によると、年間のクレデンシャル流出事件の数は 2016 年から 2020 年の間にほぼ倍増しています。 組織は、洗練された攻撃者を警戒するか、そうでなければクレデンシャルスタッフィング攻撃の被害者となるリスクを負う必要があります。
アカウント乗っ取りの最も一般的な手法の 1 つなので、チームはこれを防ぐために必要な知識を身につけなければなりません。 クレデンシャルスタッフィング攻撃の詳細と、社内での発生を防止する方法について引き続きご覧ください。
クレデンシャルスタッフィングとは?
クレデンシャルスタッフィングとは、攻撃者が盗んだクレデンシャルを使って、複数のユーザーアカウントに不正にアクセスしようとするサイバー攻撃戦略です。 多くのユーザーが複数のオンラインプラットフォームでパスワードを使い回す傾向があるため、このタイプのブルートフォース攻撃はしばしば成功します。
実際、IT サービス管理会社の Okta は、2022 年の最初の 90 日間に同社のプラットフォーム上で 100 億以上のクレデンシャルスタッフィングイベントを報告しており、プラットフォームにおけるトラフィック/認証イベントの 34%を占めていました。
クレデンシャルスタッフィング攻撃を防止する 6 つの方法
Ponemon Institute の Cost of Credential Stuffing レポートによると、クレデンシャルスタッフィングによって企業は、システムまたはアプリケーションのダウンタイム、顧客喪失、IT コストの増加という形で、平均して年間約 600 万ドルの損失を被っています。
自分自身やチームがクレデンシャルスタッフィング攻撃の犠牲者とならないようにしましょう。 クレデンシャルスタッフィング攻撃の防止に関しては、以下のヒントをご覧ください。
1. 強力なパスワード生成
サイバー犯罪者は、人々がパスワードの使い回しに罪悪感を抱いているという事実を利用しています。 実際、Google の調査によると、全体の 65%の人が複数のアカウントで同じユーザー名とパスワードの組み合わせを使用していることが判明しています。 犠牲者とならないように、 個々のアカウントに独自のパスワードを作成することで、優れたパスワード衛生を実践しましょう。
ランダムなパスワード生成ツールを提供するパスワードマネージャーを使用することが推奨されています。 パスワード管理ツールは、強力なパスワードを作成し、それらを暗号化デジタルボルトに保管することで不正なユーザーから保護することができます。
2. 多要素認証を利用する
あるいは、可能な限り多要素認証(MFA)を有効にしておく必要があります。 知識ベース、所有ベース、生体情報のどの MFA メソッドを選んだとしても、2FA/MFA を有効にすれば、アカウントに対するサイバー攻撃の 99.9%を防ぐことができます。 たとえサイバー攻撃者があなたのログイン情報を入手したとしても、セキュリティ質問に答えたり、生体認証を行うなど、2 つ目の認証方法をクリアしなければならないことに気づけば、その攻撃は阻止されます。
3. ウェブアプリケーションファイアウォール(WAF)を利用する
ウェブアプリケーションファイアウォールには、ソフトウェア、アプライアンス、サービスとして(as-a-service)提供されるものがあります。 WAF は、ウェブアプリケーションに向かう悪質な通信をフィルタリング、監視、ブロックすることで、アプリを保護します。
不審なログイン試行やボットからの異常な通信を検知することができます。 これは、どの通信が悪質で、どの通信が安全であるかを判断するポリシーに従うことで実現されます。 例えば、複数のサイトからの複数のログインリクエストや、見慣れない IP アドレスが、WAF のトリガーとなります。
4. 漏洩したクレデンシャルのスクリーン
ダークウェブモニタリングツールは、自分の情報がダークウェブに流出しているかどうかを判断するのに最適な方法です。 ダークウェブを常にモニタリングし、一致する情報が見つかった場合に通知してくれます。 重要なメリットのひとつとして、即座に通知が届くので、情報漏洩が起こる前に迅速に対策を講じることができるということがあります。
Keeper の BreachWatch は、漏洩したパスワードがないか探して、ユーザーのボルトをスキャンする安全なアドオンです。 自分のアカウントが危険にさらされているかどうかを確認するために、今すぐ無料で自分のメールアドレスをスキャンしましょう。
5. CAPTCHA を解くようにユーザーにリクエストする
CAPTCHA とは、Completely Automated Public Turing test to tell Computers and Humans Apart の頭文字をとったものです。 CAPTCHA は、ボットによる自動ログイン試行を防ぎ、ユーザーが人間であるということを確認するものです。
6. チームを教育する
ソーシャルエンジニアリングは、中小企業や大企業が直面する最も顕著なサイバーセキュリティの危険性の一つです。 組織を保護するには、従業員が第一の防衛線となります。
自分のチームのソーシャルエンジニアリング戦術の知識に自信がない? フィッシングテストを実施し、どの社員が当てはまるか確認しましょう。 チームが最新のソーシャルエンジニアリングの戦術を知れるようにし、ポリシーとベストプラクティスを実施しましょう。 テレワークやハイブリッドワークモデルを使用している企業では、オフィス外であっても従業員を信頼できるように、優れたパスワード衛生ベストプラクティスを浸透させましょう。
クレデンシャルスタッフィングに関するよくある質問
クレデンシャルスタッフィングとパスワードスプレー: その違いとは?
クレデンシャルスタッフィングとパスワードスプレーは、どちらも総当たり攻撃の一例ですが、この 2 つの攻撃方法は異なっています。
クレデンシャルスタッフィング攻撃は、パスワードを使い回す危険性を浮き彫りにします。 サイバー犯罪者は、漏洩した一連のクレデンシャルを入手し、そのユーザー名とパスワードのペアを使用することで他のアプリケーションやウェブサイトへのアクセスを試みることができます。
パスワードスプレーとは、サイバー犯罪者がアカウントにアクセスするために、ありふれたパスワードを使用することです。 ユーザーが脆弱なパスワードや予測可能なパスワードを使用している場合、そのアカウントは侵害される危険性があります。
クレデンシャルスタッフィングはどの程度よくあるもの?
Google の調査によると、全体の 65%が複数のアカウントで同じパスワードを使い回しているので、クレデンシャルスタッフィングは比較的成功率が高くて非常にポピュラーな攻撃メソッドとなっています。
企業がクレデンシャルスタッフィング攻撃に直面する可能性はある?
はい、規模の大小を問わず、どんな企業でもクレデンシャルスタッフィング攻撃の被害者となる可能性があります。 企業は、組織内に適切なパスワード習慣を浸透させなければ、その結果に直面することとなります。
あなたは最も脆弱な部分と同じ強さにすぎません。つまり、パスワードの使い回しに手を染める無教養な社員が一人でもいれば、会社全体が危険にさらされることになります。
まとめ:Keeper でクレデンシャルスタッフィングを対策する方法
クレデンシャルスタッフィング攻撃は、企業のサイバーセキュリティ計画において考慮すべき重要なリスクです。Keeperは、このような脅威からあなたとあなたのチームを保護するための多様なセキュリティソリューションを提供しています。
私たちのパスワードマネージャーは、ランダムでユニークなパスワードを生成し、高度なセキュリティを備えた256ビットAES暗号化を使用してデジタルセーフに保存することで、パスワードのクラッキングをほぼ不可能にします。また、Keeper BreachWatchは、ユーザーの個人情報がダークウェブ上で見つかった場合に即座に警告するダークウェブ監視ツールです。
組織のデータおよび顧客情報へのアクセス権を管理するならKeeperがおすすめです。
この機会に14日間のビジネスプランのフリートライアルを試してみてはいかがでしょうか。
BreachWatch やその他の Keeper の機能を企業単位で導入を考えている場合は当社までご連絡ください。