BLOG

データプライバシーのためには、クレデンシャルスタッフィングからの保護が必要不可欠です

Jim Downey サムネール
Jim Downey
Published July 06, 2022

2022年6月27日、130を超えるデータ保護およびプライバシーの規制当局と執行機関からなるGlobal Privacy Assembly(GPA)は、クレデンシャル スタッフィングに関する、初の政府間ガイドラインを発表しました。このガイドラインでは、クレデンシャル スタッフィングによって世界規模で個人データにリスクが及ぶこと、組織がこの脅威への対策を講じることをデータ保護法で義務付けられていることを述べています。

F5は、光栄にもガイドライン作成に参加、GPAの承認に感謝しています。F5はかねてよりクレデンシャル スタッフィングの脅威を認識してきました。F5のSumit Agarwalは、米国国防総省で国防副次官補を務めていた際、クレデンシャル スタッフィングという用語を考案しました。この考え方は、2011年、一流ボット管理ベンダーのShape Security(現在はF5の傘下)の基盤となりました。現在、F5は、世界大手の銀行、eコマース企業、航空会社、ホスピタリティ事業者、ソーシャル メディア企業を対象に、クレデンシャル スタッフィングおよび関連する脅威に対する保護機能の提供を継続しています。

GPAの永続的な作業部会であるInternational Enforcement Cooperation Working Group(IEWG)が発表された新しいガイドラインでは、クレデンシャル スタッフィングの実行方法を文書化し、まん延の一因となっている攻撃者の経済学について説明し、この脅威が世界的な懸念材料でありデータ プライバシー法に盛り込まれなければならない理由に焦点を当て、クレデンシャル スタッフィングを緩和するためのいくつかの方法の概要を説明しています。

GPAのガイドラインは、政府機関による最近のいくつかの警告に基づいています。2022年1月5日、New York State Office of the Attorney GeneralはBusiness Guideを発行し、クレデンシャル スタッフィングのまん延と企業による予防措置の必要性について述べました。2020年9月15日、米国証券取引委員会はRisk Alertを発表し、SEC登録投資アドバイザーやブローカーおよびディーラーに対するクレデンシャル スタッフィングの急激な増加について述べました。2020年9月10日、米国連邦捜査局はPrivate Industry Notificationの中で、米国金融機関に対するクレデンシャル スタッフィング攻撃の急増について警告し、50,000件を超えるアカウントが影響を受け、通知および修復コストだけで年間平均600万ドルのコストが企業にかかっていることを述べています。これらのインシデントは、General Motorsに対する大規模なクレデンシャル スタッフィング攻撃について記載されている最近の個人情報保護管理責任者の記事のとおり、CPOに影響を与え続けています。

クレデンシャル スタッフィングは、攻撃者がWebサイトに対して盗んだ認証情報を試してアカウントを乗っ取るサイバー犯罪です。攻撃者は、ボットと呼ばれる自動化ツールを使用して、大規模にこれらの攻撃を実行します。これはROIが高く、非常に効果的なサイバー犯罪です。その理由は次のとおりです。1)盗んだ認証情報はすぐに利用できる状態である、2)(FBIによると)60%ものユーザーが複数のアカウントで同じパスワードを使用している、3)多くの組織は、CAPTCHAやIP拒否リストなどの非効果的な緩和方法を利用している。

盗難に遭っている認証情報の数は驚異的です。F5 Labsの2021年版クレデンシャル スタッフィング レポートによると、2020年だけで、18億6,000万件の認証情報が盗難の被害に遭っています。GPAガイドラインでは、2013年のYahooのデータ侵害などの大規模な侵害によって、何十億件もの認証情報が危険にさらされたと指摘しています。攻撃者は、データ侵害が公に報告されるまで、何年にもわたって盗んだ認証情報を悪用できます。

「...民間部門の調査では、2017年11月から2019年3月の間に、ゲーム業界で550億件のクレデンシャル スタッフィング攻撃を特定しました。これは、1か月あたり30億件超、1日あたり1億700万件超に相当します。さらに調査では、2020年の世界のクレデンシャル スタッフィング攻撃の件数は1,930億件であると特定し、これは、1か月あたり160億件超、1日あたり5億件超に相当します。」

GPAガイドラインでは、侵害したアカウントを悪用した偽情報または個人に関する虚偽の申し立てによる評判の失墜など、プライバシー侵害の被害企業が金銭的な損害以上の被害を受ける可能性についても指摘しています。これらのプライバシーの侵害が生活を脅かす可能性があることは容易に想像できます。

最も大事な点として、ガイドラインでは、EUのGDPRおよび米国連邦取引委員会のSafeguards Ruleの特定の条項を引き合いにして、組織が、データ プライバシー法で義務づけられている「適切な」セキュリティ対策の1つとしてクレデンシャル スタッフィングに対する保護対策を検討する必要があるとまとめています。

「クレデンシャル スタッフィング攻撃による個人データへの明らかな脅威(特に、オンラインでアクセスできるユーザー アカウントを持つ組織への攻撃)と、結果として生じる不正処理/アクセスを考えると、少なくとも暗黙的にデータ保護法およびプライバシー法に基づき、クレデンシャル スタッフィング攻撃から個人データを保護する対策の導入が一般的に必要となります。」

GPAガイドラインでは、クレデンシャル スタッフィングから保護するための次のような複数の緩和策を組織が検討することを推奨しています。

  • 認証情報の使用の削減につながるゲスト チェックアウト
  • パスワード再利用のリスクを最小限に抑える強力なパスワード ポリシー
  • シングル サインオン(SSO)などのパスワードに代わる方法
  • 多要素認証(MFA)
  • 第2パスワードおよびPIN
  • デバイスの指紋認証機能
  • 予測不可能なユーザー名
  • 侵害されたパスワードの特定
  • 速度制限
  • ログイン ページとプロセス(マルチステップ ログイン)
  • アカウントのモニタリング/検出
  • 匿名ネットワークに対する追加のチェック(TORなど)
  • CAPTCHA
  • WAF
  • IPブロックリストと許可リスト
  • インシデント レスポンス計画とユーザー通知

これらは、クレデンシャル スタッフィング攻撃の緩和に役立つ、確実に有効な技法です。所属する組織に最適なアプローチを評価する際、長年にわたってこの分野で革新を続けてきたF5としては、ユーザー エクスペリエンスを低下させたり、アプリケーションの再設計を必要としたりせず、リアルタイムでボットを効果的に緩和できる手段を検討することをお勧めします。

第2パスワードおよびPIN、予測不可能なユーザー名、マルチステップ ログイン ページでも保護機能を強化できますが、ユーザー満足度は低下します。顧客のコンバージョン率の向上とカート離脱率の削減を目指す企業は、顧客と購入との間で障壁となるものは取り除いておきたいと考えるものです。ゲスト チェックアウトも有効ではありますが、組織は、対象を絞ったカスタマイズされたエクスペリエンスを提供できなくなります。MFAも効果的ですが、ユーザーにとって使いにくさが生じるうえ、犯罪者が重点的に標的としている事実があります。

CAPTCHAも同様に使いにくさが生じ、また、多くの人が考えるほど効果的な防御は提供しません。機械学習とクリック ファームを使用したCAPTCHA解決サービスを利用すれば、ボットは安価でCAPTCHAを回避できます(「ヒューマンCAPTCHAソルバーの話」でDan Woodsの実体験をご覧ください)。

F5を利用してきた組織は、IPブロックリストと静的WAFルールは維持が難しいことを知っています。プロキシ サービスによって、ボットは何百万もの有効なレジデンシャルIPアドレスを利用できます。一方で、ボットはブロックされても数時間で適応します。このようなアプローチに頼ることは、負けがわかっているもぐらたたきゲームにセキュリティ チームを強制参加させるようなものです。

同様に、アカウントのモニタリング/検出、インシデント レスポンス計画、およびユーザー通知はすべて重要であり、ボット管理プログラムに含める必要がありますが、これらの保護対策は、攻撃が生じた後に適用されるものです。幸いなことに、犯罪者によるアカウント乗っ取りを最初の段階で防ぐために利用できる手段があります。

F5では、顧客満足度が高く現在の競争の激しい市場で勝ち残れるような優れたデジタル エクスペリエンスを実現しながら、クレデンシャル スタッフィングによる不正使用から組織とその顧客を保護することを決定している組織と連携しています。ボット対策を実施しながら、ユーザー満足度を落とすことなく最高レベルの効果を実現することで、F5は顧客ロイヤルティを獲得してきました。そのテクノロジは、JavaScriptおよびデバイス環境を対象とするモバイル ネイティブ信号、およびボットの動作特性に関する長年にわたる調査と開発に基づいています。これらの信号に基づくリアルタイム検出に加えて、F5 Distributed Cloud Bot Defenseには、迅速な検出とボット改良への対応を行う機械学習分析サービスが備わっています。長期にわたる有効性を確保するために、信号収集コードは高度な難読化技法を使用し、リバース エンジニアリングや信号の改ざんを防止します。

F5は、サイバーセキュリティを個人的なものにできると考えています。また、組織に対して不正を働き、個人に打撃を与えるクレデンシャル スタッフィング攻撃は、私たちが解決に取り組んでいる問題の種類を正確に示すものです。F5のインテリジェンス部門グローバル責任者であるDan WoodsがFast Companyで指摘するように、これらの攻撃は、以前はあまり注目されていませんでした。GPAや多数のプライバシー管理機関のおかげで、個人のプライバシーに対するこのリスクが明るみに出たのです。

「Colonialへの攻撃により、サイバーセキュリティに関する一般的な認識とメディアの論調の明らかなすれ違いが浮き彫りになりました。一方では数百万人への被害は小さい。一方では世界的ニュース。一方では個別の計画のための貯蓄が盗まれたことにより数千世帯に大打撃。一方ではクリケット。」

生活に関わる多くのものがデータとしてオンラインで保存されるこのデジタルの時代で、私たちは、最も真剣にデータ プライバシーに取り組む組織に依存しています。この点は、世界各国の政府が施行するプライバシー法の厳格さが増していることから痛感させられます。GDPRなどのデータ プライバシー法では、プライバシーを保護するために組織がすべての適切な対策を講ずることを求めています。クレデンシャル スタッフィングについて私たちが現在わかっていることに基づき、これらのGPAガイドラインでは、クレデンシャル スタッフィングに対する保護を組織の適切な対策に含めなければならないことを明示しています。

ボット対策のROIに関する詳しい洞察については、Forrester Total Economic Impactレポートを参照してください。f5.com/bot-defenseでは、詳細を確認したり、F5のボット対策エキスパートへのご相談をスケジュールしたりできます。