アイデンティティの脅威を定量化する： 認証リクエストの5分の1は悪意がある

F5 Labsの調査によると、認証リクエストの19.4％がクレデンシャル・スタッフィング攻撃によるものである可能性が高い；

緩和策を講じることで、有病率は3分の2以上減少するが、その後の攻撃は巧妙化する；

盗まれたクレデンシャルの75%は出所不明である。

SEATTLE - デジタルIDはサイバーセキュリティの戦場となっており、認証リクエストの5分の1が悪意のある自動システムによるものであることが、F5 Labsの新たな調査で判明した。

2023年アイデンティティ脅威レポート アンパッチャブルズは、2022年3月から2023年4月の間に159の組織のシステムで発生した3200億件のデータトランザクションを分析した。 

緩和策が実施されていない場合、クレデンシャル・スタッフィングの強力な指標である自動化率は平均19.4％であった。 悪意のあるトラフィックをプロアクティブに緩和した場合、この割合は3分の2以上の6％に減少した。  

クレデンシャル・スタッフィング攻撃は、あるシステムから盗まれたユーザー名とパスワードを悪用し、他のシステムに侵入するものである。 自動化ツールはこの核心であり、攻撃者は試行回数を最大限に増やすことができる。

「F5 LabsのThreat Research EvangelistであるSander Vinberg氏は、「デジタルIDは攻撃者にとって長い間優先事項であり、人間以外のIDの普及が進むにつれて脅威は増大しています。 「我々の調査は、デジタル・アイデンティティがどの程度攻撃を受けているか、そして効果的な緩和策の重要性を示している。 重要なことは、悪意のある自動化の使用は、保護が導入されると直ちに低いレベルまで減少し、攻撃者はより簡単なターゲットを求めてあきらめる傾向があるという一貫したパターンを発見したことである。

緩和：その前と後

この研究の主要な部分は、クレデンシャル・スタッフィング攻撃に対する緩和策の影響を調査したものである。 これらは攻撃者の行動を変化させ、悪意のあるオートメーションの使用を減少させる傾向があった。 

F5 Labsは、緩和策を講じない場合、攻撃はウェブよりもモバイルのエンドポイントに対してより多く発生していることを明らかにしました。 緩和策が導入された後、モバイルからの攻撃はさらに減少し、その後の攻撃はウェブエンドポイントを経由するものが多くなった。

緩和策もまた、攻撃の巧妙さに関係している。

保護されていない認証エンドポイントに対しては、悪意のあるトラフィックの64.5％が「基本的」と分類される攻撃で構成されていた。 このような攻撃の割合は、緩和策が講じられた後、44％と大幅に減少した。

対照的に、「中間的な」攻撃（ボット対策ソリューションを改ざんしようとする何らかの努力）は、対策導入後に12％から27％に上昇した。 マウスの動き、キーストローク、画面の大きさなど、人間のブラウジングを忠実にエミュレートできるツールを使った高度な攻撃は、20％から23％に増加した。 

「われわれの分析によれば、多くの攻撃者は、プロテクションが導入されると、単純に移動してしまうのです」とヴィンバーグ氏は言う。 「緩和策が講じられたシステムを狙い続ける攻撃者は、人間の行動を忠実に再現したり、活動を隠蔽したりするためのツールを駆使し、明らかに決意が固く、洗練されている。 

「例えば、516,000のリクエストにわたって513,000のユニークなユーザー・インタラクションをエミュレートし、1%未満のインスタンスで識別可能な機能を再利用する攻撃を観察しました。 最も巧妙な攻撃では、悪意のある行動を特定し、新しいシグネチャを作成するために、手作業による観察が必要になることもある。

守備陣の課題は山積み

F5 Labs は、漏洩したクレデンシャルのサプライチェーンも調査した。 心配なのは、守備陣の視界が想像以上に狭いことだ。 攻撃中に提出されたクレデンシャルの75％もが、以前は侵害されたことが知られていなかった。

さらに、防御側は、緩和策を克服するように設計されたアイデンティティの脅威に対応しなければならなくなっている。 たとえば、組織は、認証要求の成功率が異常に低いことを調べることによって、クレデンシャル・スタッフィング攻撃を監視しようとするかもしれない。 この研究では、攻撃者は「カナリア」アカウントでこれに適応していることがわかった。 これらに継続的にアクセスすることで、全体の成功率を人為的に高めることができる。 ある例では、クレデンシャル・スタッフィングキャンペーンが、この目的で同じ週に同じカナリアアカウントに3700万回もログインした。

F5 Labsの分析でもう1つの重点分野であるフィッシング攻撃では、対策への取り組みが強化されていることが改めて明確に示された。 特筆すべきは、多要素認証の利用が増えたことで、攻撃者が偽のログインページを立ち上げ、ユーザーに認証情報の入力を促すリバース・プロキシ・フィッシングの増加に拍車がかかっていることだ。 

さらに、攻撃者はAntiRedのような検知回避機能をますます利用するようになっている。 これは、グーグル・セーフ・ブラウジング（潜在的に安全でないサイトに遭遇した際にユーザーに赤旗メッセージを表示する）のようなブラウザベースのフィッシング分析を克服するために設計されたJavaScriptツールである。

目前に迫る新たな脅威

継続的に進化する環境を背景に、F5 Labsは新世代の脅威がどのように出現しているかも観察した。 

その一例として、2022年8月、ダークウェブ上で、人工知能を使ってフィッシング・コールを自動化する音声フィッシング・システムを宣伝する広告が観測された。 AIの高度化とコストの低下は、このようなアプローチが時間の経過とともに一般化し、効果的になることを意味する。

「今後、ID プロバイダは、クレデンシャル・スタッフィングなどの悪意のある自動化を軽減するために、アンチボット・ソリューションを採用すべきである。 単純なアンチボット・ソリューションでも、素朴なクレデンシャル・スタッフィングの大部分を軽減することができます」とヴィンバーグ氏は付け加えた。

「組織は、WebAuthnまたはFIDO2プロトコルに基づくものなど、暗号ベースのMFAソリューションを使用することにより、防御をさらに強化することができます。 結局のところ、ID ベースの攻撃に対抗するための特効薬はない。 防御側は攻撃を監視・検知し、検知の誤り率を定量化し、それに応じて適応しなければならない。 このような攻撃や、常に移り変わる性質を研究すればするほど、ユーザーがアクセスするために身元を証明しなければならないシステムに内在する脆弱性のリスクを、より適切に管理できるようになる」。