周りを見回してください、そうすれば見つかります豊かな物語のサイバー犯罪インターネットの世界に溢れています。攻撃者は、企業から顧客の個人データを盗み、それを自らの経済的利益のために使用する新しい方法を見つけています。インターネットのみに基づいてビジネスを行っている企業にとっては、その影響はさらに深刻です。のAkamai のインターネットの現状報告書によると、今年 5 月と 6 月に 83 億件を超える悪意のあるログイン試行が確認されました。これらは何ものでもありませんクレデンシャルスタッフィング攻撃。それについてもっと学びましょう。
クレデンシャルスタッフィングとは何ですか?
オンライン クレジット カードまたはインターネット バンキング アカウントのパスワードを作成する際、よく次のことを求められます。強力なパスワードを作成するaXZvXjkdA(0LJCjiN) のような複雑なものを思いつきませんか? 答えは「いいえ」である可能性があります。
通常、私たちは簡単に覚えられるものを考え出そうとします。たとえば、AjayEarth@34 は、大文字、数字、特殊文字が含まれているというパスワード作成の前提条件をすべて満たしていますが、現在でも破られにくいパスワードではありません。自分の生年月日、好きな映画の名前、好きなバスケットボール選手の名前、配偶者の名前、さらには幼児の名前をパスワードに使用すると、事態はさらに悪化します。これで十分でない場合は、複数のサイトのログインに同じパスワードを使用します。
ここで、ログインしているサイトの 1 つでも攻撃者が侵入すると、ログイン資格情報が公開され、悪用される可能性があります。
その後、攻撃者は認証情報を取得し、自動ツールに提供する可能性があります。このツールは、ターゲット サイトに対してこれらのアカウントを実行して、どの資格情報が機能するかを確認できます。彼らが小売サイト、またはさらに悪いことに銀行サイトにアクセスできたら何ができるかを考えてください。彼らは機密情報を盗んだり、さらに悪いことに、自分が作成した他のアカウントに送金したりします。他人のアカウントに不正にアクセスするこの行為全体を、クレデンシャルスタッフィング。
Credential Stuffing 攻撃では、攻撃者は自動化されたスクリプトとボットを使用して、ターゲット Web サイトに対して各資格情報を試すことができます。これは、侵害された資格情報を使用してオンライン アカウントに不正にアクセスするものであり、ブルートフォース攻撃。
Credential Stuffing のターゲット
Credential Stuffing 攻撃は、通常のインターネット ユーザー以外にも、銀行、金融サービス、政府、医療、教育など、さまざまな業界の組織を標的としています。
Credential Stuffing 攻撃の結果
Credential Stuffing 攻撃の被害者は、金銭的損失だけでなくその他の具体的な損失にも直面します。その一部を次に示します。
- 評判の低下
ほとんどすべての企業は、従業員や顧客に関する個人を特定できる情報を保管しており、これらの企業にはこの情報を保護する法的義務があります。情報侵害が発生した場合、企業は市場での評判の低下に直面することは必至です。
- 規制上の罰金
顧客データやビジネス情報の漏洩は、多くの場合、規制上の罰金を招く可能性があります。政府や規制機関は違反の重大度に応じて厳しい罰金を課す場合があります。こうした経済的負担が積み重なり、あらゆる規模の企業に壊滅的な打撃を与える可能性があります。
- 運用コスト
企業は、Credential Stuffing 攻撃に起因する調査、修復、顧客管理により、運用コストが発生することは避けられません。攻撃の範囲によっては、コストが数百万ドルに及ぶ可能性があります。
- 顧客の損失
顧客の損失は収益の損失であり、機密性の高いビジネス データを保護できなければ、ほとんどの企業は顧客を失う可能性があります。
Credential Stuffing 攻撃を防ぐ方法
Credential Stuffing 攻撃から身を守る最善の方法は、いくつかの基本的な予防策を講じることです。あなたができることは次のとおりです。
- パスワードのベストプラクティス– パスワード管理に関しては、ベスト プラクティスを採用します。強力で馴染みのないパスワードを設定し、継続的に変更します。また、同じパスワードを複数のログインに使用しないでください。
- VPNを使用する– リモート アクセスがビジネスの手段になりつつあるため、VPN の使用が必要になります。あVPN ソフトウェアセキュリティで保護されていないネットワークでも安全なネットワーク接続が可能になるため、従業員は自分の資格情報を使用して、どこにいても企業ネットワークに安全にアクセスできます。
- 二要素認証– 2 要素認証に従ったログインは、2 番目のアクセス コードがデータベースに保存されないため、トラップできないため、優れた保護を提供します。 2 要素認証では、パスワードが電話または電子メールに送信され、有効期限は 60 秒です。これにより、基本的にクレデンシャルスタッフィング攻撃は分散型サービス拒否攻撃に格下げされるため、ネットワークの防御を突破できなくなります。
- ファイアウォール– ファイアウォールは悪意のあるトラフィックを識別し、送信元 IP アドレスをブロックして、送信元からの攻撃を遮断します。
安全に過ごしましょう!
Credential Stuffing は DDoS 攻撃ですか?
いいえ、クレデンシャルスタッフィングは DDoS 攻撃ではありません。これは、犯罪者が盗んだログイン資格情報を使用してアカウントに不正にアクセスするサイバー攻撃であり、多くの場合、検出を回避するために DDoS 攻撃に見せかけます。
ブルート フォースとクレデンシャル スタッフィングの違いは何ですか?
ブルート フォースとクレデンシャル スタッフィングの違いは、ブルート フォースでは 1 つまたは複数のアカウントに対して複数のパスワードを試行してパスワードを推測するのに対し、クレデンシャル スタッフィングでは既知の (侵害された) ユーザー名とパスワードのペアを他の Web サイトに対して使用することです。 Credential Stuffing は侵害されたデータを悪用しますが、ブルート フォース攻撃はランダムな推測に依存します。
資格情報検証攻撃とは何ですか?
認証情報検証攻撃は、攻撃者が盗んだ認証情報または推測した認証情報を使用してシステムへの不正アクセスを取得し、セキュリティ対策を回避し、機密データを盗むときに発生します。このサイバー攻撃は、脆弱なパスワード ポリシーと不十分な認証プロトコルを悪用し、組織の防御を突破します。
追記:聞いたことがあるパスワードスプレー攻撃ところで?
