Credential Stuffing からビジネスを保護する 9 つの最善の方法
公開: 2022-12-082019 年に、約 400 万人の Canva ユーザーのユーザー名とパスワードが盗まれ、解読され、オンラインで共有されたことをご存知ですか?
これは Credential Stuffing 攻撃でした。
混乱している?
先に進む前に、この用語の意味を理解しましょう。
Credential Stuffing 攻撃とは何ですか?
Credential Stuffing 攻撃は、サイバー犯罪者がユーザーの資格情報を含む大規模なデータベースを乗っ取り、システムに侵入するサイバー攻撃手法です。 これらの犯罪者は、自動化されたシステムを使用して、Web サイトのログイン フィールドで以前に侵害されたユーザー名とパスワードのペアにアクセスします。
ユーザー名とパスワードの適切なペアを見つけると、さまざまなプラットフォームでユーザー アカウントにアクセスしようとします。
ソース
これらのサイバー犯罪者は、ログインできるアカウントをハイジャックします。
初心者のハッカーが何百ものオンライン サービスや Web サイトにログインするためのツールをすぐに利用できるため、この手法はますます一般的になっています。
調査によると、企業は毎月平均 12.7 回の Credential Stuffing 攻撃を受けており、これにより 600 万ドルもの損失が発生しています。
多くの課題があるため、企業は Credential Stuffing 攻撃からビジネスを保護する必要があります。
Credential Stuffing からビジネスを保護する 9 つの最善の方法
次の方法を使用して、Credential Stuffing 犯罪の可能性からビジネスを保護します。
- ログイン時に多要素認証を使用する
サイバー犯罪の発生を防ぐには、多要素認証 (MFA) を使用して、顧客がオンライン プラットフォームにアクセスできるようにします。 MFA を使用する主な目的は、アカウント乗っ取りのリスクを軽減し、顧客のアカウントにセキュリティを提供することです。
ユーザー名とパスワードを要求するだけでなく、 MFA は顧客にもう 1 つの検証要素を完了するよう要求し、オンライン攻撃が成功する可能性を大幅に減らします。
ソース
ほとんどの企業はワンタイム パスワードまたは OTP の使用を好みます。OTP は、携帯電話または電子メールで受信する 4 ~ 8 桁のコードです。
興味深い統計:顧客の 61% が複数のサービスで同じパスワードを使用しており、顧客のアカウントがハッキングされるのを防ぐために MFA は必須です。
- メールアドレスをユーザー名として使用しない
資格情報攻撃の基本は、同じユーザー名とパスワードを再利用する人々であるため、顧客が電子メール アドレスをユーザー名として使用すると、サイバー犯罪者の仕事がはるかに簡単になります。
顧客が複数の Web サイトで同じ組み合わせのユーザー名とパスワードを使用する可能性を減らすため、ユーザーに異なるメール アドレスとユーザー名を使用するように依頼します。
- 失敗したログイン試行を検出するためのしきい値アラートに焦点を当てる
これは、Credential Stuffing サイバー攻撃のインスタンスを阻止するための非常に効果的な手法です。 システムが「x」回のログイン試行の失敗を検出すると、失敗した試行に関する自動メッセージをユーザーに送信し、カスタム スクリプトを実行してそれらを停止します。
これらのスクリプトは一時的にログイン機能を無効にしたり、サーバーをシャットダウンしたりして、サイバー犯罪者がユーザーのアカウントに一方的にアクセスするのを防ぎます。
興味深い統計: 2020 年には、34 億回の Credential Stuffing 攻撃が銀行やその他の金融サービスに影響を与えました。
- 強力なパスワードと認証ポリシーを用意する
最も簡単で最も広く使用されている防止方法の 1 つは、強力なパスワードと認証ポリシーを設定することです。 顧客と従業員に、パスワード マネージャーを使用して一意で強力なパスワードを生成するように勧めます。
ソース
従業員と顧客に、アカウントごとに異なるパスワードを使用する利点を教えてください。
また、失敗したログイン要求の数に厳密な制限を設定します。
たとえば、銀行は顧客アカウントを一時的に凍結する前に 3 ~ 5 回の試行のみを許可します。
口座の凍結を解除するには、顧客は銀行に行くか、顧客サービス担当者に相談する必要があります。
さらに、従業員と顧客に定期的にパスワードをリセットするように勧めてください。
興味深いことに、データ侵害の 81% は、顧客が脆弱なパスワードを使用するか、アカウントへのログインに侵害された資格情報を使用するために発生します。
- パスワードレス認証を採用
多くの企業は、クレデンシャル スタッフィング サイバー攻撃を防ぐための新しい革新的な方法、つまりパスワードレス認証を使用しています。
パスワードを使用して顧客を識別する代わりに、パスワードレス認証では、デバイス、別のアカウント、または生体認証を使用して顧客を検証します。
パスワードレス認証は、サインイン セキュリティをより良いものから最高のものへと引き上げます。 パスワードの盗難の可能性を排除します。
このような方法により、顧客は長くて複雑なパスワードを覚える手間を省くことができます。
興味深い統計: Z 世代の顧客の 78% が、複数のオンライン アカウントに同じパスワードを使用しています。
- Web アプリケーション ファイアウォール (WAF) を使用する
Web アプリケーション ファイアウォールの実装は、サイバー犯罪者からの異常なトラフィックを検出する優れた方法です。
ほとんどの WAF は、特にサイバー犯罪者が突然多くの試行を試みた場合に、潜在的なログイン試行を識別します。
WAF は、クレデンシャル スタッフィングの可能性のあるインスタンスを特定するだけでなく、Web 攻撃中に発生するデータ侵害を防ぎます。
プロのヒント:すべての Web サイトに WAF を実装して、データ侵害や Credential Stuffing を防ぎます。
- 資格情報のハッシュを使用する
サイバー犯罪者がパスワードを盗むのを防ぐには、資格情報のハッシュを使用します。 クレデンシャル ハッシュ プロセスでは、システムはユーザーのパスワードをスクランブルしてからデータベースに保存します。 サイバー犯罪者がこれらのパスワードにアクセスできたとしても、それらを使用することはできません。
パスワードのハッシュ化は、Credential Stuffing を防ぐには効果的すぎるかもしれませんが、盗まれたパスワードでサイバー犯罪者ができることを制限するのに役立ちます。
プロのヒント:資格情報のハッキングは暗号化とは異なります。これは一方向の暗号化機能であり、暗号化は双方向で機能します。 暗号化プロセスは可逆的であるため、
サイバー犯罪者は、テキストを解読するための秘密鍵を取得します。
- IP ブラックリストを使用する
通常、サイバー犯罪者は限られた IP アドレス プールにアクセスできます。 同じ IP アドレスから複数のアカウントへのログイン試行に気付いた場合は、そのような IP アドレスをすべてブラックリストに登録してください。
誤検知の餌食にならないように、顧客のアカウントへのログインに使用された最後のいくつかの IP アドレスを追跡します。 次に、IP アドレスを疑わしいものと比較します。
ソース
IP バックリストを使用することの唯一の欠点は、サイバー犯罪者が IP スプーフィングなどの手法を使用する可能性があることです。これにより、別の IP アドレスを使用してシステムに接続しているという印象を与えることができます。
これにより、サイバー犯罪者は身元を隠しながらブラックリストを回避できます。
プロのヒント:包括的な IP ブラックリスト プロセスにより、サイバー犯罪者が資格情報を盗んだり、顧客の資格情報にアクセスしたりすることを防ぎます。
- ヘッドレス ブラウザの使用をブロックする
ヘッドレス ブラウザは、ユーザー インターフェイスのない Web ブラウザです。 これらのブラウザーは Web ページにアクセスしますが、グラフィカル ユーザー インターフェイスまたは GUI はユーザーから隠されています。
通常、開発者は Web サイトやアプリケーションのテスト、JavaScript ライブラリのテストにヘッドレス ブラウザーを使用しますが、サイバー犯罪者はそれらを使用してクリック詐欺を行い、顧客の資格情報にアクセスします。
これらのヘッドレス ブラウザへのアクセスをブロックすることは、疑わしいアクティビティを防ぐことを意味します。
プロのヒント:これらのブラウザーにはナビゲートするための GUI がないため、自動化されたスクリプトまたはコマンドライン インターフェイスを使用して、そのようなブラウザーを制御またはブロックします。
Credential Stuffing 攻撃の例
Credential Stuffing 攻撃は、その発生以来、あらゆる分野のビジネスに影響を与えてきました。 著名で注目に値する攻撃は次のとおりです。
ザ・ノース・フェイス
有名なアウトドア小売業者である The North Face は、2020 年に大規模な Credential Stuffing 攻撃に直面しました。攻撃者は、顧客の名前、電話番号、請求書、配送先住所、メール設定、お気に入りの商品などの情報にアクセスできました。
攻撃の後、ノース フェイスは不特定多数の顧客のパスワードをリセットしなければなりませんでした。 また、会社は疑わしいソースからのアカウントへのログイン率を減らしました。
HSBC
2018 年末にかけて、HSBC は大規模な Credential Stuffing 攻撃に直面し、何千もの顧客の財務上のセキュリティが侵害されました。
銀行は、影響を受けたすべての顧客のオンライン アカウントへのアクセスを一時停止し、オンライン バンキング アカウントのパスワードを変更する手順を開始しました。 銀行は最終的に、将来の攻撃の発生を防ぐためにさまざまなサイバーセキュリティ対策を適用しました。
デイリーモーション
2019 年、DailyMotion は、サイバー犯罪者による大規模かつ進行中の Credential Stuffing 攻撃に遭遇しました。 ビデオ共有プラットフォームは、影響を受けたすべての顧客に警告し、それぞれに個別のサポートを提供しました。
ダンキンドーナツ
3 か月の間に、Dunkin Donuts は Credential Stuffing 攻撃の被害に 2 回遭いました。 攻撃者は、顧客の名、姓、電子メール アドレス、16 桁の Dunkin Donuts アカウント番号、特典 QR コードへのアクセスを取得しました。 Dunkin Donuts は、この攻撃について顧客に積極的に通知しました。
同社は、さらなる攻撃を防ぐためにさまざまな手段を使用し、顧客の詳細のセキュリティを確保しました。
Credential Stuffing 攻撃をプロのように防止
Credential Stuffing サイバー攻撃を防ぐための決定的な解決策はありませんが、上記の対策に従うことで、追加のセキュリティ レイヤーが提供されます。
サイバー犯罪者と顧客は同じブラウザを使用しているため、潜在的な攻撃を検出するために、ビジネスには堅牢で効率的な Credential Stuffing 保護が必要です。
中小企業であるかどうかに関係なく、セキュリティ要件を達成し、顧客の資格情報を安全に保管できるようにする、評判の良いセキュリティ パートナーを持つことが不可欠です。
これらの 9 つのヒントを実装するときは、万全を期してください。それはあなたのビジネスであり、顧客であり、彼らの資格情報を保護する必要があるからです。