Dan Woods (F5 の Shape Security Intelligence Center 担当 VP) と Sander Vinberg (F5 Labs 脅威エバンジェリスト) が、DevCentral の John Wagnon と Jason Rahm とともに、F5 Labs の新しい Credential Stuffing レポートについて詳しく解説します。
詳細については、 2021 年の Credential Stuffing レポートの全文を確認し、DevCentral Connects ディスカッションの拡張バージョンをこちらで視聴してください。 レポートの主な調査結果の要約も以下に記載されています。
F5 Labsの最新のCredential Stuffing Reportによると、認証情報漏洩事件の年間件数は2016年から2020年にかけてほぼ2倍に増加しました。
この種の調査の中で最も包括的な調査では、同じ期間に漏洩した認証情報の量が 46% 減少したと報告されています。 流出したレコードの平均サイズも減少し、2016 年の 6,300 万件から昨年は 1,700 万件に減少しました。 一方、2020年の流出量の中央値(200万件のレコード)は、2019年と比較して234%増加し、2016年(275万件)以来の最高値となりました。
大量の侵害されたユーザー名やメール アドレスとパスワードのペアを悪用するクレデンシャル スタッフィングは、世界的に拡大している問題です。 方向性を示す好例として、昨年 FBI が発行した民間業界通知では、この脅威が 2017 年から 2020 年の間に米国の金融セクターに対するセキュリティ インシデントの最大数 (41%) を占めていると警告しています。
「攻撃者は長年にわたり数十億の認証情報を収集してきました」と、F5コミュニティ(F5 LabsおよびDevCentral)のシニアディレクター、サラ・ボディ氏は語った。 「認証情報の漏洩は石油流出のようなもので、一度漏洩すると、認証情報は一般消費者によって変更されないため、クリーンアップするのは非常に困難です。また、認証情報のスタッフィングソリューションは、企業にまだ広く採用されていません。 この調査期間中に、最も多く発生している攻撃の種類が HTTP 攻撃からクレデンシャル スタッフィングに変化したことは驚くべきことではありません。 この攻撃タイプはアプリケーションのセキュリティに長期的な影響を及ぼし、すぐには変化しません。 ハッキングを心配しているのであれば、それはクレデンシャルスタッフィング攻撃によって起こる可能性が高いです。」
調査結果に基づき、F5 Labs の脅威研究エバンジェリストでありレポートの共著者でもある Sander Vinberg 氏は、組織に対し警戒を怠らないよう促した。
「2020年に漏洩した認証情報の総量と規模が減少したことは興味深いが、まだ喜ぶべきではない」と彼は警告した。 「クレデンシャルスタッフィングやフィッシングを含むアクセス攻撃は、現在、侵害の第一の根本原因となっています。 セキュリティチームがデータ流出や詐欺との戦いに勝つ可能性は非常に低いため、以前は混沌としていた市場が成熟するにつれて安定しつつあるように見えます。」
業界のベストプラクティスに関するコンセンサスは高まっているものの、レポートの主要な調査結果の 1 つは、パスワードの不適切な保管が依然として永遠の問題となっていることです。
ほとんどの組織はパスワード ハッシュ アルゴリズムを公開していませんが、F5 は 90 件の具体的なインシデントを調査して、資格情報漏洩の最も可能性の高い犯人を把握することができました。
過去 3 年間で、認証情報の漏洩の 42.6% は保護されておらず、パスワードはプレーンテキストで保存されていました。 これに続いて、パスワード ハッシュ アルゴリズム SHA-1 に関連する認証情報の 20% が「ソルトなし」(つまり、パスワードの末尾に追加して異なるハッシュ値を作成できる一意の値が欠けている) でした。 「ソルト付き」bcryptアルゴリズムは16.7%で3位でした。 驚くべきことに、広く信用されていないハッシュアルゴリズムである MD5 は、ハッシュにソルトが加えられた場合でも、漏洩した資格情報の割合がわずかでした (0.4%)。 MD5 は、ソルトの有無にかかわらず、何十年もの間、脆弱で不適切な方法であると考えられてきました。
レポートで注目すべきもう 1 つの点は、攻撃者が認証情報の悪用の成功率を最適化するために「ファジング」技術をますます使用していることです。 ファジングとは、変更された入力を使用してパーサーを繰り返しテストすることで、入力解析コードのセキュリティ上の脆弱性を見つけるプロセスです。 F5 は、ほとんどのファジング攻撃が侵害された認証情報が公開される前に発生したことを発見しました。これは、この手法が高度な攻撃者の間でより一般的であることを示唆しています。
F5 は、 2018 年の Credential Stuffing レポートで、認証情報の漏洩が公に知られるまでに平均 15 か月かかったと報告しました。 これは過去 3 年間で改善されました。 インシデントの日付と発見日の両方がわかっている場合、インシデントを検出する平均時間は現在約 11 か月です。 しかし、この数字は、検出に 3 年以上かかった少数の事件によって歪められています。 インシデントを検出するまでの平均時間は 120 日です。 組織が侵害を公表する前に、ダーク ウェブ上で漏洩が検出されることが多いことに注意することが重要です。
流出の発表は通常、ダーク ウェブ フォーラムに資格情報が表示されることと一致します。 2020 年の Credentials Stuffing レポートでは、F5 は認証情報の盗難からダーク ウェブへの投稿までの重要な期間を特に分析しました。
研究者らは、「コレクション X」と呼ばれる、数千件の個別のデータ侵害から収集された約 90 億件の認証情報のサンプルを使用して、履歴分析を実施しました。 資格情報は2019年1月初旬にダークウェブフォーラムに投稿されました。
F5 は、コレクション X の認証情報を、発表日 (認証情報の漏洩が初めて公になった日) の前後 6 か月間に顧客グループに対する認証情報スタッフィング攻撃で使用されたユーザー名と比較しました。 調査対象となったのは、フォーチュン 500 企業の顧客 4 社(銀行 2 社、小売業者 1 社、食品飲料会社 1 社)で、21 か月間で 720 億件のログイン トランザクションが記録されました。 研究者は、Shape Security テクノロジーを使用して、盗難、販売、使用を通じて盗まれた認証情報を「追跡」することができました。
12 か月間にわたって、4 つの Web サイトにおける正当な取引と攻撃の両方で 29 億の異なる認証情報が使用されました。 認証情報の約3分の1(9億件)が侵害されました。 盗まれた認証情報は、銀行での正当な人間による取引で最も頻繁に見られました(それぞれ 35% と 25% の事例)。 攻撃の10%は小売業を標的とし、約5%は食品・飲料業に集中していました。
調査に基づき、Credential Stuffing レポートでは、認証情報の不正使用の 5 つの異なる段階を特定しました。
「ユーザーにオンラインアカウントへのログインを要求する限り、クレデンシャルスタッフィングは脅威となるだろう」とボディ氏は付け加えた。 「攻撃者は詐欺防止技術に合わせて攻撃方法を変更し続けるため、クレデンシャルスタッフィングや詐欺に関連する適応型の AI を活用した制御に対する強いニーズと機会が生まれています。 攻撃を100%瞬時に検出することは不可能です。 攻撃コストが非常に高くなるため、詐欺師が諦める可能性もある。 サイバー犯罪者とビジネスマンの世界に共通する真実が一つあるとすれば、それは「時間は金なり」だということです。」
脅威インテリジェンスとサイバーセキュリティに関する追加の視点については、 https://www.f5.com/labsをご覧ください。