アカウント乗っ取り(ATO)とは何か

アカウント乗っ取り行為とは何か、その仕組み、およびF5による検出および防止の戦略については、こちらをご覧ください。

アカウント乗っ取り(ATO)は、金融機関やeコマース、その他のオンライン デジタル サービスを標的とした、最も蔓延している、損害の大きな攻撃です。犯罪者は、自動化ボットやその他のサイバー犯罪手口を用いて、盗んだ資格情報を使用して金銭的利益や不正行為を目的にユーザー アカウントへのアクセス権と制御権を取得します。アカウント乗っ取り行為の影響は、実際に表れています。Javelinの2022年ID不正行為調査によると、米国の成人のうち22%がATOの被害に遭っています。

仕組み:アカウント乗っ取り行為の手口

アカウント乗っ取り行為は一連のサイバー犯罪活動が組み合わされたもので、通常は、認証情報の窃取または不正アクセスから始まって、クレデンシャル スタッフィング攻撃につながり、結果として顧客のオンライン アカウントの乗っ取りが発生します。犯罪者はアカウントを乗っ取ると、アカウントの資金を引き出し、蓄えられている価値を現金化し、その後の詐欺行為にそのアカウントを利用します。

クレデンシャル スタッフィング攻撃の最も基本的な種類に、ボット駆動型のブルート フォース攻撃があります。これは、攻撃者がアカウントの認証情報に一致するものを見つけるまで、文字列のランダムな組み合わせをログイン フォームに送り付けるものです。

認証情報はどのようにして盗まれるのか

さらに巧妙なクレデンシャル スタッフィング攻撃は、データ侵害の際に窃取または不正アクセスした有効なユーザー名とパスワードの組み合わせから始まります。盗んだ認証情報は、ダークWebマーケットプレイスで簡単に購入されていますCyber Security Hubによると、2022年だけで220億件ものデータ レコードが流出しました)。

認証情報は、次のような一連のサイバー攻撃およびその他のサイバー犯罪手口によっても盗まれます。

  • フィッシング攻撃:犯罪者がメール、テキスト、またはソーシャル メディア メッセージを使用して、ユーザーをだまして個人情報(ログイン資格情報、銀行口座情報、社会保障番号、その他の機密データなど)を差し出させる、ソーシャル エンジニアリングの悪用の1つです。
  • キー ロギング、Magecart、スキミング、およびその他の種類のクライアント側マルウェア:悪質な攻撃者が、悪意のあるスクリプトをオンライン チェックアウト フォームに挿入することで、認証情報を盗みます。ターゲットとなったフォームで認証情報やクレジット カード情報が入力されると、スクリプトがそのデータを攻撃者に送信し、攻撃者は、その情報を詐欺に利用したり、他の犯罪者に販売したりします。
  • 中間者(MitM)攻撃:攻撃者は、データ通信に関わる正当な二者の間に自身をプロキシとして挿入することにより、メッセージまたはデータ トランザクションをインターセプトします。これにより、攻撃者は、二者からの情報やデータの転送を「傍受」し、ログイン資格情報やその他の個人情報を収集できます。

サイバー犯罪者は有効な認証情報を集めた後、通常は大規模にクレデンシャル スタッフィング プロセスを開始します。消費者の約3分の2が複数のWebサイトで同じユーザー名とパスワードを使い回していますが、このような認証情報の使い回しは、サイバー犯罪者や大量の自動化ボットによって簡単に悪用され、侵害された認証情報で他のサイトのアカウントにもアクセスできてしまいます。攻撃者はアカウントを乗っ取ると、認証情報を変更して正当なアカウント所有者を締め出したり、資産を流出させたり、アカウントを悪用してさらなる不正行為に及んだりします。

アカウント乗っ取り行為の影響

ATOなどのデジタル不正行為による損害額は、2023~2027年にかけて世界中で3,430億ドルを超えることがAmerican Bankerのレポートで予測されています。

アカウント乗っ取りが与える影響は、金融分野だけにとどまりません。組織のブランドや評判も損なわれ、ビジネスが失われたり、セキュリティに関する意識が低いとして否定的な評判を生む可能性もあります。ブランドへの長期的なダメージにつながることもあり、好意的な評判を回復するまで何年もかかる可能性があります。

さらに、組織は顧客の信頼とロイヤルティを失い、商業上の関係の終了につながる可能性もあります。企業のセキュリティ対策が不十分なためにアカウント乗っ取りや高額な不正行為が発生すれば、顧客は当然不満を抱きます。

組織は、消費者データが保護されないことに対して、コンプライアンスや法律の影響を受ける可能性もあります。EU一般データ保護規則(GDPR)、カリフォルニア州消費者保護法(CCPA)、Payment Card Industry Data Security Standard(PCI-DSS)などの法律や基準は、消費者データのプライバシーを確保し、データ侵害が発生した場合には多額の罰金を科すように設計されています。このようなデータ侵害には、個人データをボットに漏洩するATO攻撃が含まれます。

アカウント乗っ取り行為の検出

ATOの兆候を検出するために、ユーザーのアカウントやアクティビティを監視することが重要です。

  • アカウントのアクティビティに予期されない変化がないか、注意する:このような変化には、新規または未承認のトランザクション、多額の引き出し、トラフィックのランダムで散発的な急増、パスワード、住所、支払い受取人の変更の申請などが含まれます。このような異常なアクティビティは、アカウントが攻撃を受けている兆候である可能性があります。このような場合は、アカウントをチェックし、パスワードや電話番号などのユーザー情報も変更されているかどうか確認します。変更されている場合、そのアカウントは既に乗っ取られている可能性があります。
  • 認識されていないログイン試行がないか注意する:ログイン試行に数回失敗している場合は、攻撃者がクレデンシャル スタッフィング手口を用いてアカウントを侵害しようとしている可能性があります。ログイン試行が通常と異なる場所から行われていたり、アカウントが普段はアクティブでない時間帯に行われていたりする場合は特に注意してください。
  • 新規または認識されていないデバイスがアカウントにアクセスしている場合は注意する:新規または認識されていないデバイスからのアクティビティは、アカウントが侵害されているか、攻撃者が盗んだ認証情報を使用してログインしようとしていることを示している可能性があります。同様に、複数のデバイスから1つのアカウントにログインしている場合は、そのアカウントが犯罪者による攻撃を受けている兆候である可能性があります。
  • 疑わしいメールまたはテキスト メッセージ:フィッシング メールおよびメールが増加している場合は、ユーザーが攻撃者のターゲットとなっていることを示している可能性があります。知らない送信者からのデジタル メッセージに含まれる添付ファイルやリンクを決してクリックしないように、また、ユーザー名、パスワード、または個人情報や金融情報を電話もしくはインターネットを介して他者に決して知らせないように顧客に徹底してください。正当な企業であれば、メールやテキストでアカウント情報の提供を求めることはありません。

アカウント乗っ取り行為の阻止

ATOを阻止するためのプロアクティブなアプローチには、いくつかのレベルの保護策と戦略が含まれます。これらには、ベスト プラクティス手法、ユーザー教育の重視、リアルタイムでのインフラストラクチャ監視、強力な認証保護策などが含まれます。

ユーザーの教育と啓蒙

アカウント乗っ取りを最も効果的に防止する方法の1つは、教育プログラムにより、ユーザーがリスクを認識して対抗できるようにすることです。ATO攻撃は、通常、悪質な攻撃者がユーザーをだましてアカウント認証情報を差し出させたり悪質なリンクをクリックさせたりしようとするフィッシングから始まります。フィッシングのメールやテキストは、特にその通知の内容が、犯罪者がソーシャル メディアから収集できるような個人の詳細情報を取り上げたものである場合は、非常に説得力がある場合もあります。また、ユーザーが適切なパスワード ハイジーンの重要性を理解できるようにし、強力なパスワード プロトコルを使用するようにしてください。

強力な認証手段

強力な認証では、ユーザーは、ログイン時に、ユーザー名とパスワードだけでなく、2つ以上の認証要素を提示する必要があります。強力な認証には、複数のアプローチがあります。

  • 二段階認証(2FA)は、リソースおよびデータへのIDを確立するために2つの認証要素を必要とする、IDおよびアクセス管理セキュリティ手法です。一般的には、スマートフォンや家庭用コンピュータのブラウザなどの既知のデバイスに送信されるメールやテキストに記載されているワンタイム パスコードの入力を行います。
  • 多要素認証(MFA)は2FAと似ていますが、ログインに3つ以上の認証要素の提示が求められる点が異なります。ほとんどの場合、既知のデバイスで受信するワンタイム コードの使用に加えて、指紋読み取り、網膜スキャン、音声認識などの生体認証要素の提示が求められます。2FAとMFAはいずれも、オンライン アカウントのセキュリティを強化するための有効な手段ではありますが、攻撃で簡単に回避され、ユーザー エクスペリエンスを損なう可能性があるため、ATO攻撃に対する最終的な防御策としては不十分です
  • リスクベースの認証は、ログイン試行によって生じるリスクのレベルに応じて認証プロセスの要件を調整するアクセス管理手法です。例えば、口座残高を確認するだけの目的でログインする場合は、パスワード変更や新しい口座への資金移動のためにログインする場合ほど厳格な認証プロセスは必要ありません。基本的に、リスクのレベルが上がるにつれて認証プロセスはより厳格になり、要素や監視の追加が必要となります。

アカウントの監視と監査

消費者と企業は、疑わしいアクティビティがないか、定期的にアカウントの監視と監査を行う必要があります。消費者の場合、これには、蓄えられている価値(ロイヤルティ プログラムやギフト カードなど)のある金融アカウントおよびその他のアカウントに定期的にログインし、残高やアカウントのアクティビティを常に監視することが含まれます。

企業や組織は、さまざまな技術を導入して、アカウントの継続的な監視と監査を自動化できます。これには、ユーザーの通常の動作に一致しない異常なアクティビティを識別することで不正行為の防止に役立つ、機械学習およびAIベースの検出機能を使用するアカウント追跡システムが含まれます。

Web Application Firewall(WAF)

WAFは、Webアプリケーションに入り込む悪質なHTTP/Sトラフィックをフィルタリング、監視、ブロックすることでWebアプリケーションを保護し、アプリケーションからのデータの不正流出を防止します。これは、悪質なトラフィックと安全なトラフィックの見極めを支援する一連のポリシーを遵守することで実現されます。WAFは、悪質である可能性のあるクライアントからWebアプリケーション サーバを保護する仲介者としての役割を果たします。

ATOアクティビティの検出専用に設計されているわけではありませんが、WAFポリシーは、アカウント乗っ取り攻撃の識別とブロックをサポートするように設定できます。WAFは、ブルート フォース攻撃とクレデンシャル スタッフィング攻撃につながることの多い、悪質なボット アクティビティの識別もサポートします。

ボットの検出と緩和のネットワークへの追加

攻撃者は、大量のボットを使用して攻撃を拡大し、MFA制御を回避し、不正行為を有効化することができます。自動化は、クレデンシャル スタッフィングかフィッシング攻撃かに関わらず、割り当てられたタスクを追ってボットが大量に展開されることを意味します。ボット検出ソリューションは、偽のアカウント作成、在庫の買い占め、スクレイピング、認証情報のデジタル スキミングなどの悪質なアクティビティに対する可視性を提供します。さらに、フォームジャッキング、デジタル スキミング、Magecart、その他のブラウザベースのJavaScript脆弱性悪用などのクライアントサイド攻撃に対してもアラートを提供できます。

アカウント乗っ取り行為が発生した場合の対応

ダークWebでは窃取または侵害された大量の認証情報をすぐに入手できるため、遅かれ早かれ、組織がサイバー攻撃を受ける可能性は高まっています。組織にとって、機関や顧客に対するサイバー攻撃が発生してから対応する前に、強固な対応と処理の仕組みを準備しておくことが不可欠です。

インシデント レスポンス計画

インシデント レスポンス計画では、脅威イベントを認識してからすぐに実施する、有効な手順、利用可能なリソース、および通知戦略を定義します。インシデント レスポンス計画では、イベントへの対応のプロトコルを定義し、計画を運用できるようにトレーニングされたインシデント レスポンス チームを指定する必要があります。

顧客への通知とサポート

インシデント レスポンス チームが、影響を受ける顧客にすぐに通知して問題の内容を説明し、顧客を保護するために実施されている措置について知らせ、漏洩したパスワードが他のアカウントで使用されている場合にはすぐに変更するように顧客に依頼することが非常に重要です。影響を受ける顧客と密に連携することが、信頼回復のためには重要です。

調査と修復

攻撃が検出された後は、インシデントを評価して封じ込め、インシデントの特性と範囲、および影響を受けるシステムを特定することが不可欠です。アクセス ポイントを特定したら、組織は、影響を受けるアカウントへの攻撃者からの不正アクセスを排除し、侵害されたアカウントがこれ以上悪用されないように修復する必要があります。不正行為からの回復プロセスの見直しの一環として、そのような攻撃を再び受けないように防止する方法を分析します。

通知と透明性

情報を隠しておくことは、規制当局、メディア、または消費者から隠匿と認識される可能性があり、また、攻撃に対する金銭的な影響が多額に上る可能性があるため、セキュリティ侵害と攻撃について透明性を保って通知することが重要です。

要約

今日では、デジタル決済を発行または受け入れているあらゆる組織がATOの標的となっており、攻撃の脅威は拡大を続けています。これにより、オンライン事業者、金融機関、サービス組織は、さらに便利なオンライン サービスやアプリケーションに対する顧客の選好に応えようとすればするほど不正行為やその他の種類のサイバー犯罪に遭いやすくなるという矛盾に直面しています。アカウントが侵害されると、攻撃者は資金を引き出したり、商品やサービスを盗んだり、決済情報にアクセスして他のサイトで使用したりすることで、顧客を遠ざけ、収益を減少させます。

従来の2FAおよびMFA制御は、ますます多くの巧妙なATO攻撃を仕掛けるサイバー犯罪者を阻止するには十分ではありません。ATOを阻止するには、目的を評価し、デジタル エクスペリエンスを合理化し、不正行為のパターンやリスクの多いトランザクションを識別することで発生する前にATOを阻止するセキュリティおよび不正行為防止のためのエンドツーエンドのアプローチが必要です。

F5がお手伝いできること

F5のセキュリティおよび不正行為対策ソリューションは、業界で最も包括的なアカウント乗っ取り防止機能を単一のプラットフォームで提供します。脅威インテリジェンス モデリングや攻撃者の手口を検知するための機械学習といった高度な技術を採用したDistributed Cloud Bot Defenseは、ボット駆動型の不正行為とATOに極めて効果的に対抗するための適切な対策をリアルタイムで展開できます。Distributed Cloud Authentication Intelligenceは、顧客のあらゆる操作において正当なユーザーを認識し、Distributed Cloud Client-Side Defenseは、クライアントサイドのデジタル スキミング攻撃をリアルタイムで把握することができます。

F5 Distributed Cloudのセキュリティおよび不正行為防止プラットフォームは、Distributed Cloud Account Protectionによってログイン後の不正行為を迅速に排除することに加え、目的を評価し、デジタル エクスペリエンスを合理化し、不正行為や収益の損失、顧客ロイヤルティの低下につながるATOの試行を阻止するエンドツーエンドのアプローチを提供します。