アカウント乗っ取り行為とは何か、その仕組み、およびF5による検出および防止の戦略については、こちらをご覧ください。
アカウント乗っ取り(ATO)は、金融機関やeコマース、その他のオンライン デジタル サービスを標的とした、最も蔓延している、損害の大きな攻撃です。犯罪者は、自動化ボットやその他のサイバー犯罪手口を用いて、盗んだ資格情報を使用して金銭的利益や不正行為を目的にユーザー アカウントへのアクセス権と制御権を取得します。アカウント乗っ取り行為の影響は、実際に表れています。Javelinの2022年ID不正行為調査によると、米国の成人のうち22%がATOの被害に遭っています。
アカウント乗っ取り行為は一連のサイバー犯罪活動が組み合わされたもので、通常は、認証情報の窃取または不正アクセスから始まって、クレデンシャル スタッフィング攻撃につながり、結果として顧客のオンライン アカウントの乗っ取りが発生します。犯罪者はアカウントを乗っ取ると、アカウントの資金を引き出し、蓄えられている価値を現金化し、その後の詐欺行為にそのアカウントを利用します。
クレデンシャル スタッフィング攻撃の最も基本的な種類に、ボット駆動型のブルート フォース攻撃があります。これは、攻撃者がアカウントの認証情報に一致するものを見つけるまで、文字列のランダムな組み合わせをログイン フォームに送り付けるものです。
さらに巧妙なクレデンシャル スタッフィング攻撃は、データ侵害の際に窃取または不正アクセスした有効なユーザー名とパスワードの組み合わせから始まります。盗んだ認証情報は、ダークWebマーケットプレイスで簡単に購入されています(Cyber Security Hubによると、2022年だけで220億件ものデータ レコードが流出しました)。
認証情報は、次のような一連のサイバー攻撃およびその他のサイバー犯罪手口によっても盗まれます。
サイバー犯罪者は有効な認証情報を集めた後、通常は大規模にクレデンシャル スタッフィング プロセスを開始します。消費者の約3分の2が複数のWebサイトで同じユーザー名とパスワードを使い回していますが、このような認証情報の使い回しは、サイバー犯罪者や大量の自動化ボットによって簡単に悪用され、侵害された認証情報で他のサイトのアカウントにもアクセスできてしまいます。攻撃者はアカウントを乗っ取ると、認証情報を変更して正当なアカウント所有者を締め出したり、資産を流出させたり、アカウントを悪用してさらなる不正行為に及んだりします。
ATOなどのデジタル不正行為による損害額は、2023~2027年にかけて世界中で3,430億ドルを超えることがAmerican Bankerのレポートで予測されています。
アカウント乗っ取りが与える影響は、金融分野だけにとどまりません。組織のブランドや評判も損なわれ、ビジネスが失われたり、セキュリティに関する意識が低いとして否定的な評判を生む可能性もあります。ブランドへの長期的なダメージにつながることもあり、好意的な評判を回復するまで何年もかかる可能性があります。
さらに、組織は顧客の信頼とロイヤルティを失い、商業上の関係の終了につながる可能性もあります。企業のセキュリティ対策が不十分なためにアカウント乗っ取りや高額な不正行為が発生すれば、顧客は当然不満を抱きます。
組織は、消費者データが保護されないことに対して、コンプライアンスや法律の影響を受ける可能性もあります。EU一般データ保護規則(GDPR)、カリフォルニア州消費者保護法(CCPA)、Payment Card Industry Data Security Standard(PCI-DSS)などの法律や基準は、消費者データのプライバシーを確保し、データ侵害が発生した場合には多額の罰金を科すように設計されています。このようなデータ侵害には、個人データをボットに漏洩するATO攻撃が含まれます。
ATOの兆候を検出するために、ユーザーのアカウントやアクティビティを監視することが重要です。
ATOを阻止するためのプロアクティブなアプローチには、いくつかのレベルの保護策と戦略が含まれます。これらには、ベスト プラクティス手法、ユーザー教育の重視、リアルタイムでのインフラストラクチャ監視、強力な認証保護策などが含まれます。
アカウント乗っ取りを最も効果的に防止する方法の1つは、教育プログラムにより、ユーザーがリスクを認識して対抗できるようにすることです。ATO攻撃は、通常、悪質な攻撃者がユーザーをだましてアカウント認証情報を差し出させたり悪質なリンクをクリックさせたりしようとするフィッシングから始まります。フィッシングのメールやテキストは、特にその通知の内容が、犯罪者がソーシャル メディアから収集できるような個人の詳細情報を取り上げたものである場合は、非常に説得力がある場合もあります。また、ユーザーが適切なパスワード ハイジーンの重要性を理解できるようにし、強力なパスワード プロトコルを使用するようにしてください。
強力な認証では、ユーザーは、ログイン時に、ユーザー名とパスワードだけでなく、2つ以上の認証要素を提示する必要があります。強力な認証には、複数のアプローチがあります。
消費者と企業は、疑わしいアクティビティがないか、定期的にアカウントの監視と監査を行う必要があります。消費者の場合、これには、蓄えられている価値(ロイヤルティ プログラムやギフト カードなど)のある金融アカウントおよびその他のアカウントに定期的にログインし、残高やアカウントのアクティビティを常に監視することが含まれます。
企業や組織は、さまざまな技術を導入して、アカウントの継続的な監視と監査を自動化できます。これには、ユーザーの通常の動作に一致しない異常なアクティビティを識別することで不正行為の防止に役立つ、機械学習およびAIベースの検出機能を使用するアカウント追跡システムが含まれます。
WAFは、Webアプリケーションに入り込む悪質なHTTP/Sトラフィックをフィルタリング、監視、ブロックすることでWebアプリケーションを保護し、アプリケーションからのデータの不正流出を防止します。これは、悪質なトラフィックと安全なトラフィックの見極めを支援する一連のポリシーを遵守することで実現されます。WAFは、悪質である可能性のあるクライアントからWebアプリケーション サーバを保護する仲介者としての役割を果たします。
ATOアクティビティの検出専用に設計されているわけではありませんが、WAFポリシーは、アカウント乗っ取り攻撃の識別とブロックをサポートするように設定できます。WAFは、ブルート フォース攻撃とクレデンシャル スタッフィング攻撃につながることの多い、悪質なボット アクティビティの識別もサポートします。
攻撃者は、大量のボットを使用して攻撃を拡大し、MFA制御を回避し、不正行為を有効化することができます。自動化は、クレデンシャル スタッフィングかフィッシング攻撃かに関わらず、割り当てられたタスクを追ってボットが大量に展開されることを意味します。ボット検出ソリューションは、偽のアカウント作成、在庫の買い占め、スクレイピング、認証情報のデジタル スキミングなどの悪質なアクティビティに対する可視性を提供します。さらに、フォームジャッキング、デジタル スキミング、Magecart、その他のブラウザベースのJavaScript脆弱性悪用などのクライアントサイド攻撃に対してもアラートを提供できます。
ダークWebでは窃取または侵害された大量の認証情報をすぐに入手できるため、遅かれ早かれ、組織がサイバー攻撃を受ける可能性は高まっています。組織にとって、機関や顧客に対するサイバー攻撃が発生してから対応する前に、強固な対応と処理の仕組みを準備しておくことが不可欠です。
インシデント レスポンス計画では、脅威イベントを認識してからすぐに実施する、有効な手順、利用可能なリソース、および通知戦略を定義します。インシデント レスポンス計画では、イベントへの対応のプロトコルを定義し、計画を運用できるようにトレーニングされたインシデント レスポンス チームを指定する必要があります。
インシデント レスポンス チームが、影響を受ける顧客にすぐに通知して問題の内容を説明し、顧客を保護するために実施されている措置について知らせ、漏洩したパスワードが他のアカウントで使用されている場合にはすぐに変更するように顧客に依頼することが非常に重要です。影響を受ける顧客と密に連携することが、信頼回復のためには重要です。
攻撃が検出された後は、インシデントを評価して封じ込め、インシデントの特性と範囲、および影響を受けるシステムを特定することが不可欠です。アクセス ポイントを特定したら、組織は、影響を受けるアカウントへの攻撃者からの不正アクセスを排除し、侵害されたアカウントがこれ以上悪用されないように修復する必要があります。不正行為からの回復プロセスの見直しの一環として、そのような攻撃を再び受けないように防止する方法を分析します。
情報を隠しておくことは、規制当局、メディア、または消費者から隠匿と認識される可能性があり、また、攻撃に対する金銭的な影響が多額に上る可能性があるため、セキュリティ侵害と攻撃について透明性を保って通知することが重要です。
今日では、デジタル決済を発行または受け入れているあらゆる組織がATOの標的となっており、攻撃の脅威は拡大を続けています。これにより、オンライン事業者、金融機関、サービス組織は、さらに便利なオンライン サービスやアプリケーションに対する顧客の選好に応えようとすればするほど不正行為やその他の種類のサイバー犯罪に遭いやすくなるという矛盾に直面しています。アカウントが侵害されると、攻撃者は資金を引き出したり、商品やサービスを盗んだり、決済情報にアクセスして他のサイトで使用したりすることで、顧客を遠ざけ、収益を減少させます。
従来の2FAおよびMFA制御は、ますます多くの巧妙なATO攻撃を仕掛けるサイバー犯罪者を阻止するには十分ではありません。ATOを阻止するには、目的を評価し、デジタル エクスペリエンスを合理化し、不正行為のパターンやリスクの多いトランザクションを識別することで発生する前にATOを阻止するセキュリティおよび不正行為防止のためのエンドツーエンドのアプローチが必要です。
F5のセキュリティおよび不正行為対策ソリューションは、業界で最も包括的なアカウント乗っ取り防止機能を単一のプラットフォームで提供します。脅威インテリジェンス モデリングや攻撃者の手口を検知するための機械学習といった高度な技術を採用したDistributed Cloud Bot Defenseは、ボット駆動型の不正行為とATOに極めて効果的に対抗するための適切な対策をリアルタイムで展開できます。Distributed Cloud Authentication Intelligenceは、顧客のあらゆる操作において正当なユーザーを認識し、Distributed Cloud Client-Side Defenseは、クライアントサイドのデジタル スキミング攻撃をリアルタイムで把握することができます。
F5 Distributed Cloudのセキュリティおよび不正行為防止プラットフォームは、Distributed Cloud Account Protectionによってログイン後の不正行為を迅速に排除することに加え、目的を評価し、デジタル エクスペリエンスを合理化し、不正行為や収益の損失、顧客ロイヤルティの低下につながるATOの試行を阻止するエンドツーエンドのアプローチを提供します。