クレデンシャル スタッフィングとはサイバー攻撃の一種であり、攻撃者は漏洩した認証情報を使用して保護されたアカウントへの不正アクセスを試みます。
クレデンシャル スタッフィングとは、ログイン フォームなどのデジタル インターフェイスやワークフローを悪用して顧客アカウントに不正にアクセスすることです。これらの攻撃は通常、自動化されたツールと漏洩した認証情報を利用しますが、その多くは進化して人間の行動を模倣したり、正当な顧客になりすましたりします。
CAPTCHAや多要素認証(MFA)など、クレデンシャル スタッフィングに対抗するために一般的に使用されている緩和策は、巧妙な攻撃者には簡単に回避され、正当な顧客の不満を募らせ、取引の中止や収益の損失につながる可能性があります。さらに、クレデンシャル スタッフィングがアカウント乗っ取り(ATO)や不正行為の前兆であることも少なくありません。
クレデンシャル スタッフィングは、世界最大のサイバーセキュリティ問題の1つとなっています。2018年と2019年には、フィッシングとクレデンシャル スタッフィングを組み合わせた脅威が、米国で公開されている全セキュリティ侵害の約半分を占めました。1
この攻撃がよく利用される理由としてROIが高いことが挙げられ、一般的な成功率は0.2~2%です。2
認証情報の漏洩が検知されるのにかかる期間の中央値は120日であり、公になる前に認証情報がダーク ウェブで取引されることも少なくありません。
攻撃が絶え間なく続く理由には、データ漏洩が頻発していること、フィッシングの成功率が高いこと、自動化によって認証情報がすぐに収益化されることがあります。こうした中、組織は認証情報を狙った侵入の被害に遭い、利益を狙ったクレデンシャル スタッフィングの被害に遭うという悪循環に陥っています。
クレデンシャル スタッフィングは、自動化と認証情報の漏洩に始まり、アカウントの乗っ取り、不正行為、顧客の不満につながります。
すぐに使用できるツールとインフラストラクチャと漏洩した数十億件もの認証情報があるため、攻撃のための投資は少なくて済み、ハッカーにとって経済的に魅力的な状況となっています。
高度なツールは人間の行動を模倣してセキュリティ制御を回避し、人間によるクリックファームを利用して自動化防止アルゴリズムをすり抜けます。これらのツールはさらに進化し、AIモデルを使用してリスクベースの認証を回避するようになっています。
従来の緩和策では巧妙なクレデンシャル スタッフィングを防ぐことはできず、デジタル エクスペリエンスを損なって顧客の不満を生み、さらに収益の可能性も狭めてしまいます。
F5ソリューションは、クレデンシャル スタッフィング攻撃の成功を非現実的で実現不可能なものにしてROIを下げることで攻撃を阻止します。
F5ソリューションはデータ センタ、クラウド、アーキテクチャにわたってネットワーク、デバイス、環境の遠隔測定信号を収集して分析することで、異常な動作や、漏洩した認証情報を利用した自動攻撃を独自に検出します。
さらにF5ソリューションは、リアルタイムで難読化を行い、攻撃者による偵察やプロファイリングを無力化し、攻撃者がセキュリティ対策を回避するために手口を変えても回復力と有効性を維持します。
F5ソリューションは、類似した攻撃プロファイルやリスク対象にわたって脅威インテリジェンスをモデル化し、監視あり・なしでの深層学習方法を活用して攻撃方法を検出することで、最大限の有効性を持つ適切な対策を自律的に展開します。
これにより、リスクベースの認証を回避しようとする攻撃者のAIモデルに対する防御が将来的に強化され、アカウントの乗っ取りや不正行為によりビジネスに波及する影響(収益機会の損失や信頼性の低下など)を防ぐことができます。これらの影響を防ぐことができないと、業務が停止し、競争上不利な立場に追い込まれることになりかねません。
1『2021年版クレデンシャル スタッフィング レポート』、F5 Labs