ソリューション

クレデンシャル スタッフィング攻撃の防止

AKAアカウントの乗っ取り、認証情報のテスト、アカウントのハイジャック、パスワードのチェック、パスワード リスト攻撃

ありがとうございます。担当者が折り返しご連絡いたします。

 

 

F5 Distributed Cloudは複数のレベルでクレデンシャル スタッフィングを撃退します。

F5 Distributed Cloudは侵害された認証情報をリアルタイムで検出し、ボットネットを識別して、シミュレーション ソフトウェアをブロックします。

主なポイント:

  • クレデンシャル スタッフィング攻撃が全ログイン トラフィックの90%を占める
  • CDNプロバイダは攻撃の5分の1しか防ぐことができない
  • Shapeはすべての攻撃を排除し、サイトのレイテンシを250ミリ秒から100ミリ秒に短縮
  • Distributed Cloudは17億以上のオンライン アカウントをクレデンシャル スタッフィング攻撃から保護

事例を読む:トップレベルのモバイルアプリがATOを撃退 ›

クレデンシャル スタッフィングには3つの要素が必要

   

1. 認証情報の漏洩

毎日、平均して100万件のユーザー名やパスワードの流出および盗難が報告されています。攻撃者は、誤って設定されたデータベースを発見したり、ユーザーのデバイスにマルウェアを感染させたりするなど、さまざまな方法で認証情報を取得します。

Shapeの分析によると、侵害された認証情報のリストの0.5~2%が、標的となるWebサイトやモバイルアプリで有効となることがわかっています。

   

2. 分散型ボットネット

攻撃者は、IPブラックリストやその他の方法での検出を回避するために、プロキシ サーバーを経由してログイン リクエストを送信します。犯罪者は、ダーク ウェブのフォーラムでボット ハーダーからプロキシ サービスへのアクセスを1時間あたり2~8ドルで購入することができます。

Shapeの顧客ネットワークでは、1つのIPアドレスはクレデンシャル スタッフィング攻撃あたり通常2回しか使用されません。

   

3. シミュレーション ソフトウェア

最後に、攻撃者はボット(コンピュータ プログラム)を使用して、侵害された認証情報のリストを自動的にテストします。攻撃者は多くの場合、CAPTCHAソルバーやアンチフィンガープリント スクリプトなどのツール キットをダーク ウェブで購入し、既存の防御策に対抗します。

PythonとSeleniumを使用したクレデンシャル スタッフィング

攻撃者がユーザーを装うために利用するテクニックをShape Intelligenceの副社長が紹介します。