ブログ

データプライバシーにはクレデンシャルスタッフィングからの保護が必要

ジム・ダウニー サムネイル
ジム・ダウニー
2022年7月6日公開

2022年6月27日、130を超えるデータ保護およびプライバシー規制当局と執行機関の協会であるグローバルプライバシーアセンブリ(GPA)は、クレデンシャルスタッフィングに関する初の政府間ガイドラインを発表し、クレデンシャルスタッフィングは世界規模で個人データにリスクをもたらし、データ保護法では組織がこれに対して保護することを義務付けていると主張しました。

F5 はガイドラインの作成に参加できたことを誇りに思い、GPA からの評価に感謝しています。 F5 は、クレデンシャル スタッフィングの脅威を長い間認識してきました。 国防総省で国防次官補を務めていたときに、クレデンシャル スタッフィングという用語を作り出したのが F5 の Sumit Agarwal 氏であり、この洞察がきっかけとなって、2011 年にトップ クラスのボット管理ベンダーとして Shape Security (現在は F5 の一部) が設立されました。 現在、F5 は、世界最大手の銀行、電子商取引小売業者、航空会社、ホスピタリティ プロバイダー、ソーシャル メディア企業を、クレデンシャル スタッフィングや関連する脅威から保護し続けています。

GPA の常設ワーキンググループである国際執行協力ワーキンググループ (IEWG) が発行した新しいガイドラインでは、クレデンシャル スタッフィングの実行方法が文書化され、その蔓延の原因となっている攻撃者の経済状況が説明され、それが世界的な懸念事項であり、データ プライバシー法に組み込む必要がある理由が強調され、クレデンシャル スタッフィングを軽減するためのいくつかの方法が概説されています。

GPA ガイドラインは、政府機関による最近のいくつかの警告に基づいています。 2022年1月5日、ニューヨーク州司法長官事務所は、クレデンシャルスタッフィングの急増と企業が予防措置を講じる必要性に関するビジネスガイドを発行しました。 2020 年 9 月 15 日、米国証券取引委員会は、SEC に登録された投資顧問、ブローカー、ディーラーに対するクレデンシャル スタッフィングの急増に関するリスク警告を発行しました。 2020 年 9 月 10 日、米国連邦捜査局は、米国の金融機関に対するクレデンシャルスタッフィング攻撃が急増し、50,000 件を超える口座に影響を及ぼし、通知と修復のコストだけで企業に年間平均 600 万ドルの損害を与えていると警告する民間業界通知を発行しました。 ゼネラルモーターズに対する大規模な認証情報スタッフ攻撃を記録した最近のCPO の記事からもわかるように、これらの事件は最高プライバシー責任者に影響を及ぼし続けています。

クレデンシャルスタッフィングは、犯罪者が盗んだ資格情報をウェブサイトでテストし、アカウントを乗っ取るサイバー犯罪です。 犯罪者はボットと呼ばれる自動化ツールを使用して、大規模にこれらの攻撃を実行します。 これは、次のような理由から、ROI が高く、非常に効果的なサイバー犯罪です。 1) 盗まれた認証情報は非常に簡単に入手可能であり、2) 60% もの人が複数のアカウントでパスワードを再利用しており ( FBI によると)、3) 多くの組織が CAPTCHA や IP 拒否リストなどの効果のない軽減方法に依存しています。

盗まれた認証情報の数は驚異的です。 F5 Labs 2021 資格情報スタッフィングレポートによると、2020 年だけで 18 億 6,000 万件の資格情報が盗まれました。 GPA ガイドラインでは、2013 年の Yahoo の侵害などの大規模な侵害により、数十億件の認証情報が漏洩したと指摘しています。 侵害が公に報告されるまで、攻撃者は盗まれた資格情報を何年も悪用する可能性があります。

「民間部門の調査では、2017年11月から2019年3月の間にゲーム業界で550億件のクレデンシャルスタッフィング攻撃が確認されており、これは1か月あたり30億件以上の攻撃、1日あたり1億700万件以上の攻撃に相当します。」 さらに調査を進めると、2020年には世界中で1,930億件のクレデンシャルスタッフィング攻撃が確認されました。これは、1か月あたり16,000億件以上の攻撃、1日あたり5億件以上の攻撃に相当します。」

GPA ガイドラインでは、こうしたプライバシー侵害の被害者は、金銭的損失以外にも、偽情報による評判の失墜や、侵害されたアカウントの使用中に個人に関する虚偽の発言が行われることなど、被害を受ける可能性があることも指摘しています。 こうしたプライバシー侵害が人々の生活を台無しにしてしまうことは容易に想像できます。

最も重要なのは、ガイドラインが、EU の GDPR および米国連邦取引委員会のセーフガード規則の特定の規定を引用し、データ プライバシー法で要求される「適切な」セキュリティ対策の 1 つとして、クレデンシャル スタッフィングに対する保護を組織が検討すべきであると結論付けていることです。

「クレデンシャル スタッフィング攻撃(特に、オンラインでアクセスできるユーザー アカウントを持つ組織)による個人データへの明らかな脅威と、その結果生じる可能性のある不正な処理/アクセスを考慮すると、データ保護およびプライバシーに関する法律に基づき、少なくとも暗黙的に、クレデンシャル スタッフィング攻撃から個人データを保護するための対策を実施することが一般的に義務付けられます。」

GPA ガイドラインでは、組織がクレデンシャル スタッフィングから保護するために複数の緩和策を検討することを推奨しています。

  • ゲストチェックアウトにより、認証情報の使用が不要になります
  • 再利用のリスクを最小限に抑える強力なパスワードポリシー
  • シングルサインオン(SSO)などのパスワードの代替手段
  • 多要素認証 (MFA)
  • セカンダリパスワードとPIN
  • デバイスフィンガープリンティング
  • 予測不可能なユーザー名
  • 漏洩したパスワードの特定
  • レート制限
  • ログインページとプロセス(複数ステップのログイン)
  • アカウントの監視/検出
  • 匿名ネットワーク(TORなど)の追加チェック
  • CAPTCHA について
  • WAF
  • IPブロックリストと許可リスト
  • インシデント対応計画とユーザー通知

これらは確かに、クレデンシャル スタッフィング攻撃を軽減するのに役立った有効な手法です。 どのアプローチが組織に最適かを評価する際には、この分野で長年革新を続けてきた F5 では、ユーザー エクスペリエンスに支障をきたさず、アプリケーションの再設計を必要とせずに、ボットをリアルタイムで効果的に軽減する手法を検討することをお勧めします。

セカンダリパスワードと PIN、予測不可能なユーザー名、複数ステップのログインページは保護を強化しますが、ユーザーの負担が増すという代償を伴います。 顧客のコンバージョン率を向上させ、ショッピングカートの放棄を減らしたい企業は、顧客と購入の間に障害を置かないようにしたいと考えるでしょう。 ゲストチェックアウトも役立つかもしれませんが、組織がパーソナライズされたターゲットを絞ったエクスペリエンスを提供することを妨げます。 MFA は効果的ではあるものの、ユーザー エクスペリエンスに摩擦を加えることもあり、犯罪者の標的になりやすいという問題もあります

CAPTCHA も同様に摩擦を増加させ、多くの人が認識しているよりも防御効果が低くなります。 機械学習とクリックファームを使用した CAPTCHA 解決サービスにより、ボットが CAPTCHA を安価に回避できるようになります。 (Dan Woods の冒険については、「Tales of a Human CAPTCHA Solver」をお読みください。)

F5 と連携した組織は、IP ブロックリストと静的 WAF ルールを維持するのが難しすぎることに気づきました。 プロキシ サービスにより、ボットは何百万もの有効な住宅 IP アドレスを利用できるようになります。 一方、ボットはブロックされると数時間以内に再編成されます。 このようなアプローチは、セキュリティ チームをモグラ叩きの負け戦に追い込むことになります。

同様に、アカウントの監視/検出、インシデント対応計画、ユーザー通知はすべて重要であり、ボット管理プログラムの一部である必要がありますが、これらの保護は事後に適用されます。 幸いなことに、そもそも犯罪者がアカウントを乗っ取るのを防ぐ技術が存在します。

F5 は、クレデンシャル スタッフィングによる不正な悪用から自社と顧客を保護することを決意している組織と連携し、顧客を満足させ、今日の競争の激しい市場で勝利できる優れたデジタル エクスペリエンスを提供します。 F5 は、ユーザーに負担をかけずに、最高レベルの効率でボットから保護することで、顧客の忠誠心を獲得しています。 このテクノロジーは、デバイス環境とボットの行動特性をカバーする JavaScript とモバイル ネイティブ シグナルに関する長年の研究開発に基づいて構築されています。 これらのシグナルに基づくリアルタイム検出に加えて、F5 Distributed Cloud Bot Defense には、ボットの再構築を迅速に検出して対応する機械学習分析サービスが含まれています。 長期的な有効性を確保するために、信号収集コードは高度な難読化技術を経て、リバースエンジニアリングや信号の改ざんを防止します。

F5 は、サイバーセキュリティを個人的なものにすることを信条としており、組織を欺き、個人に壊滅的な打撃を与えるクレデンシャル スタッフィング攻撃は、まさに私たちが解決に取り組んでいるタイプの問題です。 F5のグローバルインテリジェンス責任者であるダン・ウッズ氏がFast Companyで指摘しているように、これらの攻撃はこれまであまり注目されてこなかった。 ありがたいことに、GPA と複数のプライバシー保護機関が個人のプライバシーに対するリスクを前面に押し出しています。

「コロニアルへの攻撃は、サイバーセキュリティに関する国民の認識とメディアの報道の間に明らかな乖離があることを浮き彫りにした。 何百万人もの人々にちょっとした痛みを与える:国際的な見出し。 別々の計画で何千もの家族から生涯の貯蓄を盗み出し、破滅させる。コオロギだ。」

私たちの生活の多くがオンラインのデータとして保存されるこのデジタル時代では、データ プライバシーに最大限の真剣さで取り組む組織に依存しており、この点は世界中の政府によって制定されるプライバシー法がますます厳格化していることからも明らかです。 GDPR などのデータ プライバシー法では、組織がプライバシーを保護するためにあらゆる適切な対策を講じることが求められています。 クレデンシャル スタッフィングについて現在わかっていることを踏まえ、これらの GPA ガイドラインでは、クレデンシャル スタッフィングの防止はあらゆる組織の適切な対策の一部でなければならないことを明確にしています。

ボット保護の ROI に関する詳細な情報については、 Forrester Total Economic Impact Report を参照してください。 詳細を確認し、F5 ボット エキスパートとの会話をスケジュールするには、 f5.com/bot-defenseにアクセスしてください。