アカウント乗っ取りとブルートフォースの現状 | Codebook | Machina Record Blog
Codebook|Security News > Articles > 脅威インテリジェンス > アカウント乗っ取りとブルートフォースの現状

脅威インテリジェンス

Cyber Intelligence

Flashpoint

Intelligence

アカウント乗っ取りとブルートフォースの現状

サイトウアヤ

サイトウアヤ

2021.07.29

 

アカウント乗っ取りとブルートフォースの現状

*2021年5月に開催した「Cyber Intelligence Summit 2021」に登壇されたFlashpoint,inc ソリューション企画担当主任 Brett Williams氏の講演「ブルートフォースの状況:攻撃、ツールそして戦術」の邦訳・一部抜粋記事です。

パスワードの状況

今日、多くのパスワードがサイバー犯罪アンダーグラウンドで募集されています。パスワードは販売するのにもってこいの商品だからです。サイバー犯罪アンダーグラウンド内で大量のパスワードが漏洩しているためその価格は下がっており、ネットワークやアプリケーションへの悪意あるアクセスを獲得するための手段として今後ますます利用されて行くでしょう。残念ながら脅威アクターたちは、私たちのパスワードに潜むセキュリティ上の弱点を利用しています。例えば、ユーザーは非常にシンプルなパスワードを利用していたり、よく使われる単語が過度に使用されていたり、パスワードの再利用がよく見受けられることなどです。

ATO/ブルートフォースについて

ブルートフォースとは、大量のパスワードを使ってアカウント乗っ取り(ATO)と呼ばれる攻撃を引き起こすなどの、多様な攻撃を描写するのに使われる包括的な用語です。利用される可能性がある技術はさまざまですが、最も一般的なのはクレデンシャルスタッフィングや辞書攻撃です。クレデンシャルスタッフィングとは、アクセスが成功するまで、大量のユーザー名とパスワードの組み合わせを再利用するというものです。辞書攻撃とは、一般的に使われている単語のデータベースを、正しいパスワードの組み合わせが手に入るまでただ使い続けるというものです。これらの攻撃は、ディープ&ダークウェブ(DDW)上で、脅威アクターたちの間で共有されます。パスワードは今なお多くの組織によって広く使用されているからです。多要素認証が増えてきてはいますが、大半のネットワークが、いまだにユーザー名とパスワードの使用のみでアクセスされています。

関連記事:ダークウェブとは?何が行われている?仕組みから最新動向まで

DDWでは、複数のソースから集められた数百万のユーザー名やパスワードやその組み合わせが含まれたデータベースが、毎日売りに出されていることがわかっています。そしてこれらは脅威アクターによって、アカウント乗っ取りあるいはブルートフォース攻撃を実行するために使われるのです。

日本に関する情報の漏洩数

2016年から先週時点までのFlashpointのコレクションでは、約3億5,000万件を超える、ユーザー名とパスワードに関連する日本のドメインが集まっていました。大部分が .co.jp と .ne.jp に含まれます。政府とその他の分野においても少数見られました。Flashpointのコレクション内には現在、360億を超える数のクレデンシャルがありますので、約3億5,000万というのは大きな数字に見えるものの、この枠組みの中ではかなり小さな数字です。

 

オーストラリアでの事例

昨年調査・分析された、侵害クレデンシャルを利用したデータ漏洩がありました。Austalというオーストラリアにある海軍艦艇の製造企業で、2018年に侵害被害に遭いました。調査によると、企業ネットワークへのクレデンシャルがダークウェブフォーラムで買い取られ、同社のCitrix環境へのアクセスを入手するのに使用されたことがわかりました。結果としてアクターあるいはアクターグループにより、出荷計画や設計図などを含む機密情報が盗まれました。このように、侵害されたクレデンシャルが使用されるというのはかなりよく見受けられるのです。

 

アンダーグラウンド世界の構造

現実世界では、ベンダーとショップがいて、商品とサービスがありますが、この現実世界の構造がバーチャルなアンダーグラウンドにも複製されていると推測することができます。

まずプロバイダーがいます。プロバイダーは、さまざまな商品を売りに出しています。クラウドホスティングサービスや、マルウェア・アズ・ア・サービス、不正や銀行取引の分野ではクレジットカードのキャッシュアウトのサービスがあり得ます。そのほかにも、不正行為のサポート、マネーロンダリング、ドラッグや銃の販売など、ありとあらゆるサービスがあります。

これらの商品やサービスはその後、ダークウェブ上の、あるいはオープンウェブ上のさまざまな流通チャンネルに送り出されます。流通チャンネルとは、ダークウェブフォーラム、クリーンウェブフォーラム、マーケットプレイス、Telegramなどのチャットサービス、ソーシャルメディア、ペーストサイトです。大量の商品やサービスが、ダークウェブ上だけでなく、さまざまな場所で拡散されています。

そしてもちろんバイヤー、つまりこれらの商品やサービスを探している人々がいます。犯罪者グループ、マルウェアのオペレーター、ランサムウェアグループ、フィッシング攻撃を実行したがっている人々、クレジットカード不正利用者など、さまざまな消費者がいます。

 

クレデンシャルエコノミー

侵害されたクレデンシャルがどのように販売されるに至り、どのように攻撃に使われるのかについて。これはシンプルな4段階のプロセスです。

ステージ1 侵害・流出

侵害されたクレデンシャルがどのように流出するかについてです。最も一般的なのは、フィッシングです。Eメールフィッシングやスピアフィッシングキャンペーンは非常によく見られます。脅威アクターにとって、ユーザーからユーザー名やパスワードを抜き取るとても簡単な手段なのです。その他によく用いられる手段が、マルウェアの使用です。マーケット上では、クレデンシャル窃取機能を提供する多数のマルウェアファミリーが売られています。「AZORult」や、「Nexus」、「Trickbot」、そして他にも本当にたくさんあります。こういったマルウェアには、純粋にユーザー名やパスワードをコンピューターから盗み、販売するためにそれを抽出するよう設計されたモジュールが備わっています。

 

ステージ2 収集・蓄積

パスワードなど侵害されたデータは集積されます。メインの考え方は、その後利用できる大規模なリストを作るというものです。脅威アクターが使う用語では、「コンボリスト combolist(combination list)」と呼ばれます。リストの目的は、何百万ものクレデンシャルを収集し、それを攻撃で使用するために単一のファイルに入れることです。本質的にはこのリストの成功可否は確率の問題であり、後々検証を行って利用できるよう、できる限り大量のユーザー名とパスワードの組み合わせを入手するためのものです。

 

日本に関するコンボリスト

Flashpointを利用した過去30日間を対象とした簡単な検索で、196,000人の日本のユーザーのコンボリストや、15,000人のユーザーのコンボリストがハッキングフォーラムで見つかりました。これらの中には、12米ドルほどの低い価格で販売されているものがありました。そして他のものは、20~30米ドルで売られていました。

 

ステージ3 検証

次のステージは、「検証」です。脅威アクターによってコンビネーションリストが収集され、集積されると、これらは「アカウントチェッカー」と呼ばれるソフトウェアに入れられ、データが本物であるか、そしてユーザー名やパスワードがまだ使用可能かがチェックされます。なぜなら、ユーザー名やパスワードがまだ有効なら、マーケットプレイス上でより高い値段がつき、めでたく購入されるからです。このコンボリストはその後ブルートフォースソフトウェアに入れられ、攻撃を実行するために他のインフラストラクチャで使用されます。

 

ステージ4 販売

クレデンシャルが利用できる可能性があると確認されると、売りに出され、収益化されます。なぜなら、これらのクレデンシャルのテストは済んでおり、より高い金額で販売することができるようになっているからです。これらのクレデンシャルは、複数の異なるソースで売買されていることがわかっています。侵害されたクレデンシャルのみを販売する専門のアカウントショップやマーケットプレイスはもちろん、クリーンウェブやダークウェブフォーラム、QQ、Telegram、Discordなどのチャットサービス、Pasetbinなどのペーストサイトといったオンラインコミュニティ上での共有が増加していることも確認されています。

 

検出・予防の選択肢

これを検出し、予防できるようにするため、何をできるようにする必要があるでしょうか。残念ながら、ブルートフォースに関しては、誰であろうと、攻撃が始まるまでの間にできることはそう多くありません。当然ながら、会社のクレデンシャル、マーケットプレイス上にあるユーザーの会社のクレデンシャルを監視することは重要です。誰かがフィッシングキャンペーンの犠牲者になる前に検知できるようにしておけば、クレデンシャルが利用され、パスワードがマーケットプレイス上に存在する場合に、ユーザーにパスワードを自動的に変更させることができる可能性があります。

他にできること、それは、強力で唯一無二のパスワードを使用することだと考えます。ご存知の通り、良いパスワードマネージャーはたくさん出回っています。私は単純なパスワードを使わないようユーザーに指導しています。また、複数のシステムで同一のパスワードを絶対に使用しないこと。これは非常に良いパスワードポリシーです。当然ながら二要素もしくは多要素認証の強化は、とてつもなく重要です。個人の銀行口座、フェイスブック、Gmail、Yahooの全てにおいて二要素認証を利用すること、誰かがログインしたことを通知するSMSトークンのような簡易的なものでいいので必ず利用することが非常に重要です。パスワードを定期的に変え、タイムアウトを適用すること、2〜3回でアカウントをロックすること、運営するサイトやサービスの種類によって単一のIPアドレスからの接続回数を制限することでも、こうした攻撃の一部を予防できるかもしれません。

顧客にサービスを提供している、ネット小売などEコマースを営んでいる方は、Flashpointクレデンシャルデータのようなデータベースを使って、パスワードが侵害されたか、ユーザー名とパスワードが侵害されているかをチェックできます。また、あるユーザーがすでに侵害が確認されているパスワードを用いて、新たなユーザーとしてご自分のサイトに登録しようとしている場合、このユーザーに対してそれはできないと伝え、より強力なパスワードを使用するよう提案したいのではないかと思います。そんな時FlashpointのようなAPIを使えば、侵害されたデータベースを簡単に調べること、それをご自身のEコマースシステム内で自動化することが簡単にできます。

 

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ