2月7日から2週間にわたって、Impervaで保護されているサイトのアカウントが継続的なアカウント乗っ取り(ATO)攻撃の標的となったケースが発生しました。一般的な攻撃は数時間から数日ほどで終わるため、この攻撃がいかに長く、執拗であったかが分かります。Impervaがこれまでに追跡したなかでは、ある DDoS攻撃 が4時間以上続き、大規模な攻撃とみなされました。今回の場合、攻撃の量は最大ではないものの、攻撃時間がこれまでで最長であるとして注目を浴びました。
標的となったのは、メキシコにある食料品店のモバイルサイトに紐づけられたログインポータルです。攻撃が始まると、危険性のあるログインが1日平均60万件ほど確認されました。危険なログインの数は2月17日にピークを迎えて150万件となり、攻撃期間を通じて、合計1100万件のログインが観測されました。攻撃の大半は、クレデンシャルスタッフィング(アカウントにアクセスし、認証情報を漏洩させる行為)でした。1回の攻撃では、15万もの異なるログイン認証情報が使用されました。また、この攻撃では、何日もかけて一度に1つの認証情報を試す「ローアンドスロー攻撃」と、一度に何千もの認証情報をサイトに流し込む「ノイズ攻撃」の両方が用いられました。
標的とされたオンラインアカウントには、支払い情報やクーポンコードのほか、食料品の配送に必要な個人情報(名前や住所など)が含まれていました。このような情報はすべて、攻撃者にとって価値あるものです。彼らはこういったデータを盗み、ダークウェブで販売しているのです。クレジットカードの番号は100ドル以上、名前や住所は1行あたり1ドル以上で売れる可能性があります。また、活発なアカウントのユーザー名とパスワードが両方とも攻撃者の手にわたった場合、その情報はクレデンシャルスタッフィングを目的として他のサイトで利用され、より貴重な個人情報が漏えいする恐れがあります。
攻撃は、約16万個の異なるIPから行われ、そのほとんどが米国に拠点を置いていました。そして、攻撃が始まってから1週間以内に、これらのIPはImpervaが保護する他のサイトを標的としたATO攻撃に使用されました。Impervaが行ったレピュテーションリスクの分析によると、攻撃時に使用されたIPの多くは、疑わしい活動に関与したとしてリスクスコアが高くなっていました。具体的には、平均的なIPリスクスコアが57%、最も高い数値が94%でした。
この攻撃では、サイトを訪問したIPの大半が米国のクラウドサービスプロバイダー(CSP)から発信されたものでした。これは、CSPを利用することで、匿名性を保ちつつ、コスト効率が高くスケーラブルな攻撃が行えるためであると考えられます。
攻撃者は、クリエイティブな思考で、情報を盗むための新たな手法を常に模索しています。食料品店の会員アカウントのように単純に見えるものでも、データを盗むために悪用される場合があります。今回のケースも、サイトに十分な価値があったからこそ2週間ものあいだ攻撃の標的になったと言えます。そのため、このような攻撃からサイトを保護することの重要性を常に認識しておく必要があるのです。
Impervaでアカウント不正被害のリスクを軽減
Impervaでは、正当なユーザートラフィックへの悪影響やアクセスの遅延を防ぎながらログイン情報を保護することができます。ログイン機能の全体に焦点を当てた アカウント乗っ取り防止 によって、不正行為の防止・検出を行います。これには独自の多層検知プロセスが用いられており、アカウント乗っ取りの恐れがあるアクセスをピンポイントで正確に判断することができます。これにより、アカウント乗っ取り攻撃を目的とした悪質な犯罪者がインフラにたどり着くことすらできない状態を保ちます。ダッシュボードは直観的に操作することができ、攻撃の試み、ユーザー認証情報の流出、ユーザーアカウントの侵害、成功したログインについて、明確かつ実用的な洞察が提供されます。また、異常なユーザー行動を検知し、不正行為につながる恐れがあるアカウントを割り出すこともできます。
市場をリードするImpervaのWeb Application & API Protection (WAAP) ソリューションには、アカウント乗っ取り防止のサポートが含まれています。今すぐアプリケーションセキュリティの無料トライアルを開始し、サイトのログイン情報を保護しましょう。
Impervaを無料でトライ
Impervaで30日間、あなたのビジネスを守る。