クレデンシャルスタッフィング:定義、技術、防御

クレデンシャルスタッフィングは、一般的なサイバー攻撃の一種です。ITとは、侵害されたユーザー名とパスワードの組み合わせを自動的に挿入して、ユーザーアカウントに不正にアクセスすることです。

ハッカーはあなたのサーバーに侵入しようとしています。あなたは彼らを締め出したいのです。高度なパスワードプロセスを使用しており、認証情報を頻繁に変更する必要があります。 ITは絶対確実なシステムのように見えますが、ITには1つの大きな欠陥があります。

もし人々がパスワードを再利用しているなら (そして私たちの多くもそうしています)、壊滅的な攻撃を受ける可能性があります。

今日、150億件以上の盗まれた認証情報が闇市場に出回っています。多くの場合、ハッカーはあなたに対して使用できる武器にお金を払う必要さえありません。このデータベースを使用すると、従業員の 1 人の名前/パスワードを持つことができます。ちょっとしたハッキングで、彼らはあなたの脆弱性を見つけて乗っ取ることができます。

クレデンシャルスタッフィングの攻撃は壊滅的です。 しかし、それらを防ぐことは可能です。

クレデンシャルスタッフィング攻撃の仕組み

クレデンシャルスタッフィング には、盗まれたユーザー名またはパスワードが含まれます。ハッカーは、データをボットにプラグインして攻撃を開始し、同じ組み合わせで他のサーバーが開かれるかどうかを判断します。

すべての攻撃は異なりますが、ほとんどの攻撃は次の段階的な計画に従います。

1. ディスカバリー: ハッカーは、他の攻撃によって公開されたユーザー名/パスワードの組み合わせのキャッシュを見つけます。
2. モデリング： ハッカーは、これらの組み合わせが他のWebサイトで機能するかどうかを確認するために、いくつかのテストを実行します。
3. 大規模な作業: ハッカーは、ツールを使用してサーバーに対する攻撃を開始します。 盗まれたすべてのピースは、ログイン試行の洪水として入ってきます。1つでも機能すれば、ハッカーはアクセスできます。
4. 窃盗： ハッカーは、クレジットカード番号、社会保障番号、その他のログインデータなど、アカウント内の価値のあるものを探します。
5. 身代金： ハッカーは盗難を会社概要に指摘し、アクセスを返すための金銭的な理由を求めます。

クレデンシャルスタッフィングは 総当たり攻撃 attack のフォームです。 ハッカーは、機能する名前とパスワードの組み合わせを 1 つまたは 2 つしか持っていません。しかし、それらはすべてサーバーに向けられています。

クレデンシャルスタッフィングを防ぐことができますか?

データの公開を望んでいる会社はありません。 しかし、クレデンシャルスタッフィング攻撃を防ぐには、プログラマーとメンバーの両方に助けを求める必要があります。 ハッカーが会社概要のサーバーに足を踏み入れないように、協力して作業する必要があります。

従業員、ユーザー、およびサーバーパスワードを持つその他の人々は、次のことを行う必要があります。

• 独自のパスワードを作成します。 情報を一度でも再利用するということは、サーバーをリスクにさらすことを意味します。何十もの固有の認証情報を覚えるのは困難ですが、 パスワード管理 は、データの作成と保存の両方を支援し、使いやすくするのに役立ちます。
• パスワードの変更 frequently 。 パスワードを頻繁に循環させ、意味のある方法で変更します。たとえば、1 つの文字や数字をずらさないでください。ログイン全体を修正します。
• 2 要素認証をオンにします。 ログインしようとすると、電話または接続されている別のデバイスで通知を受け取ります。この小さな一歩がハッカーを遠ざけ、多くの人があなたの詳細を使おうとしていることに気づくかもしれません。

エンタープライズ レベルでは、会社概要 は次のことができます。

• 教える。 適切なパスワードの実践が非常に重要である理由をユーザーに伝え、データを保護するために何ができるかを説明するガイドラインを作成します。
• 試みを監視します。 ログイン試行に注意してください。スパイクは、会社概要 が攻撃を受けていることを示している可能性があります。
• カスタムソリューションを作成します。 Captcha やその他のログイン ハードルを使用して、ボットを倒すことができます。しかし、一部の専門家は、最高の予防ツールは ゼロから作られていると示唆しています。

  ハッカーは、一般的なファイアウォールを回避するためのツールを開発する可能性があります。あなたのものが新しくてユニークなものであれば、ハッカーはITを打ち負かすために時間を費やすのではなく、単に先に進むことを選ぶかもしれません。

これらの手順では、データ侵害のリスクを排除できない場合があります。しかし、サーバーをハッカーにとって魅力的でないターゲットにする可能性があります。これにより、会社概要 は大きな案件の心痛を救うことができます。

攻撃の深刻さは?

証券取引委員会(SEC)は、クレデンシャルスタッフィング攻撃が増加していると述べています。1億1100万件以上のレコードを含む Pemiblancリスト を含む大規模なリストが原因です。非常に多くのユーザー名/パスワードデータが利用可能であるため、ハッカーは抵抗できないようです。

クレデンシャルスタッフィングの最大の事例の1つは、2014年5月のものです。ハッカーは eBayの従業員3人の認証情報にアクセスし、それを使ってネットワークとデータベースにアクセスしました。ハッカーはなんと229日間もそのアクセスを保持しました。

2014年、JPモルガン・チェースも 同様の攻撃を受けましたが、当局はITが起こっていることを知らなかった。 契約社員は、盗まれた10億のユーザー名とパスワードの キャッシュ とともに、侵害を発見しました。

IT部門は、このような侵害から回復するのに何年もかかることがあり、顧客の中には信頼の侵害を完全に許せない人もいるかもしれません。 ITがハッキングに関しては、予防が最善のポリシーです。

Okta のサポートを受ける

Okta が組織の認証情報を保護し、クレデンシャルスタッフィングなどの攻撃を防ぐ方法をご覧ください。私たちはあなたのプロセスを順を追って説明し、機能するセキュリティシステムを考え出すのを手伝いたいと思っています。

参考文献

デジタルシャドウの研究者によると、150億を超える盗まれたパスワードがダーク デWebで流通しています。（2020年7月、CPOマガジン。

クレデンシャルスタッフィングから「もの」を取り除きます。(2020年7月)。今日のマーテック。

クレデンシャルスタッフィング攻撃を阻止するための10のヒント。（2019年2月、Medium） 

サイバーセキュリティ: 認証情報の漏洩/侵害に対するクライアント アカウントの保護。 （2020年9月、米国証券取引委員会。

オンラインで見つかった1億1,100万件のレコードを含むクレデンシャルスタッフィングリスト。（2018年7月、トリップワイヤー。

2020年のトップ10データ漏洩。 (2020年12月)。セキュリティマガジン。

パスワードが漏洩/侵害されたり、データ侵害で盗まれたりすることについて、どの程度心配する必要がありますか?専門家はこれを言っています。 (2020年12月、Forbes)

世界のデータ侵害通知ソフトウェア市場は、2020年から2024年の間に725.41百万ドル成長し、予測期間中に17%のCAGRで進行すると予想されています。(2020年12月、ヤフー！金融。

21世紀の15の最大のデータ漏洩。 (2020年4月)CSO(最高セキュリティ責任者).

運は、JPモルガンで数百万人に影響を与えたデータ侵害の発見に役割を果たしました。(2014年10月)ニューヨークタイムズ。