Okta Japanは、同社の顧客ID管理プラットフォーム(Auth0)を利用する顧客のデータに基づいて、顧客IDに対する攻撃動向を考察する2022年版レポート「2022 State of Secure Identity Report」を公開した。
同レポートでは、2022年における最初の90日間に、顧客ID管理ソリューションのプラットフォーム(Auth0)上で行われた認証を観察して得られた、顧客IDに対する攻撃の傾向、事例、考察を紹介している。
クレデンシャルスタッフィング攻撃が記録的なペースで進行
同社プラットフォーム上で約100億件のクレデンシャルスタッフィング攻撃を検出したという。これは全体のトラフィック/認証イベントの約34%に相当する。ほとんどの業種でクレデンシャルスタッフィング攻撃の割合は10%未満だったが、「小売/eコマース」では、観測されたログイントラフィックの80%以上がクレデンシャルスタッフィング攻撃であることが判明した。また、「金融サービス」と「エンターテインメント」でも、クレデンシャルスタッフィング攻撃がログイントラフィックの50%以上を占めることが確認されたという。
不正なアカウント登録による脅威の拡大
同社プラットフォーム上で約3億件の不正なアカウント作成の試みを観測した。その試みはサインアップ試行の約23%(昨年同期の15%からアップ)を占めている。特に、サインアップ攻撃の割合が最も高い業種は、「エネルギー/公益事業」(72.52%)と「金融サービス」(64.81%)だった。
脅威者は価値の高いターゲットのMFAを集中的に攻撃
同社プラットフォーム上でMFAに対する約1億1300万件の攻撃を観測。MFAを回避するためには労力が必要なため、このようなMFAバイパス攻撃は価値の高いターゲットに集中する傾向があるという。実際、業種別の攻撃率を調べると、脅威者は「人材派遣/人材紹介」「公共部門」「小売/eコマース」「金融サービス」に攻撃を集中していることがわかる。
漏洩した認証情報による攻撃
漏洩した認証情報を利用したアカウント乗っ取り攻撃は、最も一般的でコストのかかるサイバー脅威の一つ。第三者による不正アクセスで流出した認証情報のリストを販売するマーケットプレイスも存在するという。実際、同社のプラットフォームを利用する全顧客のアプリケーションの58%は、漏洩した認証情報を利用した攻撃を少なくとも1回は経験しているとのこと。また、漏洩したパスワードの保護をうたうサービスのほとんどは、ウェブスキャナーやスクレイパーを使用しており、漏洩したデータが公開されることを前提にしているため、最初の漏洩から数ヵ月、あるいは数年経っている可能性があるとしている。
下記の図は、同社のプラットフォームで観測された1日あたりの使い回しされた認証情報の量を示している。1日あたり約50,000件の基底レベルは、主にユーザー側でのパスワード使い回しに起因。クレデンシャルスタッフィング攻撃は少量となっているが、図中の急増している部分は、漏洩した認証情報を使用した大規模な攻撃の発生を示しているという。
顧客IDを狙った攻撃を阻止するための基本的な推奨事項
社内で独自のソリューションを開発する場合でも、アイデンティティ管理サービスを利用する場合でも、顧客IDを狙った攻撃を阻止するには、次のような基本的な推奨事項があると同社は述べている。
- MFAの導入と奨励:強力なセカンダリ要素を持つ複数の方法を導入し、ユーザーでの採用を奨励。WebAuthnを採用し、サポートされているデバイスで有効化する
- ログインの試行回数を制限する:ブルートフォース攻撃、クレデンシャルスタッフィング攻撃、パスワードスプレイング攻撃は、ログインの成功にともなって多くのログイン失敗も発生。この挙動を利用して攻撃を検知し、対策を講じる
- 漏洩したパスワード使用の監視:多くのユーザーが複数のサイトで同じまたは類似のパスワードを再利用しているため、1つのサービスでの侵害が他の多くのサービスに脅威を与える可能性がある。漏洩した認証情報をユーザーに変更させる
【関連記事】
・「アイデンティティ管理」を理解する情報システム・セキュリティ担当者は2割──Okta Japan調査
・埼玉県職員1万2000人のSaaSに採用 Oktaのプラットフォームで基盤構築
・総売上高、前年同期比61%増――Okta 第3四半期決算