【Okta調査】顧客アイデンティティへの脅威が深刻化、AI悪用でサインアップ攻撃の46%が不正リクエスト

　Okta Japanは6月30日、顧客アイデンティティに対する脅威と最新の対策状況について記者説明会を開催した。同社の日本担当リージョナルCSO（最高セキュリティ責任者）の板倉景子氏が、消費者向けアイデンティティ基盤「Auth0」から得られたテレメトリデータを基にした「Customer Identity Trends Report 2025」の調査結果を発表。AI技術の悪用により巧妙化する攻撃手法の実態と対策について詳しく解説した。今回のレポートは、Auth0上で2024年1月1日から12月31日までの1年間に観測された実運用データを分析したもので、様々な業界・規模の企業における幅広い利用状況を反映している。

サインアップ攻撃が日常化、小売業界では正規の120倍

　調査で最も深刻な問題として浮上したのがサインアップ攻撃だ。攻撃者がボットネットやスクリプトを利用して偽のアカウントを大量作成するこの攻撃について、板倉氏は「非常に日常的に発生している」と指摘する。全登録リクエストの中央値で46.1%が不正と判定され、最も被害が深刻だった日には実に92.5%が攻撃リクエストに達した。

　特に小売・Eコマース企業への攻撃が深刻で、登録リクエストの約70%が不正であった。「調査期間中のデータでは、攻撃のリクエスト数は正規のリクエストの120倍を超えている」と板倉氏は説明する。これは登録特典や会員限定サービスといったインセンティブを攻撃者が狙っているためと分析される。

　攻撃の目的は多岐にわたる。サービス特典の不正取得に加え、「アカウントを熟成させる」ことも重要な目的だという。板倉氏によると「作成されたばかりのアカウントで不正行為をしてしまうと検知されてしまうが、利用期間が長い場合、正常のユーザーと見分けるのは困難で、正常な行為として見逃されて後日の攻撃が成功してしまう」という巧妙な手法が確認されている。

　企業規模別では大企業が最も標的となりやすく、登録試行の64.3%が攻撃と分類された。中小企業（43.3%）や中堅企業（18.2%）と比較して圧倒的に高い数値となっている。

国内証券業界の口座乗っ取り被害の原因

　ログイン攻撃では既存アカウントの乗っ取りが目的となり、Auth0の観測データではログインリクエストの中央値で16.9%が攻撃と判定された。最高時には5割近くに達した日もあり、継続的な脅威となっている。

　中でも目を引くのは、AI技術の悪用による攻撃の効率化だ。板倉氏は「AIを用いてパスワードを予測する、非常に効率的にパスワードを推測するということができるようになっている」と説明し、流出データからパターンを学習した効率的な総当たり攻撃の脅威を指摘した。

　国内では複数の証券会社で不正アクセスが相次いでおり、金融庁の5月末時点の集計では不正アクセス件数が10,422件、売買額が5240億円に達している。「4月までから2000億円増えているということで、非常に被害が拡大している」と板倉氏は危機感を示した。

　フィッシング攻撃の巧妙化も深刻な問題だ。「生成AIを利用してフィッシングメールをより本物そっくりに生成する」手法に加え、「人間では判定できないような、本物そっくりなメールやサイトというのを作ることが出来る」と板倉氏は警告する。

　住宅用プロキシ（Residential Proxy）の悪用も頻繁に観測されている。家庭用IPアドレスを偽装することでリスクベース認証をすり抜ける手法で、「AIを悪用することによって、どの住宅用プロキシのIPが最適なのかというのを分析して、たとえば対象が日本人なのであれば、日本の住宅用プロキシを利用する」という高度化も確認されている。

MFA回避攻撃は減少傾向も警戒必要

　多要素認証（MFA）を回避する攻撃については、Auth0で観測されたMFA関連イベントの7.3%が悪意のある攻撃と判定された。前年度の12.7%から減少傾向にあるものの、板倉氏は「攻撃者が別の手法に移行してる可能性もあるので、決して軽視はできない」と警戒を呼びかけた。

　代表的な手法がMFA疲労攻撃だ。攻撃者がユーザー名とパスワードを入手後、大量のログイン試行を実行し、「最終的にはそのプッシュ通知の対応に疲れて承認をしてしまう」状況を狙う。より巧妙なAdversary-in-the-Middle攻撃も確認されており、正規サイトに酷似したフィッシングサイトにリバースプロキシを仕込み、ユーザーの認証フロー全体を中継してセッションを乗っ取る手法が使われている。

　業界別ではメディア業界で被害が深刻で、20%以上のMFAイベントが悪意のあるものと判定されている。SMS toll fraud攻撃も確認されており、大量のMFA要求でSMS送信を強制し、多額の通信費用を発生させる手法も使われている。

多層防御とパスワードレス認証が鍵

　これらの攻撃に対する対策について、板倉氏は「1つのレイヤーだけではなくて、多層のレイヤーで実施をしていくというのが必要である」と強調した。ホスティング層でのDDoS対策、ボット検知、レート制限といったネットワークレベルの基本防御に加え、アイデンティティプラットフォーム層でのより詳細な防御が重要となる。

　MFA対策では「抜け道を作らない」ことが最重要だ。板倉氏は「認証する時はMFAが必要となるが、パスワードリセットのようにアカウントをリカバリーする時にはパスワードだけで出来る。セキュリティというのは弱いところに引っ張られてしまう」と説明し、全てのリスクが高い箇所への適用の重要性を訴えた。

　最も根本的で効果的な対策としてパスワードレス認証の導入を推奨している。パスキーについて板倉氏は「フィッシングにも総当たりにも強いセキュリティ認証方式」と評価し、「パスワードにまつわる運用から解放される」利便性向上のメリットも指摘した。Oktaの調査では、パスキー利用によりログイン時間の短縮と失敗率の減少が確認されており、セキュリティと利便性の両立が実現されている。

　板倉氏は最後に「今回のレポートを参考に機能の実装をご検討いただきたい」と述べ、Auth0が複数レイヤーでのセキュリティ機能に積極投資を続けていることを強調した。特に小売・Eコマース業界と大企業は継続的に標的となりやすい傾向があり、業界特有のリスクを理解した対策が求められる。