アカウント乗っ取りとは？

アカウント乗っ取りの一般的な手法は、自動化プログラムを使用することです。何千もの認証情報やユーザーアカウントを一度に盗むことができます。攻撃が成功して得られる収益は、違法なダークネット市場で数百万ドルに達することもあります。

また、盗まれたパスワードをダークネット市場で入手することにより、攻撃者は標的サイトのアカウントを乗っ取ることもできます。

攻撃者が膨大な認証情報のリストを入手したら、ダウンロード可能なアカウント乗っ取りツールの出番です。代表的なツールとしては、SentryMBA、SNIPR、STORM、MailRangerなどが挙げられます。以下の画像は、SentryMBAのメインウィンドウの1つです。

SentryMBAは、その設定と拡張性により、最も人気のあるツールの1つです。上部には、アカウント認証のリクエストを送信するサイトを入力することができます。その他の設定には、パスワードとユーザー名のリスト、認証に成功したリストを保存する機能、攻撃者が検知されないようにするためのタイムアウト設定などがあります。アカウント乗っ取り攻撃全体が自動化されているため、認証情報を盗むことだけに集中できます。SentryMBAなどのツールは、盗んだアカウントのリストが作成されるまで、攻撃者のコンピュータ上で無期限に実行することができます。

一部のアカウント乗っ取り攻撃では、あえてメインの標的サイト以外から乗っ取りを始める場合があります。ユーザーは複数のサイトで同じ認証情報を使用することが多いため、攻撃者はサイバーセキュリティの防御力や不正行為の検知力が弱いサイトを利用して認証情報を確認するためです。

ユーザーが複数のサイトで同じ認証情報を使用している場合、攻撃者があるサイトで成功した認証が標的サイトでも機能する場合があります。例えば、多くのユーザーが有名なホテルブランドのアカウントを持っていると分かれば、攻撃者はSentryMBAを使用して、人気のあるホテルサイトの認証を行うことができます。ホテルサイトで認証が成功すると、同じ認証情報を用いて銀行のサイトに侵入できる可能性があります。最初に手薄なサイトで認証を行うことで、攻撃者は認証の試行回数を減らし、検知の可能性を低くすることができます。

認証に成功したアカウント情報のリストを手に入れた攻撃者には、資金を送金するか、認証されたアカウント情報をオンラインで販売するかの2つの選択肢があります。攻撃者は、ターゲットユーザーの銀行口座から自分の口座に資金を移すことができます。クレジットカードのサイトでは、攻撃者はターゲットユーザーの氏名でクレジットカードを発行し、攻撃者の住所に新しいカードを送ることができます。サイトが適切なアカウントの不正検知を行っていない場合、ターゲットは、お金が送金されたり、クレジットカードが新しい住所に送られたりしていることに気付きません。

攻撃者がアカウントの認証情報リストを販売することを選択した場合、高額な報酬を得ることができます。ハッキングされたアカウント1つあたりの価値は、盗まれたデータ量やアカウントの種類によって異なります。例えば、PayPalのアカウントは1,200ドル、個人情報は40ドルから200ドル、銀行カードは800ドルから1,000ドルの価値があります。何百、何千ものアカウントがあれば、攻撃者はダークネット市場で多額の報酬を得ることができ、被害者から直接盗む場合に比べて検出リスクも削減することができます。

アカウント乗っ取りによる不正行為は、銀行口座やクレジットカードに限ったものではありません。攻撃者は、ホテルサイトに貯められたポイントや航空会社のマイルなど、特典カードやサービスを利用することもできます。クレジットカードや銀行口座に比べて、ポイントカードに不正がないかどうかをユーザーが確認することはほとんどないため、このような不正行為が注目されています。

ダークネット市場の登場により、攻撃者にとってアカウント乗っ取りは非常に魅力的なものになりました。標的となるユーザーから直接窃取する必要がなくなり、危険性が軽減されます。ユーザーから直接お金を盗む場合は、パスワード解読という大変な作業を行う代わりに、ダークネット市場で有効なアカウントを購入すればよいのです。

ダークネット市場によって、ユーザーからの窃盗は簡単になりました。また、金融アカウントやオンライン会員制度の増加も市場を活性化させる一因になっています。ターゲットユーザーは、複数のWebサイトに分散して多くのアカウントを持っていることが多いです。金融アカウントや会員制度が増えることは、アカウント乗っ取りの攻撃対象が増えることを意味します。

ユーザーやウェブサイトの管理者は、アカウント乗っ取りを防ぐために基本的な予防策を講じる必要があります。金融機関や医療機関のサイトは、攻撃者の代表的なターゲットです。これらのサイトでは通常、不正行為を検知するシステムが導入されています。多くのサイトでは、データが変更されると登録したアカウントにメールが送信されます。

「ユーザーの皆様は、金融機関から送られてくるメールを必ず読み、不審な警告を受け取ったらすぐにカスタマーサービスに連絡してください。」例えば、口座名義人が要求していないのに新しいクレジットカードが送られてきた場合は、カスタマーサービスに電話して、口座がハッキングされていないことを確認してください。

複数のアカウントで同じパスワードを使用すると、攻撃者に狙われやすくなります。オンライン上の複数のアカウントでは、常に固有の強力なパスワードを使用しましょう。多数のパスワードを管理するには、LastPass、1Password、Bitwarden などの暗号化された安全なストレージサービスを利用します。盗まれた認証情報がきっかけとなる被害に遭わないよう、フィッシング詐欺にも注意しましょう。

ウェブサイトの管理者も予防措置を講じる必要があります。アカウント乗っ取り検知ツールを導入し、不審な活動を検知する必要があります。

システムが不審な活動を検知した場合、そのIPアドレスをブロックする必要があります。疑わしい活動は、後にデータ分析者が検証することができます。例えば、同じIPやOSを使用した異なるアカウントでの認証試行回数が異常に多い場合、不正行為を検知する必要があります。分析者は、後でログに記録されたアクティビティを確認し、そのサイトが攻撃者の標的になっていないかどうかを判断します。

不正検知システムでは、IPアドレスを制限する代わりに、特定の回数の認証を試みた後にCAPTCHAを表示することができます。CAPTCHAは、同じIPアドレスから何度も認証要求があった場合に、一定時間要求されるようにすることもできます。

多要素認証 (MFA) を導入することで、ユーザーの保護にもつながります。正当なサイトの認証情報を持つ攻撃者でも、ユーザーのスマートフォンに送信されるPINコードがなければ認証できません。また、ユーザーのスマートフォンにPINを自動的に送信することで、アカウント乗っ取り攻撃の可能性をユーザーに警告することができます。その場合、ユーザーはサイトのパスワードを変更することができます。

不正行為の検知が強化されれば、ウェブサイトの管理者は顧客データを保護することができます。さらに、顧客は以下の方法でデータのプライバシーを確保することもできます。

• フィッシングの危険性と警告サインについて知っておく
• メール内のリンクをクリック前に確認する
• すべてのインターネットアカウントに固有のパスワードを使用する
• 特に金融機関のウェブサイトでは、常に強力なパスワードを使用する