チェッカーとブルートフォースは、パスワード管理が不十分であることの危険性を浮き彫りにします

主な判断

• チェッカーやブルートフォースを使用するサイバー犯罪者の影響を最も受ける業界は、ソフトウェア、メディア&エンターテインメント、eコマース、金融、通信です。

• 脅威アクターは、犯罪者の地下で利用可能な自動チェッカーとブルートフォースワーを使用して、アカウントを検証し、それらにアクセスすることを目的としています。

• パスワードの再利用とパスワード管理の不備は、クレデンシャルスタッフィング攻撃を成功させる最大の問題の1つです。

背景

攻撃者は、データベース侵害から取得した認証情報を使用して、チェッカーやブルートフォース攻撃を行い、大規模な自動ログインリクエストをWebサイトに対して送信して、被害者のアカウントの有効性を判断し、不正アクセスを取得することができます。 犯罪者は、わずか550ドルの投資で、侵害されたログイン認証情報の販売から少なくとも20倍の利益を得ることができます。2019 年、Akamai は、金融機関を狙った 18 か月間に 35 億件を超える Credential Stuffing リクエストを検出した と報告 しました。

Recorded Futureが2019年の レポート で分析したチェッカーとブルートフォースの大部分は、まだ広く販売され、犯罪者によって使用されており、中には2016年にまでさかのぼるものもあります。 これらのツールの継続的な有効性は、脅威アクターがパスワードの再利用を利用できるようにするパスワードの衛生状態が悪いことが一因です。

泥棒の間には名誉はなく、これらのチェッカーやブルートフォースの一部はクラックされているため、関心のあるサイバー犯罪者は、元の販売者が提供しているよりも安い価格または完全に無料の価格でこれらのツールを使用できます。

チェッカー

チェッカーは、サイバー犯罪者がユーザーのログイン資格情報の組み合わせの有効性を一括でチェックするために使用する自動化ツール(スクリプトまたはソフトウェア)です。 チェッカーは、ウェブサイトのメインページ、モバイルアプリ、またはアプリケーションプログラムインターフェース(API)機能を使用して、有効なアカウントを特定することができます。

In a credential-stuffing attack, a threat actor will use a database of usernames and passwords frequently obtained from data breaches. For example, an attacker could have obtained credentials from the LinkedIn data breach of 170 million accounts compromised in 2012 and leaked on the dark web in 2016 (1,135,936 of those LinkedIn accounts used the password “123456”). An attacker would take the email and password combination from that LinkedIn database breach, and see if the same credentials can be used to gain unauthorized access to other victim accounts, such as an email or a bank account, because threat actors know that users frequently reuse the same passwords across multiple websites and platforms. Checkers automate and commoditize credential-stuffing attacks for easier and faster ways of gaining access to user accounts and personally identifiable information (PII). In fact, checkers may outnumber legitimate login attempts by a factor of greater than four to one.

ブルートフォース

ブルートフォースは、自動化されたサーバーリクエストを通じてユーザーアカウントにアクセスするために使用される自動化されたパスワードクラッキングツールです。 これらのツールは、試行錯誤の方法や辞書攻撃を使用してパスワードやユーザー名を推測し、解読しようとするため、攻撃者は特定のユーザーやWebサイトのパスワードを迅速に推測できます。 また、データダンプから取得したユーザー名などの部分的な情報も、攻撃者がブルートフォース攻撃を使用してパスワードを取得することを容易にします。

脅威分析

以下は、Credential Stuffing攻撃の成功から明らかになった注目すべき侵害の一部です。

• 2019年7月、米国の銀行・保険会社であるState Farmは、 クレデンシャルスタッフィング攻撃 を受け、「悪質な人物」がState Farmのオンラインアカウントの有効なユーザー名とパスワードを確認できたと発表しました。

• 2020年1月、Amazon傘下のスマートカメラメーカーであるRingは、子供の寝室のカメラがハッキングされた家族から 訴訟 に直面しました。 犯罪者は、一般的なパスワードのリスト を使用して 、家族のRingカメラアカウントにブルートフォースで侵入したとされています。

• 2020年1月30日、TechCrunchは、インドの航空会社SpiceJetで120万人の乗客に影響を与えた侵害について 報告 しました。 伝えられるところによると、SpiceJetの内部システムへのアクセスは、システムの簡単に推測できるパスワードをブルートフォース攻撃することによって取得されました。

この種の攻撃は、被害者が複数のオンラインプラットフォームで同じログイン情報(ユーザー名とパスワード)を再利用すると、成功する可能性がさらに高くなります。 南カリフォルニア大学の 研究によると、「パスワードの再利用は横行し、無差別に行われています。ユーザーの98%はパスワードをそのまま再利用し、84%は重要でない、おそらく安全性の低いサイトで重要なパスワードを再利用しています。パスワードの再利用の主な原因は、リスクに対する理解が不十分であることと、セキュリティよりも記憶力が優先されることです。

チェッカーやブルートフォース攻撃を使用するサイバー犯罪者の標的に最も影響を受ける業界は、ソフトウェア、メディア&エンターテインメント、eコマース、金融、通信です。 下の画像は、ダークウェブソースコレクションに基づく6か月のタイムラインで影響を受けたセクターを示しています。

チェッカーやブルートフォースの標的となる業界。 (Recorded Future)

サイバー犯罪者は、ダークウェブで利用可能な自動化されたカスタムツールや「既製の」ツールで、何千もの認証情報を含むリストを使用するのが一般的です。 多くのツールは、「コンフィグ」と呼ばれるカスタムプラグインを無制限にサポートしており、サイバー犯罪者はオンラインに存在するほぼすべての企業を標的にし、アカウントの乗っ取りを行うことができます。 また、あまり知られていないツールとして、知名度の高い企業をターゲットにしたツールもあります(Netflix、Facebook、Instagram、Spotifyなど)。 ある組織が、特定のブランドやエンティティの広告を目にした場合、そのチェッカーに対するクレデンシャルスタッフィング攻撃の増加の前兆である可能性があります。

これらの自動化ツールは、攻撃者が銀行、電子商取引、ロイヤルティまたはリワードプログラム、ソーシャルメディア、オンライン暗号通貨ウォレットなど、さまざまなアカウントに対して侵害されたユーザー名とパスワードを使用するのに役立ちます。 攻撃者は、アカウントにアクセスすると、利用可能な資金や報酬ポイントを枯渇させたり、個人情報や財務情報(クレジットカードデータなど)を盗んだり、詐欺や個人情報の盗難を行おうとします。 自動化されたブルートフォースツールの場合、攻撃者は多くの場合、最も一般的な組み合わせで一般的なパスワードのリストを使用します。

犯罪アンダーグラウンドに関する多くのフォーラムには、ブルートフォースとチェッカーの販売と議論に特化したセクションがあります。 私たちが観察しているそのようなフォーラムの1つには、クレデンシャルスタッフィング攻撃とチェッカーソフトウェアの販売に特化した何千ものスレッドがあり、その理由も不思議ではありません:フォーラムのディスカッションによると、5,400の電子メールアドレスのデータベースをチェックし、成功したログインとパスワードの組み合わせを攻撃者に返すのに90秒しかかからないチェッカーツール。 そのツールは、犯罪者の地下でわずか12ドルで販売されています。

このようなツールがなければ、脅威アクターは独自のツールを作成するか、既存のツールを設定し、攻撃を開始するためのボットネットを作成またはレンタルし、攻撃インフラストラクチャをホストするための防弾サーバーをレンタルする必要があります。

1ブルートフォースザーの詳細

犯罪組織の地下で見つけたツールの1つとして、「Big Brute Forcer」と呼ばれるものには、1,000ドルの「Basic」と2,500ドルの「Pro」の2つのバージョンがあります。 より高価な「Pro」バージョンは、アカウントチェックとブルートフォースのためのツールセットとインフラストラクチャ全体を購入者に提供します。 この特定のツールを選んだのは、その斬新さ、ビジネスへの影響、自動化機能のためでした。

Big Brute Forcer は、ボットネットを使用してブルートフォース攻撃を実行し、計算ワークロードを複数のマシンに分散し、複数の IP からのログイン試行を許可します。 大規模なブルートフォース攻撃で複数のIPを使用すると、サイバー犯罪者は、何百もの異なるIPアドレスから被害者のアカウントにアクセスを試みることにより、攻撃の単一の発信元を隠すことができます。 Big Brute Forcerには、未熟なサイバー犯罪者でも、Webサイトやオンラインリソースに対して自動化された方法で一連のブルートフォース攻撃を特に簡単に開始できる機能があります。

• Big Brute ForcerはWebベースのアプリケーションであり、コマンドラインや専門的な技術知識を開くことなく、ブルートフォース攻撃を開始するためのさまざまなオプションを購入者に提供します。

• Big Brute Forcer には、インストールと構成の技術サポートが付属しています。

• 購入者は、コントロールパネルに独自のドメインリストを使用するか、Big Brute Forcerの開発者が提供するドメインリストを使用して攻撃を制御することができます。

• Big Brute Forcerには、攻撃に使用するためのさまざまな侵害のパスワードの組み合わせの辞書がプリロードされています。

• サイバー犯罪者は、独自のBig Brute Forcerボットネットを作成するか、開発者から事前に作成されたボットネットをレンタルできます。

• 開発者は、直接購入できる防弾ホスティングサービスを提供および運営しています。

これまで、脅威アクターは、ブルートフォース攻撃を成功させるために複数の手動手順が必要でした。 侵害された認証情報を収集または購入し、攻撃するドメインとサブドメインのリストを作成し、選択したツールを設定し(多くの場合、一定レベルの技術スキルが必要です)、攻撃を開始するためのボットネットを作成し、最後に、防弾ホスティング業者からサーバーをレンタルしてコントロールパネルをホストする必要があります。 さらに、クレデンシャルスタッフィング攻撃で使用される多くのツールには、ターゲットのパラメータを定義する設定ファイルが必要ですが、Big Brute Forcerもそのすべてを提供できます。

このツールのグラフィカルユーザーインターフェイスもシンプルで、経験の浅いユーザーでも簡単です。 これにより、ブルートフォースの進行状況、侵害の速度、成功したアクセス試行と失敗したアクセス試行の統計を表示できます。 さらに、ユーザーは、侵害されたアカウントのログインポータルへのリンクとともに、何千ものユーザー名とパスワードのリストに直接ピボットできます。 これらのWebサイトへの管理アクセス権を持つサイバー犯罪者は、顧客のPIIと支払いカードのデータを盗むことができます。 Big Brute Forcerは、侵害されたWebサイトから直接感染して盗むために、Webシェルとバックドアをインストールすることさえ提案しています。

開発者は、クライアントのセットアッププロセスを迅速化するためにBig Brute Forcer機能を構成する方法についての詳細なYouTubeビデオも提供しています。 たとえば、あるビデオでは、Webサイトへの侵入方法を段階的に説明しており、その過程で数十の侵害されたWebサイトを示しています。 脅威アクターがドメインとサブドメインのリストをアップロードすると、Big Brute Forcer は 30 分以内に、解読されたログインとパスワードの詳細のリストを返し、開発者はそれを使用してこれらの Web サイトにリアルタイムでログインします。

ビデオに映っている被害を受けた企業の中には、電子商取引やエンターテインメントのウェブサイト、顧客のPIIや財務データを持つ旅行代理店も含まれています。 Big Brute Forcer は、ヨーロッパ、米国、アジア、ブラジルなど、さまざまな地域に拠点を置く Web サイトやオンライン リソースに無差別に侵害します。 ある例では、Big Brute Forcerの開発者が、優れたセキュリティの必要性を強調し、クライアントのセキュリティを保護するための自社の取り組みを強調するニュージーランドを拠点とするセキュリティ会社のWebサイトにアクセスする方法を示しています。 特に、この会社の管理パネルのログインは、ユーザー名として「admin」、パスワードとして会社名を使用して、簡単に推測できました

緩和戦略

• 組織内のユーザーの間で、アカウントごとに一意のパスワードを使用する意識を高めます。 パスワードマネージャーは、エンドユーザーが一意で複雑なパスワードを生成、保存、取得するのに役立ちます。</<。

• ログインプロセス中に追加の詳細 (CAPTCHA やユーザーの姓など) を要求して、自動化されたクレデンシャル スタッフィング攻撃で攻撃者のプログラムされたロジックを破ります。

• 可能であれば、多要素認証 (MFA) を使用します。 MFAはブルートフォース攻撃やチェック攻撃の発生を防ぐことはできませんが、悪意のある脅威アクターによるログインの試みがその追加の認証レイヤーによって妨げられるように、追加のセキュリティレイヤーを提供します。

• カスタマイズされたWebアプリケーションファイアウォールルールを確立し、異常なヘッダーの順序とユーザーエージェントに特に注意を払い、有効なリファラーを確認します。

• 攻撃者を阻止するために、ログイントラフィックを意図的に遅くし、レートを制限します。 たとえば、ログイン試行が一定回数失敗した後にアカウントをロックアウトしたり、ログイン要求に対するサーバーの応答に遅延を導入したりします。

• 未使用の公開ログインパスを削除し、モバイルとAPIのログインパスの制御を強化します。

• トラフィックのベースラインとネットワーク要求により、予期しないトラフィックの Web サービスを監視します (ボリュームや要求の種類など)。

• Recorded Futureを使用して、犯罪者のアンダーグラウンドコミュニティを監視し、組織を標的とした新しい設定ファイルの可用性、取得、および追加の攻撃指標のためのそのようなファイルの徹底的な分析を行います。

• Recorded Future を使用して、データベース侵害から侵害された資格情報を表面化し、特定されたら、脅威に対処するための適切なアクションを実行します。

• クライアント・パスワードは、常にハッシュ形式で保管してください。 プレーンテキストのままにしないでください。 ハッシュ アルゴリズムの一部として、攻撃者が簡単に導き出せないソルト値を組み込みます。 ハッシュは元に戻せませんが、ソルト値を組み込まないと、攻撃者はハッシュを一般的なパスワードの公開されているハッシュ のデータベース と比較する可能性があります。

今後の展望

サイバー犯罪者は、ユーザーアカウントへの不正アクセスに成功し、地下経済でクラックされたアカウントを販売することで利益を得るため、チェッカーとブルートフォースを引き続き使用します。 この慣行は、パスワードの衛生管理とセキュリティ対策が改善されるまで、企業や個々のユーザーを脅かし続けるでしょう。 Recorded Futureは、ダークウェブで宣伝および議論されたチェッカーとブルートフォースを継続的に監視し、クライアントに緩和戦略を強化する方法を通知します。 Recorded Futureプラットフォームを使用すると、クライアントは自社のブランドやエンティティを標的としたツールを特定でき、これは彼らに対する攻撃が増加することを示している可能性があります。