Oktaは、オンラインサービスを狙ったクレデンシャルスタッフィング攻撃の「頻度と規模」の急増に警告している。この攻撃は、住宅用プロキシサービス、以前に盗まれた認証情報のリスト(「コンボリスト」)、およびスクリプトツールの広範な利用によって容易になっているとされる。Ciscoからの最近のアドバイザリーによると、2024年3月18日以降、VPNサービス、Webアプリケーション認証インターフェース、SSHサービスを含む様々なデバイスを対象としたブルートフォース攻撃が全世界で急増している。これらの攻撃は、TORの出口ノードやその他の匿名化トンネル、プロキシから発信されていると指摘されている。
OktaのIdentity Threat Researchは、2024年4月19日から4月26日にかけて、同様のインフラストラクチャからユーザーアカウントに対するクレデンシャルスタッフィング活動の増加を検出した。クレデンシャルスタッフィング攻撃は、あるサービスで発生したデータ侵害から得られた認証情報を使用して、別の関連性のないサービスへのサインインを試みるサイバー攻撃である。これらの認証情報は、フィッシング攻撃によって被害者を認証情報収集ページにリダイレクトするか、コンプロマイズされたシステムに情報窃盗マルウェアをインストールするマルウェアキャンペーンを通じて抽出されることもある。
最近観察された攻撃は、TORなどの匿名化サービスを介してルーティングされるリクエストに依存している共通の特徴を共有している。NSOCKS、Luminati、DataImpulseを含む様々な住宅用プロキシを通じてルーティングされたリクエストが数百万に上る。住宅用プロキシ(RESIPs)は、支払いを受けた加入者の代わりにトラフィックをルーティングするために、知識や同意なしに正当なユーザーデバイスのネットワークを悪用することを指す。これは通常、コンピュータ、携帯電話、ルーターにプロキシウェアツールをインストールすることによって達成され、それによってデバイスがボットネットに登録され、そのトラフィックのソースを匿名化したいサービスの顧客に貸し出される。
HUMANのSatori Threat Intelligenceチームは先月、モバイルデバイスをRESIPsに変えるプロキシウェア機能を含む組み込みソフトウェア開発キット(SDK)を介して、2ダース以上の悪意のあるAndroid VPNアプリを明らかにした。Oktaは、アカウント乗っ取りのリスクを軽減するために、組織が強力なパスワードへの切り替え、2要素認証(2FA)の有効化、運用していない場所からのリクエストの拒否、評判の悪いIPアドレスからのリクエストの拒否、パスキーのサポートの追加を推奨している。
【ニュース解説】
最近、Oktaはオンラインサービスを狙ったクレデンシャルスタッフィング攻撃の「頻度と規模」の急増について警告しました。この攻撃は、住宅用プロキシサービス、以前に盗まれた認証情報のリスト(コンボリスト)、スクリプトツールの広範囲な利用によって容易になっています。これらの攻撃は、TORなどの匿名化サービスを介して行われ、多くの場合、正当なユーザーデバイスを経由しています。
クレデンシャルスタッフィング攻撃とは、データ侵害によって漏洩した認証情報を使用して、他のサービスへの不正アクセスを試みるサイバー攻撃です。攻撃者は、フィッシング攻撃やマルウェアを通じて得た認証情報を利用して、多数のオンラインアカウントにアクセスしようとします。
この種の攻撃が増加している主な理由の一つは、住宅用プロキシ(RESIPs)の広範な利用です。これらのプロキシは、正当なユーザーデバイスを悪用して、攻撃者のトラフィックを匿名化し、その出所を隠します。このプロセスは、ユーザーが知らないうちに、または何らかの報酬と引き換えに自らのデバイスをプロキシネットワークに登録することによって行われます。
この攻撃の増加により、組織はアカウント乗っ取りのリスクに直面しています。そのため、Oktaは強力なパスワードへの切り替え、2要素認証(2FA)の有効化、運用していない場所からのリクエストの拒否、評判の悪いIPアドレスからのリクエストの拒否、パスキーのサポートの追加など、複数の対策を推奨しています。
この攻撃の増加は、オンラインセキュリティの新たな課題を示しています。組織だけでなく、個人ユーザーも自身のデバイスとアカウントのセキュリティを強化する必要があります。また、この問題は、プロキシサービスの利用規制や、デバイスのセキュリティを向上させる技術の開発を促進する可能性があります。長期的には、より安全な認証方法の普及や、サイバーセキュリティ教育の強化が重要になるでしょう。
from Okta Warns of Unprecedented Surge in Proxy-Driven Credential Stuffing Attacks.
