エンドポイントセキュリティや、サイバー攻撃対応サービスを展開するCrowdStrikeは、アカウント認証情報の窃取によるサイバー攻撃に関するレポート内容を公開しました。
認証情報ダンピング はフィッシングメールから
CrowdStrikeの最新の調査によると、近年のサイバー攻撃者は、正式なアカウント認証情報窃取することを目的にするケースが増加しているとのことです。
正式なアクセス権限のあるユーザーとして成りすますことで、そのアカウントに許可されたすべての機能が利用できるようになることが目的と推測されております。
その攻撃手法として「認証情報ダンピング」がとられることが多く、これは特定のユーザーアカウントの認証情報を不正に取得するというもので、攻撃者にはいくつものメリットが存在します。
| ・リモートからのログインが可能 |
| ・正当なアクセス権のあるユーザーになりすますことができるため、監視をかいくぐれる |
| ・マルウェアによる攻撃ではないため、セキュリティ機器による検知の影響を受けない |
CrowdStrikeの調べによると、認証情報ダンピングの流れとして、まずはターゲットにフィッシングメールが送られ、その後ブルートフォースアタック(総当たり攻撃)を併用で認証をクリアし、アカウント情報を入手するというケースが最も多いとのことです。
認証情報ダンピングへの有効な対抗策として、パスワードと生体認証などを組み合わせた多要素認証が推奨されており複数の種類の認証で効果的な防御が期待でき、攻撃者もシステム内への侵入が容易でなくなるとのことです。
| 【参考URL】 CrowdStrike Blog:攻撃者の十八番~認証情報の盗取 |