流出したアカウント情報を使って自動で不正アクセスする「Credential Stuffing攻撃」とは？

by Markus Spiske

たびたび起きるユーザーアカウント情報の流出を悪用し、自動でさまざまなサービスに不正アクセスしようというサイバー攻撃が「Credential Stuffing攻撃」です。そんなCredential Stuffing攻撃で使用されるアカウント情報のリストが見つかり、ここから新たに1億件以上のメールアドレス情報が漏えいしていることが明らかになっています。

Troy Hunt: The 111 Million Record Pemiblanc Credential Stuffing List
https://www.troyhunt.com/the-111-million-pemiblanc-credential-stuffing-list/

2013年からデータ侵害について調査してきたというトロイ・ハント氏は、近年のデータ侵害界隈のトレンドとして「Credential Stuffing攻撃の急速な増加」を挙げています。Credential Stuffing攻撃というのは、漏えいしたアカウント情報を自動で入力し、アカウントに不正アクセスするというサイバー攻撃です。複数のサービスで同じIDとパスワードを使っていると被害が大きくなるため、ハント氏は「パスワードの使い回しをやめ、パスワードマネージャーを使ってランダムな文字列によるパスワードを生成する必要がある」と主張しています。

ユーザーはサービスごとに使用するパスワードを変えることで、Credential Stuffing攻撃を受けるリスクを大幅に減らすことが可能です。しかし、サービス運営側がCredential Stuffing攻撃に対処しようとすると、「正しいユーザー名とパスワードを入力する相手に対して、正当なアカウント所持者ではない」と判断する必要があるため、これを実現することは非常に困難です。Credential Stuffing攻撃の標的となっているサービスの運営組織に対し、2018年初めにアメリカの連邦取引委員会(FTC)は訴訟を起こしているのですが、その際、被害を受けた組織は「FTCのメッセージは理解できるものの、顧客データがCredential Stuffing攻撃で危険に晒された場合、犠牲となった無実の企業には法律による防衛手段が存在しません」と語り、自分たちにはどうすることもできない状況であることを強調しています。

こういった背景から、ハント氏は「Have I Been Pwned: Pwned Passwords」というサービスを作成しています。これはウェブサイト運営者がデータ侵害を受けたことのあるパスワードの使用をブロックするために、「データ侵害を受けたことのあるパスワード」を検索できるようにしたサービスです。

無料で自分のパスワードが過去の漏洩データに載った危険なものかどうかをチェックできるサービス「Pwned Passwords」 - GIGAZINE

そんな活動を続けるハント氏は、2018年7月10日に新しく「Pemiblanc」と名付けられたCredential Stuffing攻撃用のリストを発見したことを報告しており、この中にはなんと1億1100万件分のメールアドレス情報などが含まれているそうです。

発見したPemiblancというリストの中にはメールアドレスとパスワードがセットで以下のように記入されているとのこと。なお、ハント氏によると、Pemiblancに記録されていたアカウント情報の多くは「USA」フォルダに保存されているそうで、アメリカ在住のユーザーのアカウント情報であると考えられます。

ハント氏が運営するHave I Been Pwnedでは過去に起きたデータ侵害で漏えいしたアカウント情報が10億件以上保存されています。しかし、今回発見されたPemiblancというリストの中には少なくともHave I Been Pwnedには保存されていない680万件分のメールアドレス情報が含まれていたとのことで、まだ確認されていないデータ侵害がかなりの規模で起きている可能性が示唆されています。

なお、ハント氏は「どのサイトからアカウント情報が漏れたのかは不明」としており、複数のデータ侵害からPemiblancが作成されたものと推測しています。そして、Credential Stuffing攻撃のようなものに対抗するために、パスワードマネージャーを使用することを推奨しています。