TOPセキュリティ > クレデンシャルスタッフィング攻撃、犯人が隠蔽に使う4つの方法...

セキュリティ

クレデンシャルスタッフィング攻撃、犯人が隠蔽に使う4つの方法(後)

2022/02/09

Michael Hill CSO

 クレデンシャルスタッフィング攻撃とは、流出したユーザーアカウント情報のリストを使ったサイバー攻撃のこと。流出元のサービスで実際に使われていた膨大な数のユーザー名とパスワードを使って、別のサービスへのログイン要求を機械的に行い、不正アクセスを試みる。

前回から続く)

3:HTTPヘッダーのデータ修正で検出を回避する

Credit: Chainarong Prasertthai / Getty Images
Credit: Chainarong Prasertthai / Getty Images

 防御側は、API呼び出し元の識別やプロファイリングを行ってセキュリティーに利用するために、HTTPヘッダーに格納されているユーザーエージェントなどの情報を分析している場合もあるとIsbitski氏は言う。だが、こうしたメタデータだけを頼りにしたセキュリティー分析は信頼性に欠け、攻撃者につけ込まれる恐れがある。

 「ブラウザー用の基本的なプラグインでも、ヘッダー情報はユーザーが自在に設定できる。攻撃者は、通信を傍受するプロキシを使えば、必要に応じてヘッダーの改ざんが可能だ。一連のリクエストに対する改ざんを自動化することで、検出を回避できる。防御側がこうしたヘッダー情報のみを見ていると、Webユーザー、モバイルユーザー、IoTデバイスなどからのアクセスのように見える」

 HTTPヘッダー情報の分析だけではなく、セッション内でユーザーの行動を精査して、不正な呼び出し元を特定しなくてはならないとIsbitski氏は説明する。「それには、アーキテクチャーの各所でAPIのテレメトリーデータを収集し、継続的な分析を通じて、攻撃の芽となる異常を特定する必要がある」

4:APIリクエストの送信元を分散させて許可/拒否リストを回避する

 API呼び出しのアクセス元に応じた防御の方法としては、IPアドレスの許可/拒否リストもある。攻撃での利用実績があるIPアドレスやアドレス空間からの接続をブロックする手法だ。だが攻撃側は、こうした防御策を回避するために、プロキシを使い、別の発信元からのログイン要求になりすます。

 「実際とは別の国からのアクセスに見せかけることができる。防御側が観測するパケットの送信元IPアドレスは、トラフィックの本当の発信元とは異なる」。英Digital Shadowsでサイバー脅威インテリジェンスのシニアアナリストを務めるChris Morgan氏はそのように説明する。攻撃者はトンネリングを使って送信元IPアドレスや位置情報を隠すことから、防御側にとっては対応付けが難しいと同氏は指摘する。

 また、Isbitski氏は次のように言う。「攻撃側は、クラウド上で稼働するマシンやサービスを利用して、攻撃の実行や分散を図る場合もある。クラウドサービス事業者のIPアドレス空間は、信頼できるアドレスとして防御側が設定している場合も多い。正規のクラウドリソースや連携を問題なく利用するためだ」

 クラウドコンピューティングのIPアドレスは、特にコンテナを利用する稼働形態では存続期間が短く、IPアドレスの許可/拒否リストで追随していくのは難しいとIsbitski氏は指摘する。「クラウド事業者が不正行為に気づいた場合でも、その頃には攻撃者は、別のコンピューティングサービスや別のクラウド事業者に移っている。呼び出しの回数制限と同様に、動的な防御を取り入れないと、攻撃者がAPIリクエストの発信元を変えた時や、不正な行為を見せ始めた時に、特定が難しい」

↑ページ先頭へ