米連邦捜査局(FBI)は、ハッカーがクレデンシャルスタッフィング攻撃を利用して食料品店やレストランや食品宅配サービスなどのオンラインアカウントを乗っ取り、不正な注文によってユーザーの資金を流出させたり、個人情報や財務データを盗んだりしていると発表しました。
これはFBIのサイバー部門が、米国の食品・農業分野の企業に送ったFBI Private Industry Notificationを通じて行われました。
同局によると、サイバー犯罪者グループは他社の不正侵入で得たユーザー名とパスワードの組み合わせを利用して、食料品や食品の宅配サービスの顧客アカウントにログインし、ユーザーがアカウント間でパスワードを使い回していることを狙っているとのことです。
クレデンシャルスタッフィング攻撃として知られるこのような侵入行為は、一般的に自動化されたツールやプロキシ・ボットネットを使用して行われ、攻撃を大量のIPアドレスプールに分散させ、攻撃者の位置を偽装しています。
クレデンシャルスタッフィング攻撃とは?Credential Stuffing Attack
過去10年間に起こったセキュリティ侵害により、何十億ものユーザー認証情報がネット上に流出したことから、クレデンシャルスタッフィング攻撃は幅広い業種で一般的になっています。
食料品、レストラン、フードデリバリーなどのアカウントは、ポイントプログラムを運営していることが多く、通常決済カード情報が保存されているため、サイバー犯罪グループは昨年からこれらのアカウントの乗っ取りに力を入れているとされています。
FBIは、2020年7月以降に発生した複数の事件の報告を受けたと述べています。
- 2021年2月、米国の食品会社がクレデンシャルスタッフィング攻撃を受け、顧客の電子メールを通じて303のアカウントが被害を受けました。サイバー攻撃社は、侵害したアカウントのうち6つを使用して、米国の会社を通じて購入を行いましたが、米国の会社はそのうちの1つの注文をキャンセルし、不正な注文としてフラグを立てました。この不正な注文により、米国の企業は2000万円=20万ドルの経済的損失を被りました。
- 2020年10月、あるレストランチェーンの顧客からクレデンシャルスタッフィング攻撃の結果、不正にアカウントに請求された注文があるとの報告を受けました。同社は顧客に不正な請求分を払い戻しました。別のレストランチェーンでは、2019年4月にクレデンシャルスタッフィング攻撃を受けました。顧客は、レストランで注文した料理の支払いに自分の支払いカードが使われたとソーシャルメディアに投稿しました。
- 2020年7月、ある食料品配送会社の顧客の個人情報がダークウェブで販売されていました。約28万ものアカウントの情報には、氏名、クレジットカードの一部番号、注文履歴などが含まれていました。同社は、不正な注文に関する顧客からの苦情を受け、クレデンシャルスタッフィングの結果であるとコメントしています。
また、脅威情報企業DarkOwl社の独自レポートでは、レストランやフードデリバリーのアカウントへのアクセスを提供するアンダーグラウンド広告の数が増加していることが指摘されており、この急増は2020年初頭のCOVID-19パンデミックの発生以降に起こったものと思われます。
「Seamless」や「Instacart」などの個人向け食品宅配・買い物サービスへの社会的な依存度が高まっている中、ダークネット犯罪者もこれらのアプリケーションを悪用して継続的な金銭的利益を得ることへの依存度を高めています。
不正行為の可能性としては、これらのサービスのハッキングされたアカウントで商品を購入したり、ベンダーの返金ポリシーを悪用したり、さらには悪意のあるインジェクションや標的となるデータ操作のためにAPIトラフィックを傍受するなど、より高度なテクニックが必要となります。
DarkOwlは、多くのダークネット・マーケットプレイスで提供されているフードデリバリーやパーソナル・ショッピング・サービスのアカウントの普及が増加していることを確認しました。
DarkOwlは、主要なダークネット・マーケットプレイスだけでなく、犯罪者のカーディング・フォーラムや匿名のウェブサイトでの不正なデジタルグッズの取引でも、食品配送サービス・プロバイダーの言及が増加していることを確認し、調査したベンダーの中では、SeamlessとCaviarが、DarkOwl Visionで侵害されたアカウントについて言及している文書の数が最も顕著に増加しているようで、Instacart、Uber Eats、Just Eat、DoorDashに対しても増加しています。
オンラインで注文しなければならないユーザーが増えたため、他人の金で食事をしようとする犯罪者が現れ、フードデリバリーアカウントの需要が高まったのです。
FBIによると、これらの事件やその他の事件では顧客が自分のアカウントで不審な動きをしているとクレームをつけるまで、被害企業が不正アクセスに気づかないことが多いとのことです。
オンラインで食品を注文するプラットフォーム自体に侵入することで、ハッカーがこの種のアカウントにアクセスすることもありますが、FBIによると、ほとんどの事件ではサイバー犯罪者はクレデンシャルスタッフィングなどの基本的な手法で個々のアカウントにアクセスしているとのことです。
現在FBIは企業に対し、この種の攻撃に対するセキュリティ対策を強化するよう求めており、企業に対してクレデンシャルスタッフィング攻撃の指標に注意を払い、多層的な緩和策の導入に取り組むよう求めています。
クレデンシャルスタッフィング攻撃の指標となるもの
- オンライン・アカウント・ポータルを介して、さまざまなIPアドレスから数百万件に上る異常な数のログイン失敗が発生している。
- 通常よりも高いロックアウト率、またはアカウントのロックアウトや不正な変更に関するお客様からの問い合わせが多いこと
推奨される緩和策
- お客様や従業員を教育し、さまざまなアカウントに固有のパスワードを使用し、パスワードを定期的に変更することを推奨する
- 不正なアクセスや変更・異常な活動がないか、積極的にアカウントを監視するよう顧客に推奨すること。
- アカウントの侵害や不正が確認された場合は、ユーザー名とパスワードを変更すること。
- アカウント情報の作成および更新時に2要素または多要素認証を導入する。
- 既存のアカウント情報に変更があった場合は、アカウントの所有者に連絡して確認するという会社のポリシーを確立する。
- トラフィックの異常な増加や認証の失敗を検知する異常検知ツールを使用する。
- 自動化されたスクリプトやボットに対抗するために、CAPTCHAの導入を検討する。このCAPTCHAでは、ユーザが人間であることを証明するアクションを行うことで、自動化されたスクリプトを実行していないことを確認する必要がある。
- デバイスフィンガープリントとIPブラックリストのポリシーを確立する。
- PINコードとパスワードを併用する。PINコードは、サイバー犯罪者が知る必要のある2つ目の情報であるため、不正な個人がアカウントにアクセスする難易度を高めることができます。
- ダークウェブで流出したユーザIDとパスワードのリストを監視し、現在のユーザアカウントがクレデンシャルスタッフィング攻撃を受けやすいかどうかを評価するテストを行う。
注意すべきその他の脅威
ハッキングされたアカウントの所有者は、そのアカウントに金融データが保存されていて保護されていなかった場合、支払いカードの残高を確認したり、何らかの個人情報保護対策を検討したりする必要があることも認識しておく必要があります。
さらに、DarkOwlは昨年ハッキングされたアカウントへのアクセスを販売する以外にも、一部のサイバー犯罪者が返金ポリシー詐欺を行うためのステップバイステップのガイドを販売したり、自由に共有したりして金儲けをしていることを指摘しました。
返金ポリシー詐欺は、最終消費者にとって直接の脅威ではありませんが、食品配送分野の企業はこの種の手法にも注意する必要があります。
先週のFBIのPIN警告は、2020年9月に銀行・金融セクターに警告したことがあったため、FBIが業界の縦割りでクレデンシャルスタッフィング攻撃について警告するのは2度目となります。
Comments