［インターネットの現状］／セキュリティ

Credential Stuffing：

第 5 巻、スペシャル・メディア・エディション

攻撃と経済活動

[インターネットの現状]／セキュリティ Credential Stuffing：攻撃と経済活動第 5 巻、スペシャル・メディア・エディション

2

はじめに2018 年に Akamai が記録した Credential Stuffing 攻撃の数は 300 億件近くに上ります。各攻撃はアカウントへのログイン試行であり、盗んだり生成したりしたユーザー名とパスワードを使用して、人またはコンピューターが行っています。これらの攻撃のほとんどは、ボットネットまたはオールインワン（AIO）アプリケーションで実行されていました。

ボットネットとは、さまざまなコマンドを使用してタスクが実行されるコンピューター群です。アカウント所有者でなくてもアクセスできる脆弱なアカウントを見つけるようにボットネットに指令することもできます。これはアカウント乗っとり（ATO）攻撃と呼ばれています。AIO アプリケーションを使用すればログインプロセスまたは ATO プロセスを自動化できるため、このアプリケーションはアカウントの乗っ取りやデータ取得用の重要なツールとなっています。

では、メディア組織、ゲーム企業、エンターテイメント業界とはどのような関係があるのでしょうか？大きな関係があります。これらの組織は Credential Stuffing 攻撃の最大の標的です。ストリーミングサイト、ゲームアカウント、誰かのソーシャル・メディア・アカウント、いずれに関しても、攻撃の背後には、そのアカウントの価値を知る人がいます。そして、どんなことをしてでもそれらを盗み出したいと思っているのです。

このレポートでは、前述の業種に対して 2018 年に発生した Credential Stuffing 攻撃の概要を説明し、これらの攻撃がもたらすリスクを考察します。また、このような攻撃の手法についてもいくつか検証します。

メディア組織、ゲーム会社、エンター テイメント業界は Credential Stuffing 攻撃の最大の標的です。

[インターネットの現状]／セキュリティ Credential Stuffing：攻撃と経済活動第 5 巻、スペシャル・メディア・エディション

[インターネットの現状]／セキュリティ Credential Stuffing：攻撃と経済活動第 5 巻、スペシャル・メディア・エディション

3

1 日あたりの攻撃数2018 年、Akamai では 1日あたり数億件の Credential Stuffing 攻撃が観察されました。これらの攻撃は、メディアからエンターテイメント、小売、ゲームまで、多様な業界を標的としています。図 1 に示されているとおり、試行数が 2 億 5,000 万を超えた日が

3 日ありました。Credential Stuffing 攻撃は、あらゆるスキルレベルの攻撃者が好んで使う攻撃手法になりつつあります。前回の「インターネットの現状」（SOTI）レポートでは小売業界への影響について検証しましたが、今回はメディアおよびエンターテイメント業界について取り上げます。

攻撃者は大規模な動画配信およびエンターテイメントブランドを標的とします。アカウントにアクセスできることが確認されていれば、そのアクセス権情報を闇市場で販売または取引できるからです。音楽、映画、またはテレビ番組のオンラインストリーミングを経験した方なら、攻撃者が最も欲しがるアカウントについてよくご存じだと思います。また、これらのアカウントに関連した情報にも価値があります。

0M

50M

100M

150M

200M

250M

300MC

red

entia

l Stu

ffing

の試行数

Jan 1 Feb 1 Mar 1 Apr 1 May 1 Jun 1 Jul 1 Aug 1 Sep 1 Oct 1 Nov 1 Dec 1 Jan 1

2018

日付：2018 年 6 月 2 日ログイン試行回数：

252,176,323

日付：2018 年 10 月 24 日ログイン試行回数：

285,983,922

日付：2018 年 10 月 27 日ログイン試行回数：287,168,120

1 日あたりの Credential Stuffing 試行数2018 年 1 月 1 日～12 月 31 日

図 1

2018 年に 観察された 大規模攻撃の 上位 3 件を ハイライト。 そのうち 2 件は 数日以内に発生

[インターネットの現状]／セキュリティ Credential Stuffing：攻撃と経済活動第 5 巻、スペシャル・メディア・エディション

4

Jan 1 Feb 1 Mar 1 Apr 1 May 1 Jun 1 Jul 1 Aug 1 Sep 1 Oct 1 Nov 1 Dec 1 Jan 1

2018

0M

20M

40M

60M

80M

100M

120M

140M

160M

180M

200M

220M

Cre

den

tial A

bus

e の試行数 業種：動画メディア

日付：2018 年 6 月 3 日ログイン試行回数：133,861,006

業種メディア & エンターテイメント動画メディア

業種：動画メディア日付：2018 年 10 月 25 日

ログイン試行回数：175,981,359

業種：動画メディア日付：2018 年 10 月 27 日

ログイン試行回数：196,087,155

1 日あたりの攻撃数：メディア業界2018 年 1 月 1 日～12 月 31 日

図 2

2018 年に発生した 動画メディア業界に対する

Credential Stuffing 攻撃の 上位 3 件では、 試行数が

1 億 3,300 万回から

2 億回近くへ増加

[インターネットの現状]／セキュリティ Credential Stuffing：攻撃と経済活動 第 5 巻、 スペシャル・メディア・エディション

最大の攻撃 動画メディア業界だけを見ると、2018 年に発生した Credential Stuffing 攻撃の上位 3 件では、試行数が 1 億 3,300 万回から 2 億近くへと跳ね上がっています。これは重要です。攻撃の日付がよく知られたデータの漏えい事件と同期しているのです。入手した認証情報を売る前にテストした可能性があります。2019 年 2 月初旬には、6 億

2,000 万のユーザー名、パスワード、その他のレコード（データ漏えいを開示した 16 の組織から取得したもの）がダークネットに売りに出されました。

Credential Stuffingニュースでも報じられましたが、2019 年初めに、ある匿名の個人が E メールアドレスとパスワードのコレクションをリリースしました。このレポートではこれを Credential Stuffing

の「リリース 1-5」と呼びます。

[インターネットの現状]／セキュリティ Credential Stuffing：攻撃と経済活動第 5 巻、スペシャル・メディア・エディション

5

この匿名個人は 5 つのコレクションとして 1 TB 近いボリュームのデータを公開し、そこに含まれる E メールアドレスとパスワードの組み合わせは合計 250 億個を超えていました。重複しているものや使用できないものを除外しても、このレポート執筆時にはまだ数十億の組み合わせがオンラインのさまざまな場所で利用可能な状態でした。

リリース 1–5 は、ユーザー名とパスワードの基本的な組み合わせを集めただけですが、一度にリリースされたものとしては最大のコレクションです。このような莫大なコレクションは例外的ですが、こうしたコレクションは、他のデータ漏えいから得た組み合わせリストと統合する方法で作成されます。これには有名なデータ漏えい事件も含まれています。

Credential Stuffing 攻撃はオンライン企業にとって大きなリスクです。利用できる可能性のある認証情報の組み合わせは 10 億以上もあるので、金銭目的の攻撃者にとって侵入の障壁が著しく低くなっていると言えます。しかも、攻撃者が Credential Stuffing

攻撃に必要なデータを収集する手段はこうしたリストだけではありません。

Akamai のリサーチャーが見つけた YouTube 動画では、ある個人がチュートリアルを通じて人気の高いオンライン・バトルロイヤル・ゲームに対する組み合わせリストの作成方法を手順を追って視聴者に説明していました。

図 3

SNIPR は Credential Stuffing に使用される低コストの AIO で、 20 米ドルで販売されている

[インターネットの現状]／セキュリティ Credential Stuffing：攻撃と経済活動第 5 巻、スペシャル・メディア・エディション

6

このチュートリアルは、「Google ドーキング」の概念を教えることから開始されています。Google ドーキングとは、Google の検索エンジンで指定できる特殊な検索文字を利用し、SQL インジェクションなどに対して脆弱と思われる Web サイトを見つけることです。その後、このチュートリアルでは、そのような Web サイトが見つかったら、一般的な

SQL インジェクションツールを使用して脆弱なドメインを攻撃する方法を視聴者に教えています。ツールで E メールアドレスとパスワードをダウンロードし、必要に応じてパスワードをクラックして、有効な組み合わせリストを作成します。その後、プロキシを経由し「チェッカー」プログラムを使用して、作成したリストの有効性をテストします。

このようなチェッカープログラム、つまりオールインワンアプリケーション（AIO）を使用することで、攻撃者は盗んだ認証情報や生成した認証情報の有効性を確認できます。なかには、ログイン形式や API または必要であればその両方を指定して直接狙うことができる

AIO もあります。

有効であることが確認されたアカウントは、販売、取引、または各種の個人情報の取得に使用されます。状況によって、販売、取引、個人情報取得のすべてが発生することも珍しくはありません。

オンライン上には多数の AIO があります。公然と販売されているものもあれば、密かに販売されたり取引されたりしているものもあります。このような AIO の 1 つに SNIPR というアプリケーションがありますが、これは入門レベルのツールとして、ゲーム、ソーシャルメディア、ストリーミング・メディアを狙う攻撃者によく使用されています。

また、STORM という別の AIO は、使用する詳細な設定を利用できますが、その設定情報を自ら販売したり取引されています。このレポートの執筆時には、最大規模のストリーミングプラットフォームの 1 つに使用できる STORM がダークネットで 52 米ドルで販売されていました。

この売り手は同じストリーミングプラットフォームのギフトカードコードも割引価格で販売しています。額面 30 ドルのカードがわずか 7.80 米ドルです。こうしたコードは生成されることもありますが、たいていは盗まれたクレジットカードで購入されたものです。いずれにしても、犯罪者にとってこのコードから得られた金銭はまるまる利益になります。

さらに、この売り手は Credential Stuffing の組み合わせリストの販売でも着実に利益を上げています。あるリストは、50 億組のランダムな E メールアドレスとパスワードをひとまとめにしたもので、価格は 5.20 米ドルです。同じ価格で、50,000 組の E メールアドレスとパスワードをカスタマイズしたリストも販売されています。カスタマイズされているものは、購入者が形式（「E メール：パスワード」または「ユーザー名：パスワード」）、プロバイダー、ロケーションなどを選択できるようになっています。

YouTube の SNIPR トレーニング動画

このレポートのために事実やデータを調査していた Akamai リサーチャーが偶然、Credential Stuffing および関連する攻撃を扱ったいくつかの YouTube 動画を見つけました。少なくとも 89,000 人が SNIPR という AIO に関するデモンストレーションとチュートリアルの動画を視聴していたことを確認できました。

いくつかの SNIPR バージョンを含めて数十の動画があり、アプリケーションの使い方や、リソースへの投資から最大の利益を得る方法が詳しく示されています。SNIPR は入門レベルのツールであるため、ツールのユーザーはこうしたチュートリアルを求めることが多く、開発者や他のユーザーがチュートリアルを作成しています。

[インターネットの現状]／セキュリティ Credential Stuffing：攻撃と経済活動第 5 巻、スペシャル・メディア・エディション

7

急成長する経済圏メディアおよびエンターテイメント業界から盗まれたアカウントの市場は活気に沸いています。

メディア、ゲーム、エンターテイメント業界は、盗まれた情報やアクセス権を取引しようとする販売者にとって恰好の標的です。こうしたアカウントはまとめて販売されます。犯罪者の目的は単一アカウントの販売ではなく、商品を大量に動かすことなのです。

Credential Stuffing の被害にあった多数のアカウントが 3.25 米ドル程度で販売されます。これらのアカウントには保証が付いていて、販売後に認証情報が無効であった場合は、無料で別の認証情報と交換してもらえます。これはリピート購入を促すためのサービスです。このようなサービスを付けるのは、ブランド側が被害アカウントをすぐに検知し、無効にするケースが増えているためです。

では、Credential Stuffing 攻撃後、盗まれたアカウントはどのような方法で犯罪市場で販売されるのでしょうか。簡単に言えば、パスワードの使い回しが原因です。

Credential Stuffing 試行は、本格的なアカウントの乗っ取りや侵入の前に行われる可能性があります。一般的に同じパスワードを複数の Web サイトで使い回す傾向があり、また、使用しているパスワードや生成した認証情報は簡単に類推できます。

図 4

上位の攻撃発信国： 引き続き

Credential Stuffing

攻撃発信国の トップは米国

発信国 ATO HEUR. ログイン数

米国 4,016,181,582

ロシア 2,509,810,095

カナダ 1,498,554,065

ベトナム 626,028,826

インド 625,476,485

ブラジル 585,805,408

マレーシア 369,345,043

インドネシア 367,090,420

ドイツ 354,489,922

中国 308,827,351

上位の攻撃発信国

[インターネットの現状]／セキュリティ Credential Stuffing：攻撃と経済活動第 5 巻、スペシャル・メディア・エディション

8

したがって、1 つの Web サイトでデータ漏えいが発生したり、ユーザー名とパスワードの既知の組み合わせが多数公開されたりする（リリース 1-5 など）と、1 人の人間のデジタルライフ全体が危険にさらされる可能性があります。こうなると、その人に関連したあらゆる情報がパッケージにまとめられて販売されることもあります。

予想どおり、Credential Stuffing 攻撃の発信国のトップは米国です。これは、一般的な Credential Stuffing ツールのほとんどが米国で開発されているためと考えられます。ロシアが僅差で 2 位、カナダが 3 位となっています。米国は攻撃先でも 1 位ですが、これは、最も狙われやすい標的の多くが米国を拠点としているからだと思われます。

攻撃先の 2 位はインド、カナダが僅差で 3 位ですが、この 2 国の攻撃ボリュームは米国とは大きな隔たりがあります。

図 5

国別の上位攻撃先： 引き続き

Credential Stuffing の 攻撃先の トップは米国

攻撃先国 ATO HEUR. ログイン数

米国 12,522,943,520

インド 1,208,749,669

カナダ 1,025,445,535

ドイツ 760,722,969

オーストラリア 104,655,154

韓国 37,112,529

中国 26,173,541

ジブラルタル 6,559,360

オランダ 4,991,790

日本 3,424,334

イタリア 2,601,632

フランス 1,864,733

香港 1,305,262

上位の攻撃先

攻撃先国の 第 1 位は 米国です。」「

[インターネットの現状]／セキュリティ Credential Stuffing：攻撃と経済活動第 5 巻、スペシャル・メディア・エディション

9

今後の展望Credential Stuffing 攻撃は企業に広範な影響を及ぼします。今年初めに匿名でリリースされたような組み合わせリストは氷山の一角にすぎません。Credential Stuffing

攻撃が成功すると、ブランドの落ち度でなくとも、ブランドの評判が傷つき、また、事故対応、人件費、危機報道、その他の関連費用がかかるため、運用コストが増大します。

2019 年 2 月、名の知れたオンライン税務サービスが一部の顧客に情報漏えいを通知しました。この通知には、攻撃が Credential Stuffing であり、どのように行われたかが明確に説明されていました。影響を受けたアカウントはいずれも、他の場所でのデータ漏えいで発覚したパスワードを使用していたとのことです。この税務サービスはさらなるアクセスを防ぐためにパスワードをリセットして顧客に警告しました。この税務サービスプロバイダーの落ち度でないことは明らかでしたが、顧客はそうは思いません。このニュースに対する市民の反応は決して肯定的とは言えないものでした。

このような状況を防ぐ方法として、Credential Stuffing 攻撃の検知と阻止を支援できる強力なソリューションプロバイダーを利用するという選択肢があります。しかし、Credential

stuffing の脅威への対応は単純にはいきません。攻撃者は事業者が簡単にできる設定や基本的な緩和策を回避するように攻撃を調整するので、防御ソリューションがその企業に合わせてカスタマイズされているかどうかを確認する必要があります。

また、単一のベンダーや単一の製品セットでは対応できない問題もあります。Credential

Stuffing 攻撃、フィッシング、およびアカウント情報を危険にさらすその他のリスクについてユーザーを教育することも必要です。パスワードを使い回さないことやパスワードマネージャーを使用するよう顧客に勧告し、多要素認証の価値を強調する必要があります。ATO と AIO のスクリプトについてのディスカッションで、攻撃者はよく多要素認証の利用について愚痴をこぼしています。つまり、多要素認証はほとんどの攻撃を阻止できる効果的な対策です。

金融業界とゲーム業界の組織には、このようなソリューションの継続的な強化と啓蒙プログラムが有効でした。

Credential Stuffing 攻撃が 成功すると、たとえ ブランドに落ち度がなくても、 ブランドの評判は 大きく傷つきます…」

「

[インターネットの現状]／セキュリティ Credential Stuffing：攻撃と経済活動第 5 巻、スペシャル・メディア・エディション

10

分析手法についてこのレポートでは、Credential Stuffing の試行を、ユーザー名として E メールアドレスを使用するアカウントへのログイン試行のうち成功しなかったものと定義しています。実際のユーザーではタイピングできないような Credential Abuse の試行を識別するには、2 つのアルゴリズムが使用されます。最初のアルゴリズムは、特定のアドレスに対するログインエラーの数をカウントする単純なボリュームを基にしたルールです。Akamai では、数百の組織のデータを相関分析にかけているため、単独の組織のみで検出が可能な内容とは別物です。

2 つ目のアルゴリズムでは、Akamai のボット検知サービスから提供されるデータを応用して、既知のボットネットとツールから Credential Stuffing を識別します。綿密に設定されているボットネットは、多くの標的へのトラフィックの拡散、多数のシステムを使用したスキャン、時間をかけたトラフィックの拡散などの方法で、ボリュームに基づいた検知を回避できます。

Credential Stuffing ボットネットのツールと手法についての調査は、多様なウェブ検索や人知により、手作業で行いました。

[インターネットの現状]／セキュリティ Credential Stuffing：攻撃と経済活動第 5 巻、スペシャル・メディア・エディション

11

クレジット インターネットの現状／セキュリティの編集協力Shane Keats、Director of Global Industry Marketing、Media and Entertainment — YouTube の調査Steve Ragan、Researcher、Sr. Technical Writer — ダークネット市場の調査Martin McKeay、Editorial Director — Credential Stuffing 攻撃のデータと分析

編集スタッフMartin McKeay、Editorial Director

Amanda Fakhreddine、Sr. Technical Writer、Managing Editor

Steve Ragan、Sr. Technical Writer、Editor

プログラム管理Georgina Morales Hampe、Project Manager — 制作Murali Venukumar、Program Manager — マーケティング

Akamai は世界中の企業に安全で快適なデジタル体験を提供しています。Akamai のインテリジェントなエッジプラットフォームは、企業のデータセンターからクラウドプロバイダーのデータセンターまで広範に網羅し、企業とそのビジネスを高速、スマート、そしてセキュアなものにします。マルチクラウドアーキテクチャの力を拡大させる、俊敏性に優れたソリューションを活用して競争優位を確立するため、世界中のトップブランドが Akamai を利用しています。Akamai は、意思決定、アプリケーション、体験を、ユーザーの最も近くで提供すると同時に、攻撃や脅威は遠ざけます。また、エッジセキュリティ、ウェブ／モバイルパフォーマンス、エンタープライズアクセス、ビデオデリバリーによって構成される Akamai のソリューションポートフォリオは、比類のないカスタマーサービスと分析、365 日/24 時間体制のモニタリングによって支えられています。世界中のトップブランドが Akamai を信頼する理由について、www.akamai.com、blogs.akamai.com および Twitter の @Akamai_jp でご紹介しています。全事業所の連絡先情報は、 www.akamai.com/jp/ja/locations.jsp をご覧ください。公開日：2019 年 4 月。