パスワードスプレー攻撃とは?:増加の理由と検知・対策
パスワードスプレー攻撃とは、攻撃者が被害者のアカウントにアクセスするために、ユーザーが使用する可能性の高いパスワードを試すことです。ここ数年、サイバーセキュリティで最もホットなトピックの1つとなっています。大々的に報じられた侵害事件が複数件起こり、セキュリティベンダー、メディア、セキュリティコミュニティ全体から大きな注目を集めています。この記事では、パスワードスプレー攻撃が増加している理由と、検知・対策のために組織が実行できる手順について説明します。
パスワードスプレー攻撃とは?
簡単に言うと、パスワードスプレー攻撃とは、攻撃者が被害者のアカウントにアクセスするために、ユーザーが使用する可能性の高いパスワードやIDを試し、攻撃をするサイバー攻撃の一種です。パスワードスプレー攻撃により、不正ログインされてしまうと、ユーザーのメールアドレス帳や今までのメールデータなどの情報を盗まれてしまう可能性があります。また、パスワードスプレー攻撃は、パスワードリスト攻撃(クレデンシャルスタッフィング)とよく混同されます。パスワードリスト攻撃は、以前に侵害された資格情報を他サービスの同様のアカウントで使用するサイバー攻撃のことで、パスワードスプレー攻撃とは異なります。
パスワードスプレー攻撃が増加している理由
パスワードスプレー攻撃が業界にとって大きな問題になりつつある背景には、多くの要因があります。
より多くのユーザーが多くのアプリケーションを利用している
ますます多くのビジネスアプリケーションや消費者向けサービスが、クラウドに移行し、またオンラインのプレゼンスを強化しています。消費者向けサービスの場合には、ソーシャルネットワーキングからロイヤルティプログラム、食品の宅配まで多岐にわたっています。これらのサービスの多くは、ユーザーにそれぞれ独自のアイデンティティを使用します。その結果、消費者が管理するユーザーアカウントの数が劇的に増加しました。ユーザーアカウントが増加したことにより、パスワードスプレー攻撃の件数も増加しました。
侵害された資格情報がより広く利用可能になっている
「Have I Been Pwned」サイトによると、本記事の執筆時点で7,808,519,176件の資格情報が侵害され公開されています。これらの侵害されたアカウントはどこから来たものでしょうか。これほど多くのアカウントがどのように侵害されたのでしょうか。パスワードスプレー攻撃の状況の深刻さを理解する上で、GDPRが公表した2019年の新しいデータが役立ちます。
わずか9か月間(2018年5月~2019年2月)に、欧州データ保護委員会には206,326件の侵害が報告されました。同委員会の報告によると、その内の最大65,000件は「データ管理者によるデータ侵害報告を基に実行された侵害」です。意外にも、これらの侵害がより多くのアカウントの侵害につながり、それがさらに多くの侵害につながるという悪循環が起こっているのです。
侵害アカウントを簡単に収益化できるようになった
10年前の金銭目的のサイバー攻撃は、財務データをターゲットにしていました。しかしその後、組織犯罪は新たなカテゴリーのサービスへのアクセスを収益化する新しい方法を見つけました。
犯罪者はさらに、ダークウェブでの個人データの販売に加えて、盗まれたデータを新しく斬新な方法で収益化し始めています。もはや、知的財産はフォーラムで取引・販売されるのではなく、身代金と脅迫の手口を通じて直接収益化されるようになり、支払いには追跡不能な暗号通貨が使用されています。当然のことながら、その結果として企業と消費者のアカウントの価値も近年高まっています。
パスワードの再利用がラテラルムーブメントにつながる
考慮すべきもう1つの要素は、ラテラルムーブメントです。ラテラルムーブメントとは、企業などのネットワークに侵入したマルウェアが、機密リソースにアクセスし、システムの侵害や価値の高いクレデンシャルの窃盗を行うサイバー攻撃の手法です。クラウドサービスのパスワードスプレー攻撃は、必ずしも従来の意味でのネットワークのラテラルムーブメントにつながるものではありません。しかし、パスワードを再利用する慣行が広く行われているため、あるサービスの資格情報の侵害が、往々にして他のクラウドサービスの侵害につながっています。
また、シングルサインオン(SSO)ツールが使用されている場合、パスワードスプレー攻撃の被害に遭うことにより、そのユーザーの下流サービスへのアクセスが可能になります。さらに、侵害されたアカウントが既存アカウントに対して新しい権限を変更または作成する機能を持っている場合、パスワードスプレー攻撃によってクラウドサービス内で水平方向の権限エスカレーションが可能になることがあります。
パスワードスプレー攻撃対策の脅威モデル
パスワードスプレー攻撃を状況に応じた攻撃手法として考える上では、MITRE ATT&CKフレームワークを参考にするとよいでしょう。MITRE ATT&CKは、侵入や違反のさまざまな段階攻撃者がどのような手法を使用するのかを示すものです。パスワードスプレー攻撃はマトリクスに明記されていませんが、最終的な目的はユーザーアカウントへのアクセスであり、これはリストに含まれています(T1078の「Valid Accounts(正当なアカウント)」)。
「正当なアカウント」の手法を確認すると、興味深いことがわかります。MITREでは、正当なアカウントが初期アクセス、永続性、特権エスカレーション、防御回避の4つに関連付けられています。つまり、マトリックスで非常に一般的な手法の1つとなっているのです。
また、状況に応じて探索、ラテラルムーブメント、収集の各ステージにも適用できます。正当なアカウントを使用して、さまざまなサービスやデータリポジトリにアクセスし、内部ドキュメントを表示できます。また、侵害されたアカウントを使用して他のサービスにアクセスすることもできます。このように、MITRE ATT&CKマトリックスの11列のうち7列が、正当なアカウントに対するパスワードスプレー攻撃の対象となっています。
ほとんどの企業は、ファイアウォール、アンチウイルス、エンドポイント検知/レスポンスツール、資産管理とパッチ適用、システム強化などのセキュリティソリューションに多額の投資を行っています。攻撃者は、正当なユーザーアカウントにパスワードスプレー攻撃を実行することで、これらすべてを迂回できます。これが、パスワードスプレー攻撃の使用が拡大し、効果を上げている理由です。さらに、MITRE ATT&CKフレームワークによると、攻撃者は正当なアカウントを使用して、侵入中にほとんどすべての必要なアクションを達成できます。
したがって、パスワードスプレー攻撃を軽視すると大きなリスクを負うことになります。
パスワードスプレー攻撃の検知
では、パスワードスプレー攻撃はどのように検知できるのでしょうか。まず、パスワードスプレー攻撃に「特効薬」のような解決策がないことを認識しなければなりません。パスワードスプレー攻撃を検知するには、リソースとエンジニアリングが必要です。具体的には、認証とアクセスのログを外部システムにエクスポートしてインデックス化し、脅威と侵入の検知に利用する必要があります。続いて、パスワードスプレー攻撃またはスタッフィング攻撃に関連するパターンについて、これらのログを継続的に確認する必要があります。
これらのパターンは、各社のログ監視テクノロジー用に運用できます。ここでは、いくつかのパターンについて説明します。これらはIOC(Indicators of Compromise:侵害指標)とも呼ばれます。以下にIOCのいくつかの例を挙げます。
- 不明/無効なユーザーを使用するログイン試行
攻撃者がパスワードスプレー攻撃を実行するときには、古いユーザーリストを使用したり、さまざまな場所から寄せ集めたメールを使用したりすることがあります。また、<ファーストネーム>.<ラストネーム>のような既知の命名スキーマに基づいてユーザー名を推測することもあります。存在しないユーザーにログインしようとしているリモートホストが存在しないか、監視する必要があります。
- 大量のアカウントロックアウト
パスワードスプレー攻撃で試行されるパスワードの数が、サービスで設定されたロックアウトしきい値を超えると、ロックアウトイベントがトリガーされます。これらは想定範囲のイベントですが、大量/短期間に発生する場合には不審なイベントと見なす必要があります。
- ログイン失敗率が高いリモートホスト
リモートホストのログイン失敗率が高い理由は多くあります。しかし、特に他のいくつかのパターン(本セクションで説明するものなど)との組み合わせで発生する場合には、攻撃の可能性を示すものとなります。
- ログイン失敗の急増
自動攻撃を検知する上で有効なもう1つの指標は、頻度と速度です。ロックアウトやログイン失敗などのイベントの急増は、自動攻撃の可能性を示唆するため、監視する必要があります。
- 特定のURIに対するターゲティング
もう1つの役立つ指標は、特定のAPIエンドポイントまたはサービスに対するターゲティングです。正規のユーザーは、クリックの範囲が広く、多様なページやサービスをヒットする傾向があります。ボットや自動化ツールは、しばしば同じHTTPユーザーエージェントを使用して、同じURIを繰り返しヒットします。
- 認証速度のチェック
ログを確認して、一定間隔で発生するログイン試行回数を調べます。たとえば、15分間にユーザーの90%以上でログインが1回ずつ失敗する場合は不審です。人間のユーザー1名によるログインが数秒間で何度も失敗する場合も不審です。攻撃者は、速度をさまざまに変化させて試すことがあります。また、分散インフラストラクチャを利用してサービスロックアウトポリシーを把握し、回避することもあります。
パスワードスプレー攻撃 検知モデルの構築
これらの指標は検知を開始する上で足掛かりになりますが、各社の環境やリスク許容度に応じた適切な形でログデータに適用する必要があります。その過程で、セキュリティ運用チームの活動に役立ち、なおかつ大きな負担とならないように、指標とノイズの比率を適切に維持する必要があります。プログラムの成熟に合わせて、IOCを増やしていくとともに、継続的に機能を拡張してアラートの品質を向上できます。
組織の規模によっては、アラートに使用するしきい値を見極める必要もあります。たとえば、100人のユーザーを抱える組織の場合、ログイン失敗が50回発生するとかなり疑わしいと考えられます。しかし、ユーザーが1万人であれば問題にすらなりません。システム内のユーザー数、1秒あたりのイベント数、1日または1時間あたりの平均ログイン数を考慮してください。これにより侵害指標(IOC)を改善できます。
他の誰よりも組織を理解し、組織が直面する脅威を把握しているのは皆様です。実際の行動につなげやすくするため、検知対象を微調整して、ユーザーのサブセット(高い特権を持つユーザー、VIPなど)や重要アプリケーション(人事/給与システムなど)に適用できます。または、これらのユーザー/アプリケーション専用のアラートも作成できます。
ライフサイクル管理の自動化がもたらすこと
攻撃者は、最も安価かつ迅速に目標を達成できる道を選びます。パスワードスプレー攻撃は、まさにこの傾向に合致した手法です。攻撃者にとっては、大規模な攻撃を簡単に実行でき、なおかつ効果的です。しかも、成功すれば、従来のセキュリティ制御を回避しながら、貴重な資産にアクセスできます。
最後に、パスワードスプレー攻撃は、専門性の高い攻撃者でなくとも実行しやすいものとなっている点に留意する必要があります。これは、近年多くのオープンソースツールが利用可能になったためです。つまり、参入障壁が低くなっているのです。認証要素としてパスワードのみに依存する状況が続く限り、パスワードスプレー攻撃はビジネスアカウントを迅速かつ確実に侵害する手段として今後も広く使用されるでしょう。IoTデバイスの普及によって攻撃対象領域が急速に拡大していることも、事態をさらに悪化させています。
つまり、今日の組織はパスワードスプレー攻撃の脅威を真剣に受け止め、あらゆる場所にMFAを適用し、環境に応じて適切にIOCに対処する必要があります。
——————
本記事の執筆では、OktaセキュリティエンジニアのCameron Eroに協力してもらいました。パスワードスプレー攻撃をはじめとするアカウント乗っ取りを防ぐ方法については、アカウント乗っ取りの防止方法の投稿をご覧ください。