Webセキュリティ 2020.10.26

あなたの会社のログイン成功率は何％？　ログイン成功率から読み解く、リスト型攻撃の脅威

人間の動作を模倣するボットアクセスとは

昨今、リスト型攻撃（クレデンシャルスタッフィング攻撃）と呼ばれる、攻撃が頻発しており、また高度化しています。
リスト型攻撃とは、悪意を持つ第三者が、何らかの手法によりあらかじめ入手し、リスト化したID・パスワードを利用して、Webサイトにアクセスを試み、結果として利用者のアカウントに対して不正にログインを実施する攻撃です。
高度なリスト型攻撃は、攻撃者によるトラフィックと正常なトラフィックが酷似しており、観測することが非常に難しいです。そのため多くの場合、リスト型攻撃を受けていることに気づくことができず、リスト型攻撃を受けていることを課題として認識できていないことがあります。

無題.png

WebサービスやAPIに対する人間の動作を模倣したボットによる攻撃は、システムが提供しているサービスや機能を悪用し、攻撃を実施します。つまり、アプリケーションのセキュリティの観点から、パッチやファイアウォール、WAFなどを適用し対策している場合でも、攻撃に成功してしまう恐れがあります。
上記に加え、攻撃者側も以下の観点で高度化が進んでおり、ボットによる攻撃が観測しにくくなっています。

・機械学習を使用することで、マウスの動きやキーストロークなど、人の行動をより高い精度で模倣

・デジタルフィンガープリントを生成/収集してボットネット全体に配布、各ボットの端末情報をより「リアル」に見せる

・送信元IPを偽装し、正常な通信元からトラフィックであるように見せる

・PuppeteerやヘッドレスChromeなどの自動化ツールの悪用

高度なリスト型攻撃などの人間の動作を模倣する攻撃には、共通点が1つあります。
それは、何百万ものリクエストを送信し、ほんの一部の割合が成功することで、アカウントの乗っ取りや、有効なクレジットカード、ポイント残高のあるアカウント番号が得られることを期待している点です。
この成功/失敗の比率は、お客様が現在保有しているデータで確認することが可能です。また、Shape Securityの調査によると、同業種の企業では、同じようなログイン成功率を持っているということが分かっています。

ログイン成功率を確認することで、傾向を確認することも可能ですので、リスト型攻撃を受けているかわからない場合においても、ぜひログイン成功率を一度ご確認ください。

自社のログイン成功率から読み取れること

サービスにおけるログイン成功率はどれくらいでしょうか？
ログイン成功率の平均値は、リスト型攻撃を受けている期間中に劇的に低下します。
リスト型攻撃では、漏洩した数百万のユーザ名とパスワード情報のリストが使用されます。これらの資格情報の大部分はすでに古い情報や、使いまわしされていない可能性もあり、有効ではないことがあります。
Shape Securityの調査によると、リスト型攻撃の成功率はおおよそ0.2〜2％程度であると考えられています。しかしながら、攻撃者は、攻撃の実行自体が安価にできる限り、それほど高い成功率を必要としていません。結果として、リスト型攻撃などの攻撃によるログイン失敗回数の増加により、サイトのログイン成功率は平均値が大幅に下がります。Shape Securityを導入する以前のお客様の環境をShape Securityが調査したところ、ログイン成功率が5％未満だったことがありました。このような低すぎる成功率は異常であり、すぐに確認する必要があります。

以下は、3つの主要な業界にわたる米国での1ヵ月のトラフィックの平均ログイン成功率です。*1

金融機関：　79％

旅行業：　73％

小売業：　62％

顧客がより頻繁にログインをする傾向があるサイトの場合は、上記の平均値よりもログイン成功率が高くなる傾向があります。頻繁にログインするサイトであれば、ユーザは設定しているパスワードを覚えている可能性が高く、また、デバイスやWebブラウザに資格情報を保存している可能性があるからです。金融機関の場合は、ユーザのログインを15分間ほどしか維持しないため、ユーザのログインを長期間維持する小売業やソーシャルメディアサイトよりもログインに成功する回数が多く、結果として、金融機関のログイン成功率は小売業よりも高くなる傾向があります。

また、多くの場合、ユーザは限られた銀行口座しか契約しておらず、頻繁に変更することもありません。その結果、ログイン資格情報を覚えている可能性が高まります。一方で、小売関連のサイトであれば、ユーザは定期的に複数のECサイトで買い物をし、また各ECサイトのアカウントも簡単に作成することができます。そういった要素も影響し、小売業のサイトのログイン成功率が低くなり、数か月または数年で初めてアクセスする可能性のあるユーザの割合が高くなっています。頻繁にログインしていないサービスの場合、みなさまにも経験があるように、パスワードを忘れてしまうことが多々あるかと思います。

通常時のサイトへのログイン成功率は60〜85％であると見込み、それより高いまたは低い場合はリスト型攻撃などを疑う必要があります。

どのような業界であるかに関係なく、60〜85％のログイン成功率が目安となります。
それより高いまたは低い成功率である場合は、攻撃による影響であることを疑うべきかもしれません。トラフィックの急増は一時的にログイン成功率に影響を与える可能性がありますが、その原因がプロモーションやバイラルマーケティングなどのイベントによるものであると説明できれば問題はありません。
イベントきっかけ以外でトラフィックにスパイクがある場合は、悪性ボットなどによるリスト型攻撃である可能性があるため、詳細を調べる必要があります。

ログイン成功率.png 　　　　　　　　　　　　　　　　

　　　　　＜リスト型攻撃を経験したお客様のグラフ＞*1

高すぎる成功率の注意点とは

金融機関などの一部の業界では、アグリゲータのターゲットにされています。
アグリゲータとは、ユーザから受け取ったIDとパスワード情報を使用し、ユーザに代わってユーザの情報(銀⾏⼝座など)を複数サービスから収集、分析し、有益な情報を返すサービスのことです。
家計簿アプリサービスなどが該当しますが、有名なサービスとしては、MintやVisaカードに買収されたPlaidなどがあります。

アグリゲータは正当な資格情報を使用し、1日に複数回ログインするため、ログインの成功率が不自然に高くなる可能性があります。複数のユーザで同じIPアドレスが使用されている場合、とりわけIPアドレスがクラウドやホスティングプロバイダーからのものである場合は、アグリゲータの通信である可能性があります。確実な検出方法ではありませんが、実際のログイン成功率をよりよく理解するための足掛かりになります。
80%後半や90%代の異様に高いログイン成功率が見られる場合は、リスト型攻撃の脅威は低くても、このようなアグリゲータのトラフィックが多いことを示唆しています。
アグリゲータを脅威と見なすかどうかは、ビジネスごとに異なるかと思いますが、一度調べてみるといいかもしれません。

自社のログイン成功率が気になった場合は、他のセキュリティ脅威と同様、対策の検討を始める前に、まずは現状のトラフィック状況を可視化する必要があります。
マクニカネットワークスでは、Shape Securityの無償PoCと通して、人間に模倣しているボットによるアクセスがどの程度あるのかを可視化することができるますので、気になる方はお問い合わせいただければと思います。

悪性ボットについてより詳しく知りたい方は、下記のホワイトペーパーをぜひダウンロードください。