クレデンシャルハーベスティングの定義

クレデンシャルハーベスティングとは、サイバー犯罪者がユーザーID、Eメールアドレス、パスワード、その他のログイン情報などのユーザー認証情報を一度に収集するサイバー攻撃手法です。攻撃後、ハッカーは認証情報を使用してシステムにアクセスし、データやその他の機密情報を収集し、ダークウェブで販売または共有したり、より巧妙な攻撃を実行したりできます。

クレデンシャルハーベスティングの仕組み

通常、認証情報の収集（ハッカーがログイン情報を収集するメカニズム）は、ウェブサイトやアプリケーションに悪意のある拡張機能としてインストールされます。準備が整うと、収集者はユーザーがログインプロセス中に入力したすべての情報を記録します。

認証情報の収集者は、すべてのログイン情報を無差別に記録するため、サイバー犯罪者はユーザー名とパスワードを大量にため込むことができます。これは、組織と個人の両方にとって大きな脅威になります。通常、人々は多くの異なるアカウントでパスワードを再利用し、何年間も使い続ける場合もあります。

サイバー犯罪者は、過去に使用した1つ以上の侵害されたパスワードにアクセスできる場合、その認証情報を優れた出発点として利用して他のサイトやシステムのログイン情報を推測することができます。サイバー犯罪者の最終的な目標は、機密情報（銀行口座や医療記録など）や、標的の仕事の一部として使用されている企業ネットワーク、データベース、システム、またはプログラムにアクセスすることです。

クレデンシャルハーベスティング攻撃で使用される一般的な手法

通常、クレデンシャルハーベスティングは別のサイバー攻撃手法と組み合わせて実行されます。最も一般的な攻撃方法には、次のようなものがあります。

• マルウェア：マルウェアは、クレデンシャルハーベスティング攻撃で利用される最も一般的な方法の1つです。これらの攻撃では、サイバー犯罪者は多くの場合、感染した添付ファイルを含む大量のEメールを送信します。これらの添付ファイルがダウンロードされると、無防備なユーザーのマシンにマルウェアが展開され、ログイン認証情報を自動的にキャプチャして記録します。
• フィッシング：フィッシング攻撃は多くの場合、人気のあるブランドに対する信頼を悪用して、被害者をだまして認証情報を放棄させます。大規模なクレデンシャルハーベスティング攻撃では、サイバー犯罪者は通常、大量のEメールを送信し、受信者を悪意のあるWebサイトにアクセスさせ、そこで認証情報を入力させます。マルウェア攻撃と同様に、認証情報の収集者は、この情報をキャプチャして保存します。
• ドメインスプーフィング：ドメインスプーフィングは、攻撃者が偽のWebサイトやEメールドメインを使用して既知の企業や個人になりすまし、人々をだまして信頼させるフィッシングの一種です。このドメインは一見、正式なドメインに見えますが、よく見ると「W」が実際には2つの「V」だったり、小文字の「L」が実際には大文字の「I」だったりします（意図的にスペルを間違えて、誤ったWebトラフィックを利用する悪意のあるWebサイトに登録させる行為は、タイポスクワッティングとも呼ばれています）。スプーフィングサイトにインストールされた認証情報の収集者は、騙されてサイトやアプリを利用したユーザーが共有した情報を保存します。
• 中間者 (MitM) 攻撃：中間者攻撃は、相互に通信していると信じる二者間の通信を、脅威アクターが傍受して中継できる場合に発生します。MitM攻撃により、攻撃者は二者間で利用されている認証情報やその他の機密情報を盗み出し、すべての通信を盗聴し、より多くの情報を取得することができます。

クレデンシャルハーベスティングのリスク

ユーザーの本物の認証情報を取得することは、ハッカーにとって非常に価値があります。取得することで、これらのアクターはアカウント所有者になりすまし、従業員、請負業者、サービスアカウント、またはサードパーティサプライヤなど、正当なアクセス権を持つユーザーに見せかけることができます。攻撃者は正当なユーザーのように見えるため、従来のセキュリティ防御ではこの種の攻撃の検知が難しくなります。

また、非常に多くのユーザーが多くのアカウントで認証情報を共有しているため、ハッカーは1つのアプリケーションやアカウントから盗み出したEメールアドレスとパスワードを使用して、機密性の高いシステム、データベース、またはプログラムにアクセスできる可能性があります。

本物のシステム認証情報にアクセスできることで、巧妙な脅威アクターは組織内に足場を作ることができます。内部に侵入すると、これらのアクターはラテラルムーブメントしたり、権限を昇格させたりすることができます。また、データやその他の機密情報をダウンロード、暗号化、変更することもできます。

最後に、ハッカーが正規の認証情報にアクセスすると、より大規模で高度な攻撃の基礎を作ったり、バックドアを設定したりして、最初の侵入エントリポイントが検出されたり期限切れになったりしても、アクセスし続けることができます。

クレデンシャルハーベスティングが広がっている理由

コネクテッドワークプレースでは、従業員は多くの場合、数多くのオンラインアカウントに依存しています。すべてのアカウントのログイン認証情報を追跡することは困難です。このため、ユーザーがサイバーセキュリティに力を入れなくなることになり、サイバー攻撃に対して自分や組織の脆弱性を高めることになります。

多くの組織がシングルサインオン (SSO) テクノロジーを利用してリモート勤務を可能にし、操作性における障壁を軽減するようになったことで、攻撃者は、保存されたパスワードやユーザー認証情報の固有の脆弱性を認識するようになりました。

攻撃者が正規ユーザーを装うアイデンティティベースの攻撃は、特に検知することが困難です。この理由は、従来のほとんどのサイバーセキュリティソリューションでは、攻撃者がなりすましたユーザーと本物のユーザーを区別できないためです。

認証情報ベースの攻撃を防ぐことが重要なのは、多くの場合、この攻撃は、データ侵害、アイデンティティの窃取、マルウェア攻撃やランサムウェア攻撃などのより深刻なセキュリティ問題につながる入口として機能するためです。

クレデンシャルハーベスティング攻撃を防ぐ方法

認証情報ベースの攻撃は個人を標的とするため、これらの手法に対する最善の防御策は、これらに対する知識を持ち積極的に対応する従業員です。組織は、認証情報攻撃の明らかな兆候、自分自身を保護する方法、および認証情報攻撃に遭遇した疑いがある場合の対処方法について、従業員を教育する必要があります。

認証情報攻撃に耐えるために個人が実行できるステップ

1. 強力かつ一意なパスワードを使用する。

強力なパスワードは、攻撃者による解読を困難にします。一意のパスワードは、パスワードが漏洩した場合の損害を限定します。従業員はパスワードを定期的に変更し、古いパスワードを再利用しないようにする必要があります。パスワードを書き留めたり、ファイルに保存したりするのではなく、評判の良いサービスプロバイダーのパスワード保存ツールを使用し、複雑なパスワードで侵害から保護することを検討する必要があります。

2. 不明なユーザーからの添付ファイルを開いたり、疑わしいソースからのリンクをクリックしたりしない。

サイバー犯罪者は、緊急性や恐怖を利用して、添付ファイルを開いたり、リンクをクリックしたりするように要求することがよくあります。見慣れないメッセージや不審なメッセージを受け取ったら、注意深く落ち着いて読んでからアクションを起こしてください。メッセージ内のリンクやファイルをクリックするのではなく、新しいブラウザを開いてアカウントに手動でログインし、公式チャネルを介して同じメッセージを受信したかどうかを確認します。

3. 最新のブラウザとソフトウェアを使用する。

使用しているシステムやブラウザに関係なく、常に最新バージョンを使用していることを確認してください。システムの更新を促すシステムメッセージとアラートに注意してください。アップデートによって既知のセキュリティ問題にパッチが適用されることがメッセージに示されている場合は、特に注意が必要です。

4. スパムには絶対に返信しない。

フィッシングEメールに返信すると、サイバー犯罪者はあなたのアドレスが有効であると知ることができます。そうすると、あなたのアドレスを優先リストの一番上に置いて、すぐにまた標的にするでしょう。

5. 公共のWi-Fi接続や安全でないネットワークは避ける。

パブリックネットワークは、サイバー犯罪者がMitM攻撃やその他のサイバー攻撃によく使用します。これらのネットワークを使用すると、ハッカーがすべての通信を傍受し、ログイン認証情報など、セッション中に中継された情報を盗み出す可能性があります。

セキュリティ防御を強化するために組織が実行できるステップ

企業は、クレデンシャルハーベスティングやその他のサイバー攻撃から企業、顧客、アセットを確実に保護するために、企業レベルでも対策を講じる必要があります。

1. 定期的かつ強力なセキュリティ意識向上トレーニングを実施する。

知識は力です。認証情報攻撃とそれに関連するソーシャルエンジニアリング、フィッシング、マルウェアの手口を識別できるようにユーザーをトレーニングすることで、組織は従業員をIT環境の重要な防御層とすることができます。サイバーセキュリティトレーニングプログラムの開発と実装の詳細については、こちらの関連記事をお読みください。

2. 多要素認証 (MFA) を有効化して必須にする。

多要素認証では、ユーザーが要求しているアクセス権を付与する前に、アイデンティティを検証および認証するために2つ以上の証拠を提示する必要があります。多要素認証技術は、攻撃者が単一のパスワードで複数のアプリケーションやシステムを侵害することを防ぎ、攻撃者に対する侵入障壁を強固にします。

3. CIEM（クラウドインフラストラクチャエンタイトルメント管理） ソリューションを使用する。

CIEMソリューションは、企業がクラウドインフラストラクチャリソース全体のエンタイトルメントを管理する際に役立ちます。CIEM機能を含むCrowdStrike Falcon^® Cloud Securityのようなツールの主な目標は、クラウドリソースに対して、過剰な権限が意図せず付与されたり、チェックされずに付与されたりすることから生じるリスクを軽減することです。不要な特権を削除することで、組織は侵害されたアカウントによってもたらされる脅威を減らすことができます。

4. ユーザーとコンピューターに対してアクセス許可の範囲を適切に設定する。

組織にとって、ユーザーやデバイスが持つ特権アクセスを理解することが重要です。機密性の高いシステム、データ、アプリケーションへのアクセスに使用できるアカウントは、現代企業のセキュリティ要件およびコンプライアンス要件を満たすよう厳密に管理する必要があります。

5. プロアクティブな脅威ハンティングを追加する。

プロアクティブな脅威ハンティングでは、盗んだ認証情報を利用して正規ユーザーを装って実施される未知のステルス攻撃を24時間365日体制でハンティングすることができます。これらは、標準的な対策で見逃される可能性のある攻撃の種類です。Falcon Counter Adversary Operationsチームは、持続的標的型攻撃 (APT攻撃) のアクターとの日々の「白兵戦」から得た専門知識を活用して、毎日数百万もの微妙なハンティングリードを見つけて追跡し、それらが正当なものか悪意のあるものかを検証しながら必要に応じてお客様に警告しています。