アカウント乗っ取り (ATO)
アカウント乗っ取り (ATO) とは何ですか?
アカウント乗っ取り (ATO)攻撃者が正規ユーザーのアカウントを不正に支配し、金銭・データの窃取やさらなる詐欺行為に利用する攻撃。
アカウント乗っ取りは、攻撃者が被害者のアカウントの有効な認証情報、セッショントークン、または復旧手段を入手し、本人になりすましてログインすることで発生します。主な侵入経路として、フィッシング、情報窃取マルウェア、漏洩パスワードを用いた認証スタッフィング、SMS コード傍受のための SIM スワップ、OAuth 同意の悪用、アカウント復旧フローの欠陥などが挙げられます。侵入後、攻撃者は情報を持ち出したり、ウォレットを空にしたり、給与振込先を変更したり、信頼されたアドレスからフィッシングを送ったり、別システムへ横移動したりします。
認証スタッフィングは最も産業化された経路です。2023 年の 23andMe 侵害では、攻撃者が無関係なサイトから漏洩したユーザー名とパスワードの組をログインページに対して、2023 年 4 月から約 5 か月にわたり繰り返し試行しました。直接破られたアカウントは約 14,000 件に過ぎませんでしたが、23andMe が MFA を強制しておらず、DNA Relatives 機能が接続されたプロフィールを露出させていたため、侵入者は約 690 万人分の遺伝・血縁情報をスクレイピングしました。この事例は、パスワードの使い回しと MFA の欠如が、わずかな数の侵害されたログインをいかにして大規模なデータ露出に変えてしまうか、そして持続的かつ分散したログイン試行の検知がなぜ重要かを示しています。
緩和策としては、フィッシング耐性のある MFA(FIDO2/パスキー)、デバイス紐づけ、異常ベースのログイン分析、リスクの高い操作に対する追加認証(ステップアップ認証)、漏洩パスワードのスクリーニング(NIST SP 800-63B に準拠)、ログインに対するレート制限とボット検知、そして悪用検知時の迅速なセッションおよびトークンの失効などがあります。
flowchart LR
L[漏洩した認証情報 /<br/>フィッシング / 情報窃取] --> A[攻撃者]
A --> B{ログイン試行}
B -->|MFA なし| C[アカウント侵害]
B -->|フィッシング耐性 MFA<br/>+ 異常検知| D[ブロック / ステップアップ]
C --> E[データ窃取、詐欺、<br/>接続プロフィールのスクレイピング]
C --> F[横移動 /<br/>信頼されたアカウントからフィッシング送信]
D -.->|リスクスコア| G[セッションとトークンの失効]● 例
- 01
別サイトから漏洩した認証情報を再利用して銀行ポータルにログインする。
- 02
約 690 万人のユーザー情報が露出した 2023 年の 23andMe 認証スタッフィング侵害。
● よくある質問
アカウント乗っ取り (ATO) とは何ですか?
攻撃者が正規ユーザーのアカウントを不正に支配し、金銭・データの窃取やさらなる詐欺行為に利用する攻撃。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
アカウント乗っ取り (ATO) とはどういう意味ですか?
攻撃者が正規ユーザーのアカウントを不正に支配し、金銭・データの窃取やさらなる詐欺行為に利用する攻撃。
アカウント乗っ取り (ATO) からどのように防御しますか?
アカウント乗っ取り (ATO) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
アカウント乗っ取り (ATO) の別名は何ですか?
一般的な別名: アカウント乗っ取り, ATO。