Account Takeover - Hijacking User Accounts
About 2 min read
アカウント乗っ取り (Account Takeover, ATO) とは、攻撃者が正規ユーザーの認証情報を 不正に取得・悪用し、そのアカウントへアクセスする攻撃手法の総称です。 メールアカウントが乗っ取られると、パスワードリセット機能を経由して SNS や金融サービスまで芋づる式に被害が拡大するため、単一アカウントの侵害が デジタルライフ全体の崩壊につながりかねません。近年はクレデンシャルスタッフィングの 自動化ツールが闇市場で安価に流通しており、 ATO 攻撃の件数は年々増加しています。
攻撃手法の分類
ATO にはさまざまな手口がありますが、大きく 4 つに分類できます。
過去の情報漏洩で流出した ID とパスワードの組み合わせを、別のサービスに大量に試行する手法。 パスワードの使い回しが被害を拡大させます。
偽のログインページや緊急を装うメールで、ユーザー自身に認証情報を入力させる手法。フィッシングは ATO の最も一般的な入口です。
携帯キャリアを騙して被害者の電話番号を攻撃者の SIM に移し、 SMS 認証を突破する手法。SIM スワッピングの 詳細も参照してください。
有効なセッショントークンを 盗み取り、認証済みの状態を乗っ取る手法。マルウェアや中間者攻撃で Cookie を窃取するケースが典型的です。
被害の連鎖
ATO の恐ろしさは、 1 つのアカウント侵害が連鎖的に被害を拡大させる点にあります。 攻撃者はまずメールアカウントを狙います。メールはほぼすべてのサービスの パスワードリセット先になっているため、メールを押さえれば他のアカウントも 芋づる式に奪取できるからです。
実際の事例では、メールアカウントの侵害から 24 時間以内に銀行口座まで 到達したケースが報告されています。被害の詳細はアカウントが乗っ取られたらどうなるかの 記事で解説しています。
検知手法
ATO を早期に検知するには、通常のログインパターンからの逸脱を捉える仕組みが必要です。 異常ログイン検知では、普段と異なる IP アドレス、地理的位置、時間帯からのアクセスを リスクスコアとして評価します。デバイスフィンガープリントは、ブラウザの種類、 画面解像度、インストール済みフォントなどの組み合わせからデバイスを識別し、 未知のデバイスからのログインを検出します。企業向けにはSIEM による ログ相関分析も有効です。
対策
最も効果的な対策は多要素認証 (MFA) の 導入です。パスワードが漏洩しても、第 2 要素がなければログインできないため、 ATO のリスクを大幅に低減できます。 SMS 認証は SIM スワップに脆弱なため、 認証アプリやパスキーの 利用が推奨されます。パスワードマネージャーで サービスごとに一意のパスワードを生成すれば、クレデンシャルスタッフィングの リスクも排除できます。 パスワード管理の実践的なガイドはパスワード使い回しのリスクの 記事も参考にしてください。account security books on Amazonで体系的に学ぶこともできます。
アカウントリカバリー設計の重要性
ATO 対策はログイン防御だけでは不十分です。万が一乗っ取られた場合に、 正規ユーザーがアカウントを取り戻せるリカバリー手段の設計も不可欠です。 リカバリーコードの事前発行、信頼できるデバイスの登録、本人確認書類による 手動リカバリーなど、複数の回復経路を用意しておくことが実務上のベストプラクティスです。 インシデント発生時の対応手順は情報漏洩時の対応ガイドで 詳しく解説しています。
Was this article helpful?