アカウント乗っ取りとは

この記事は約 2 分で読めます

アカウント乗っ取り (Account Takeover, ATO) とは、攻撃者が正規ユーザーの認証情報を不正に取得・悪用し、そのアカウントへアクセスする攻撃手法の総称です。メールアカウントが乗っ取られると、パスワードリセット機能を経由して SNS や金融サービスまで芋づる式に被害が拡大するため、単一アカウントの侵害がデジタルライフ全体の崩壊につながりかねません。近年はクレデンシャルスタッフィングの自動化ツールが闇市場で安価に流通しており、 ATO 攻撃の件数は年々増加しています。

攻撃手法の分類

ATO にはさまざまな手口がありますが、大きく 4 つに分類できます。

被害の連鎖

ATO の恐ろしさは、 1 つのアカウント侵害が連鎖的に被害を拡大させる点にあります。攻撃者はまずメールアカウントを狙います。メールはほぼすべてのサービスのパスワードリセット先になっているため、メールを押さえれば他のアカウントも芋づる式に奪取できるからです。

実際の事例では、メールアカウントの侵害から 24 時間以内に銀行口座まで到達したケースが報告されています。被害の詳細はアカウントが乗っ取られたらどうなるかの記事で解説しています。

検知手法

ATO を早期に検知するには、通常のログインパターンからの逸脱を捉える仕組みが必要です。異常ログイン検知では、普段と異なる IP アドレス、地理的位置、時間帯からのアクセスをリスクスコアとして評価します。デバイスフィンガープリントは、ブラウザの種類、画面解像度、インストール済みフォントなどの組み合わせからデバイスを識別し、未知のデバイスからのログインを検出します。企業向けにはSIEM によるログ相関分析も有効です。

対策

最も効果的な対策は多要素認証 (MFA) の導入です。パスワードが漏洩しても、第 2 要素がなければログインできないため、 ATO のリスクを大幅に低減できます。 SMS 認証は SIM スワップに脆弱なため、認証アプリやパスキーの利用が推奨されます。パスワードマネージャーでサービスごとに一意のパスワードを生成すれば、クレデンシャルスタッフィングのリスクも排除できます。パスワード管理の実践的なガイドはパスワード使い回しのリスクの記事も参考にしてください。アカウントセキュリティの関連書籍 (Amazon)で体系的に学ぶこともできます。

アカウントリカバリー設計の重要性

ATO 対策はログイン防御だけでは不十分です。万が一乗っ取られた場合に、正規ユーザーがアカウントを取り戻せるリカバリー手段の設計も不可欠です。リカバリーコードの事前発行、信頼できるデバイスの登録、本人確認書類による手動リカバリーなど、複数の回復経路を用意しておくことが実務上のベストプラクティスです。インシデント発生時の対応手順は情報漏洩時の対応ガイドで詳しく解説しています。