PayPalもやられた「クレデンシャルスタッフィング攻撃」への対応策

「データ漏えいが起こったものの悪用された形跡はなかった」という発表を聞いたことはないだろうか。このようなサイバー攻撃は「クレデンシャルスタッフィング攻撃」の前触れだ。PayPalで起こった事例から学べることは何だろうか。

[Matt Kapko，Cybersecurity Dive]

　クレデンシャルスタッフィング攻撃が激化している。これは、不正に入手したログイン時の認証情報（クレデンシャル）を使って他のサービスで大量に自動ログインを仕掛ける攻撃方法だ。パスワードリスト攻撃の一種だ。情報漏えいが続く限り、攻撃が止むことはない。

クレデンシャルスタッフィング攻撃への有効な対策はあるのか

　PayPalは2022年12月にクレデンシャルスタッフィング攻撃の被害に遭い、約3万5000件のアカウントに対する不正アクセスを受けた。その結果、名前や住所、社会保障番号、納税者番号、生年月日などの個人情報が漏えいした。

　不正アクセスがあったのは2022年12月6〜8日だ。同社は2022年12月20日に侵入の痕跡を発見し、2023年1月18日に漏えいした情報の種類を発表した。

　同社がメイン州に提出したデータ漏えい報告によると（注1）、ログイン情報が会社のシステムを通じて取得された形跡はないという。つまりクレデンシャルスタッフィング攻撃の可能性が高い。

　PayPalは2023年1月18日、影響を受けた顧客に対してセキュリティインシデントがあったことを連絡した。事件の結果、個人情報が悪用された証拠はないと強調した。

　PayPalの広報担当者は、今回のインシデントは少数の顧客に影響を与えたが、解決済みだと述べた。同社の決算報告書によると、2022年第3四半期時点でPayPalには4億3200万件のアクティブアカウントがある（注2）。

　「PayPalの決済システムには影響がなく、財務情報にもアクセスされていない。影響を受けた顧客には直接連絡を取り、情報を保護するためのガイダンスを提供した」（PayPalの広報担当者）

　同社は影響を受けた顧客に通知を送り、パスワードリセットとセキュリティの強化を求め、さらに新しいパスワードを設定することを要求した。

　「お客さまのアカウント情報のセキュリティとプライバシーは引き続きPayPalの最優先事項であり、今回の件でご迷惑をおかけしたことを心よりおわび申し上げます」（PayPalの広報担当者）

ユーザーにできる対策は何だろうか

　クレデンシャルスタッフィングは根強い脅威だ（注3）。なぜなら他のサービスで漏えいした認証情報を悪用する他、ダークWebでクレデンシャルを大量に購入して使うこともあるからだ。

　サイバー犯罪者はプロキシや設定を利用して、米国企業を標的としたクレデンシャルスタッフィング攻撃を隠蔽（いんぺい）し、自動化していると（注4）、FBIは2022年8月に民間企業に向けた警告で述べた（注5）。

　ユーザー側でできることはないだろうか。多くのユーザーは複数のアカウントでユーザー名とパスワードを再利用しており、これがクレデンシャルスタッフィング攻撃の被害を拡大している。つまりサービスごとにユーザー名やパスワードを変えればよい。

出典：PayPal warns 35,000 customers of exposure following credential stuffing attack（Cybersecurity Dive）

注1：Data Breach Notifications

注2：Third Quarter 2022 Results（PDF）

注3：What’s at stake in a credential stuffing attack（Cybersecurity Dive）

注4：Credential stuffing hammers US businesses as account data for sale in bulk（Cybersecurity Dive）

注5：Proxies and Configurations Used for Credential Stuffing Attacks on Online Customer Accounts（PDF）