フィッシング攻撃でアカウントの情報が流出した場合、その約半数は、一刻も早く盗まれた認証情報を悪用しようとするサイバー犯罪者によって、流出から12時間以内にアクセスされることが明らかになった。
Agariのサイバーセキュリティ研究者は、実際のユーザーのものを装って、実際には研究者らの管理下にある数千の認証情報を、盗まれたユーザー名やパスワードが掲載されることでよく知られるウェブサイトやフォーラムに故意に流出させ、これらの情報がどのように悪用されるかを調べた。
6カ月間に渡って配布されたこれらの偽の認証情報は、有名なクラウドソフトウェアアプリケーションのログイン情報に見えるように仕組まれていた。
その結果、それらのアカウントは、情報がウェブサイトやフォーラムに投稿されてから数時間以内に活発にアクセスされていたことが明らかになった。
Agariの脅威研究担当シニアディレクターであるCrane Hassold氏は、米ZDNetの取材に対して、「約半数のアカウントは、各サイトに情報が配布されてから12時間以内にアクセスされた。そのうち20%は1時間以内に、40%は6時間以内にアクセスされている。このことは、侵害されたアカウントがいかに速やかに悪用されるかを示している」と述べた。
また、そのアカウントのほとんどが手動でアクセスされていたことも分かった。流出したアカウントに手動でアクセスしていくことは面倒な作業だが、認証情報が実際に利用できるかどうかを調べられるため、結局はサイバー犯罪者に有利に働くのだという。
Hassold氏は「彼らが行っている作業はかなり退屈なプロセスだが、その作業からは多くの有益な情報を得ることができる。彼らは、これらのアカウントを、さまざまな種類の悪質な行為にさまざまな形で利用している」と述べている。
例えば攻撃者は、アカウントにアクセスすることで、そのユーザーの電子メールの受信箱や、クラウドストレージソフトウェア上に存在する秘密情報をあさることができる。それらの情報は、盗んで別の攻撃に利用することもできれば、売ることもできる。
また、攻撃者が侵害したアカウントを踏み台にして、そのアカウントからフィッシング攻撃やビジネスメール詐欺(BEC)などの別の攻撃を実行することもできるという。
侵害されたアカウントはすぐにアクセスされるが、1週間後には手動でのアクセスは行われなくなることも分かった。これは、その頃には攻撃者が別のアカウントでの作業に(あるいは最初のアカウントを踏み台にして)移っているためである可能性が高い。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
