Okta Japanは、同社が発表したレポート「Customer Identity Trends Report 2025」を踏まえた、顧客アイデンティティーへの脅威と最新対策に関する説明会を開催した。同レポートは、Identity as a Service(IDaaS)である「Auth0」の実運用から得られたログデータを掲載している。
日本担当リージョナルCSO(最高セキュリティ責任者)の板倉景子氏は、「攻撃者は、顧客アイデンティティーをさまざまな不正行為の踏み台に悪用したり、アプリケーションにログインした先にある個人情報を狙ったりしている」と前置きし、顧客アイデンティティーへの攻撃は「サインアップ攻撃」「ログイン攻撃」「多要素認証(MFA)の悪用」――の3つに分類できるとした。「これらの攻撃は異なる目的とアプローチを取っており、それぞれの攻撃に対して別々の対策を講じる必要がある」と説明する。
サインアップ攻撃の現状と対策
サインアップ攻撃では、攻撃者はボットネットやスクリプトを利用して、攻撃者が管理するメールアカウントや電話番号を用いて標的のサイトに不正なアカウントを登録する。サインアップ攻撃の目的は、「サービスの特典の不正取得」「作成したアカウントを育成して後日悪用する」「偽アカウントによって正しいマーケティングデータの取得を阻害」「多数のアカウント登録によりシステムをダウンさせるDoS攻撃」が含まれるという。
サインアップ攻撃は日常的に観測されており、Auth0のデータでは、全体の登録リクエストのうち46.1%が不正であると認識されている。最も高い日には92.5%が不正な攻撃と観測された。特に2月中旬から5月末にかけて短期的なスパイクと継続的な攻撃が重なり、組織への影響が大きくなっている。年間を通して計画的かつ組織的な攻撃が発生しており、AIを悪用することで大規模な不正登録が効率的に行われていることも攻撃が多い要因であると同氏は指摘する。
業界別に見ると、「小売/eコマース企業」が不正リクエストの69.4%を占め、最も多く狙われている。これは、登録特典や会員限定サービスを狙うためだと推測している。以下、「金融サービス企業」(64.8%)、「エネルギー/公共事業」(56.1%)と続いた。
サインアップ攻撃への対策としては、早期に検知し登録フローから排除することが重要だとした。これにより攻撃者の偵察やシステムリソースの浪費を防ぐことにつながる。この防御は、多層的なレイヤーで実施することがポイントになる。「Cloudflare」「Microsoft Azure」「Amazon Web Services」などのインフラ層では、DDoS対策、ボット検知、レート制限といったTCP/UDPの基本的な防御を行う。これはアイデンティティープラットフォームの手前で、最初のフィルターとして機能するが、これだけでは不十分であると板倉氏は言及する。
顧客アイデンティティープラットフォームでより高度な防御を行うには、ウェブアプリケーションファイアウォール(WAF)ルールを用いて、悪質なIPアドレスや攻撃者が利用している地理的な情報、またはユーザーエージェントなどのHTTPヘッダー要素を基にアクセスをブロックする必要がある。また、詳細なテレメトリーデータを活用したボット検出を行い、サインアップ指向のパターンやリクエスト内容から不審な動きを検知し、リスクが高い場合にCAPTCHAを表示して防御する。これはユーザー体験とのバランスを取りながらボットのアクセスを困難にする対策であり、顧客IDおよびアクセス管理(CIAM)のレイヤーでも採用する必要があるという。
AIによって成功率を高めるログイン攻撃
ログイン攻撃は、攻撃者が正規ユーザーになりすまし、機密情報へのアクセスや特典の不正取得を試みる狙いがある。手法としては、「推測可能なパスワードの乗っ取り」「ダークウェブなどに流出している認証情報の悪用」「フィッシングなど別の攻撃で盗み出した認証情報の悪用」が挙げられる。
板倉氏は、「アカウントの乗っ取りは、サインアップ攻撃よりも深刻な問題を引き起こす場合がある」と述べる。BtoCでは、正規アカウントが持つポイントや特典の不正利用、個人情報の取得が目的であり、既存ユーザーへの影響が大きい。BtoBでは、正規ユーザーのアクセス権を悪用した機密情報へのアクセスが主な動機となり、個人情報保護法違反や一般データ保護規則(GDPR)の抵触といった多額の罰金が発生するリスクがある。
アカウントの乗っ取りは、多くがパスワード認証の脆弱(ぜいじゃく)性を突いたブルートフォース(総当たり)攻撃によって多数のアカウント侵害を狙う。過去に証券会社で相次いだ不正アクセスも、正規ユーザーの認証情報を盗み出し不正取引を狙ったものだという。
ログイン攻撃には3つの手法が挙げられるが、特にAI技術が鍵になっている。AIはパスワードの推測を効率化し、漏えいしたデータセットからパターンを学習して総当たり攻撃の速度を上げているという。また、ダークウェブに流出した認証情報の悪用もAIによって進化している。安価なログイン自動化ツールとAIを組み合わせることで、CAPTCHA回避やアプリケーションレスポンスの解析を行い、効率的にログインを成功させている。
フィッシングやソーシャルエンジニアリングで盗み出した認証情報の悪用も増加している。フィッシング攻撃にもAIが悪用され、「Phishing as a Service(PhaaS)」のエコシステムが形成されており、「Tycoon 2FA」のような安価なフィッシングキットが市場に出回っている。また、生成AIを活用して、人間が本物か偽物かを判別できないレベルのフィッシングメールやフィッシングサイトを作成するケースも増えてきている。
ほかにも、住宅用プロキシの悪用も観測されている。これは家庭用IPアドレスを経由して通信元を偽装し、リスクベース認証をすり抜けるもの。通常、異なる国からのログインをブロックするルールがあるが、AIが最適な住宅プロキシIPを分析し、ターゲットの近くのIPアドレスを偽装することで、ログインに成功してしまう事例があるという。
Auth0で観測されたログイン攻撃のデータでは、中央値で16.9%がアカウント乗っ取りのリクエストと判定されており、多い日には5割近くに達することもある。業界別では、「小売/eコマース企業」が最も狙われ、ログインリクエストの22.2%が攻撃だった。次に「プロフェッショナルサービス」「金融業界」も標的となっている。
ログイン攻撃への対策としては、まず漏えいが確認されたパスワードを強制リセットすることが重要になる。漏えいパスワードを検出するサービスや機能を活用し、パスワードの再利用禁止や複雑なパスワードを要求する強いパスワードポリシーも有効である。また、使っていない機能やAPIエンドポイントは不必要な攻撃対象となるため無効化し、狙われる対象を限定することも必要だとした。
ログイン攻撃にはMFAの適切な活用も重要なポイントになるというが、やみくもにMFAを実装することでユーザーの利便性を損なったり、MFAを悪用した攻撃が起きたりとリスクが生じる。
