クレデンシャルハーベスティングとは|サイバーセキュリティ.com

クレデンシャルハーベスティング|サイバーセキュリティ.com

クレデンシャルハーベスティング

クレデンシャルハーベスティング(Credential Harvesting)とは、サイバー攻撃者が不正な手段を使ってユーザーの認証情報(クレデンシャル)を収集・盗み出す手法です。クレデンシャルとは、ユーザーID、パスワード、メールアドレス、セキュリティ質問の答えなど、システムやアカウントにログインするために使用される情報を指します。この攻撃は、金融機関、SNS、企業のシステムなど、認証情報の盗難が金銭的利益や機密情報漏洩につながるシステムを標的とすることが多いです。

クレデンシャルハーベスティングは、特にフィッシングメールや偽サイトを通じて行われることが多く、ユーザーが誤って偽サイトにアクセスし、IDやパスワードを入力することで攻撃者の手に情報が渡る仕組みです。

クレデンシャルハーベスティングの手口

クレデンシャルハーベスティングには様々な手口があり、攻撃者はユーザーを騙して情報を提供させるために巧妙な手法を使います。主な手口は以下のとおりです。

1. フィッシングメール

フィッシングメールは、クレデンシャルハーベスティングの中で最も一般的な手法です。攻撃者は、銀行やオンラインサービスを装ったメールを送り、ユーザーに不正なリンクをクリックさせ、偽のログインページに誘導します。ユーザーがそのページにIDやパスワードを入力すると、認証情報が攻撃者に送信されます。

2. ドメインのなりすまし

攻撃者は、正規のサイトに似せたドメインを作成して、偽のログインページを開設します。例えば、example.comに対し、examp1e.com(小文字「L」を数字の「1」に置き換える)といった見間違えやすいURLを使い、ユーザーを誘導します。

3. フィッシングサイトの作成

攻撃者は、正規のWebサイトと見分けがつかないほどの偽サイトを作成します。ユーザーがこのサイトにアクセスして認証情報を入力すると、その情報が直接攻撃者の手に渡ります。特に、SNSやオンラインショッピングサイトを装う手口が増えています。

4. キーロガーやマルウェア

攻撃者は、ユーザーのデバイスにキーロガー(キー入力を記録するマルウェア)を仕込むことにより、認証情報やパスワードをリアルタイムで収集します。キーロガーやスパイウェアなどのマルウェアは、Eメールの添付ファイルや不正リンクをクリックすることで感染します。

5. ソーシャルエンジニアリング

ソーシャルエンジニアリングとは、心理的な手法で人を騙し、情報を引き出す方法です。攻撃者は、ユーザーが信頼を寄せる人物や企業を装い、直接的にクレデンシャル情報を聞き出します。例えば、サポートセンターを装ってパスワードを聞き出すといった手法が使われます。

クレデンシャルハーベスティングの目的

クレデンシャルハーベスティングの主な目的は、収集した認証情報を使って、ターゲットのアカウントやシステムに不正アクセスすることです。具体的な目的は以下のとおりです。

1. 金銭的な利益

銀行口座やオンラインウォレットのログイン情報を収集し、不正送金や仮想通貨の盗難を行うケースが多くあります。クレデンシャルを使って、攻撃者は直接的な金銭利益を得ようとします。

2. 機密情報の盗難

企業のネットワークやクラウドストレージへのアクセス情報を盗み出し、ビジネス上の機密情報や知的財産を不正に入手することが目的となることもあります。この情報を転売することで利益を得るケースもあります。

3. アカウントの乗っ取り

ソーシャルメディアやメールアカウントのクレデンシャルを盗むことで、攻撃者がアカウントを乗っ取り、詐欺行為やスパムメールの送信、偽情報の拡散などに利用することが可能になります。

4. 脅迫やランサム攻撃

ターゲットの個人情報を収集した上で、攻撃者が被害者に脅迫メールを送りつけ、金銭を要求するランサム攻撃に使うケースもあります。特に、個人データや機密情報を漏洩させない代わりに金銭を要求する方法が増加しています。

クレデンシャルハーベスティングの対策

クレデンシャルハーベスティングの被害を防ぐためには、次のような対策が効果的です。

1. 二要素認証(2FA)の導入

二要素認証(2FA)を導入することで、IDやパスワード以外にも認証コードを入力する必要が生じ、攻撃者がクレデンシャルを入手しても不正アクセスが困難になります。認証コードはSMSや認証アプリで受け取ることが一般的です。

2. フィッシング対策ソフトの利用

フィッシング対策が施されたセキュリティソフトを利用することで、不正なWebサイトやフィッシングメールのリンクを検出・ブロックできるため、フィッシングサイトへのアクセスを防止できます。

3. URLの確認と注意

ログイン画面にアクセスする際、URLが正規のドメインか確認する習慣をつけましょう。URLバーで「https://」から始まることを確認し、なりすましのドメインでないか注意します。

4. メールやメッセージのリンクに注意

メールやメッセージの中に記載されたリンクを直接クリックせず、公式サイトにアクセスしてログインページに移動するようにしましょう。また、添付ファイルを開く際にも、その送信元が信頼できるか確認します。

5. パスワード管理ソフトの利用

パスワード管理ソフトを使用することで、強力かつ複雑なパスワードを使い分けることが容易になります。これにより、万が一クレデンシャルが漏洩しても、他のアカウントに影響を与えるリスクを減らすことができます。

6. セキュリティ意識の向上

企業や個人で定期的にセキュリティトレーニングを実施し、フィッシングや不正リンクに対する認識を高めることで、クレデンシャルハーベスティングの被害を予防できます。

まとめ

クレデンシャルハーベスティングは、ユーザーの認証情報を盗み、不正アクセスや金銭詐取、機密情報漏洩を引き起こすサイバー攻撃の一種です。攻撃者は、フィッシングメールや偽サイト、マルウェアなどを使って認証情報を盗み出します。二要素認証やフィッシング対策ソフトの利用、セキュリティ意識の向上といった対策を講じることで、被害のリスクを大幅に減らすことが可能です。クレデンシャルハーベスティングは多くのサイバー攻撃の入り口ともなるため、適切な対策を行い、個人や企業の安全を確保することが重要です。


SNSでもご購読できます。