アカウントハーベスティングとは?

データ侵害にはさまざまな種類があります。一部の攻撃には、攻撃者側で膨大な時間、計画、労力が必要です。これは、説得力のあるフィッシング メッセージを作成し、攻撃者が機密情報を盗むのに十分なアクセス権を持つ従業員に送信する前に、システムがどのように機能するかを学習するという形を取ることができます。この種の攻撃により、大量のデータが失われる可能性があります。ソース コードと企業データは、一般的なターゲットです。その他のターゲットには、ユーザー名、パスワード、支払いの詳細などのユーザー データ、および社会保障番号や電話番号などの PII が含まれます。

ただし、一部の攻撃はそれほど複雑ではありません。確かに、影響を受けるすべての人にそれほど大きな影響はありません。しかし、それは彼らが問題ではないという意味ではありません。1 つの例は、アカウント ハーベスティングまたはアカウント列挙と呼ばれます。

アカウント列挙

Web サイトにサインインしようとして、パスワードが間違っていると表示されたことはありませんか? それはむしろ特定のエラーメッセージですね。その後、意図的にユーザー名またはメールアドレスをタイプミスすると、Web サイトが「そのメールアドレスのアカウントは存在しません」またはそのような内容を通知する可能性があります。これら 2 つのエラー メッセージの違いがわかりますか? これを行う Web サイトは、アカウントの列挙またはアカウントの収集に対して脆弱です。簡単に言えば、2 つの異なるシナリオに対して 2 つの異なるエラー メッセージを提供することで、ユーザー名または電子メール アドレスがサービスの有効なアカウントを持っているかどうかを判断できます。

この種の問題を特定するには、さまざまな方法があります。上記の 2 つの異なるエラー メッセージのシナリオは、かなり明白です。どちらの場合にも一般的なエラー メッセージを表示するだけで、簡単に修正できます。「入力したユーザー名またはパスワードが正しくありません」のようなもの。

アカウントを収集できる他の方法には、パスワード リセット フォームが含まれます。パスワードを忘れた場合にアカウントを回復できるのは便利です。ただし、セキュリティが不十分な Web サイトでは、パスワードのリセットを送信しようとしたユーザー名が存在するかどうかに応じて、2 つの異なるメッセージが表示される場合があります。「アカウントが存在しません」と「パスワードのリセットが送信されました。メールを確認してください」と想像してみてください。このシナリオでも、応答を比較することでアカウントが存在するかどうかを判断できます。解決策も同じです。送信先の電子メール アカウントがない場合でも、「パスワード リセットの電子メールが送信されました」のような一般的な応答を提供します。

アカウント収集の巧妙さ

上記の方法はどちらも、フットプリントの点でややうるさいです。攻撃者がいずれかの攻撃を大規模に実行しようとすると、基本的にすべてのログ システムで非常に簡単に表示されます。また、パスワード リセット メソッドは、実際に存在するアカウントに電子メールを明示的に送信します。卑劣なことをしようとしている場合、大声でいるのが最善の考えではありません。

一部の Web サイトでは、直接のユーザー操作や可視性が可能です。この場合、Web サイトを閲覧するだけで、遭遇したすべてのアカウントのスクリーン ネームを収集できます。多くの場合、スクリーン ネームはユーザー名になります。他の多くの場合、ユーザー名のバリエーションをメール アドレスで使用することが多いため、どのユーザー名を推測するかについて大きなヒントを与えることができます。このタイプのアカウント ハーベスティングはサービスと対話しますが、基本的に標準的な使用方法と区別がつかないため、はるかに微妙です。

目立たないようにするための優れた方法は、攻撃を受けている Web サイトにまったく触れないことです。攻撃者が従業員専用の企業 Web サイトへのアクセスを取得しようとした場合、まさにそれを実行できる可能性があります。ユーザー列挙の問題についてサイト自体をチェックするのではなく、他の場所に行くことができます。Facebook、Twitter、特にLinkedInなどのサイトをトロールすることで、会社の従業員のかなり良いリストを作成することができます. 攻撃者が会社の電子メール形式 ([email protected] など) を特定できれば、攻撃しようとしている Web サイトに接続することなく、実際に多数のアカウントを取得できます。

これらのアカウント ハーベスティング手法のいずれに対しても、できることはほとんどありません。これらは最初の方法よりも信頼性が低くなりますが、アカウント列挙のよりアクティブな方法を通知するために使用できます。

悪魔は細部に宿る

通常、一般的なエラー メッセージは、アクティブなアカウントの列挙を防ぐための解決策です。ただし、細かいところがゲームを引き離すこともあります。標準では、ウェブサーバーはリクエストに応答するときにステータス コードを提供します。200 は成功を意味する「OK」のステータス コードで、501 は「内部サーバー エラー」です。Web サイトには、パスワードのリセットが送信されたことを示す一般的なメッセージが表示される必要があります。これは、提供されたユーザー名または電子メール アドレスを持つアカウントが存在しなかったために実際には送信されなかった場合でも同様です。場合によっては、Web サイトに成功メッセージが表示されても、サーバーは 501 エラー コードを送信します。詳細に注意を払っている攻撃者にとって、これはアカウントが実際に存在するかどうかを判断するのに十分です。

ユーザー名とパスワードに関しては、時間も影響します。Web サイトはパスワードを保存する必要がありますが、侵害された場合や不正な内部関係者がいる場合にパスワードが漏洩しないようにするため、パスワードをハッシュするのが標準的な方法です。暗号化ハッシュは、同じ入力が与えられた場合は常に同じ出力が得られる一方向の数学関数ですが、入力の 1 文字でも変更すると、出力全体が完全に変更されます。ハッシュの出力を保存し、送信したパスワードをハッシュし、保存されたハッシュを比較することで、パスワードを実際に知らなくても、正しいパスワードを送信したことを確認できます。

詳細をまとめる

優れたハッシュ アルゴリズムは完了するまでに時間がかかりますが、通常は 10 分の 1 秒未満です。これは総当たり攻撃を困難にするのに十分ですが、1 つの値を 1 つだけチェックする場合には扱いにくいほど長くはありません。Web サイトのエンジニアは、ユーザー名が存在しない場合にパスワードをハッシュ化する手間を省きたいという誘惑にかられるかもしれません。比較対象が無いから意味が無いんだよね。問題は時間です。

Web リクエストは通常​​、数十ミリ秒または数百ミリ秒で応答を返します。パスワード ハッシュ プロセスが完了するまでに 100 ミリ秒かかり、開発者がそれをスキップした場合、それは顕著になる可能性があります。この場合、存在しないアカウントの認証要求は、通信遅延のために約 50 ミリ秒で応答を取得します。無効なパスワードを使用した有効なアカウントの認証要求には、約 150 ミリ秒かかる場合があります。これには、サーバーがパスワードをハッシュする間の 100 ミリ秒だけでなく、通信の遅延も含まれます。攻撃者は、応答が返ってくるまでの時間を確認するだけで、アカウントが存在するかどうかをかなり正確に判断できます。

これら 2 つのような詳細指向の列挙の機会は、有効なユーザー アカウントを収集するより明白な方法と同じくらい効果的です。

アカウント ハーベスティングの影響

一見すると、サイトにアカウントが存在するか存在しないかを識別できることは、大した問題ではないように思えるかもしれません。攻撃者がアカウントなどにアクセスできたわけではありません。問題の範囲が少し広くなる傾向があります。ユーザー名は、電子メール アドレスまたは仮名であるか、実名に基づいている傾向があります。実名は簡単に個人に関連付けることができます。電子メール アドレスと仮名はどちらも、1 人の個人によって再利用される傾向があり、特定の個人に結び付けられる可能性があります。

では、攻撃者が、あなたのメール アドレスが離婚弁護士の Web サイトにアカウントを持っていると判断できるとしたらどうでしょう。ニッチな政治的所属や特定の健康状態に関する Web サイトについてはどうでしょうか。そのようなものは、実際にあなたに関する機密情報を漏らす可能性があります. あなたがそこに欲しくないかもしれない情報。

さらに、多くの人が依然として複数の Web サイトでパスワードを再利用しています。これは、すべてに一意のパスワードを使用するというセキュリティに関するアドバイスをほとんどの人が認識しているにもかかわらずです. メール アドレスが大きなデータ侵害に関与している場合、パスワードのハッシュがその侵害に含まれている可能性があります。攻撃者がブルート フォースを使用してそのデータ侵害からパスワードを推測できる場合、攻撃者はそれを別の場所で使用しようとする可能性があります。その時点で、攻撃者はあなたの電子メール アドレスとパスワードを知っている可能性があります。あなたがアカウントを持っているサイトのアカウントを列挙できる場合、彼らはそのパスワードを試す可能性があります。そのサイトでそのパスワードを再利用した場合、攻撃者はあなたのアカウントに侵入できます。これが、すべてに一意のパスワードを使用することをお勧めする理由です。

結論

アカウントの収集は、アカウントの列挙とも呼ばれ、セキュリティ上の問題です。アカウント列挙の脆弱性により、攻撃者はアカウントが存在するかどうかを判断できます。情報漏えいの脆弱性であるため、直接的な影響は必ずしも深刻ではありません。問題は、他の情報と組み合わせると、状況がさらに悪化する可能性があることです。これにより、機密情報や個人情報が特定の人物に関連付けられる可能性があります。また、サードパーティのデータ侵害と組み合わせて使用​​して、アカウントにアクセスすることもできます.

また、Web サイトがこの情報を漏らす正当な理由もありません。ユーザーがユーザー名またはパスワードのいずれかを間違えた場合、どこで間違えたかを確認するために 2 つのことを確認するだけで済みます。アカウント列挙の脆弱性によって引き起こされるリスクは、ユーザー名またはパスワードをタイプミスしたユーザーに提供される非常に小さな利点よりもはるかに大きい.



Leave a Comment

ハードドライブのクローンを作成する方法

ハードドライブのクローンを作成する方法

データが貴重な資産である現代のデジタル時代では、Windows 上でハード ドライブのクローンを作成することは、多くの人にとって重要なプロセスとなる可能性があります。この包括的なガイド

Windows 10でドライバーWUDFRdのロードに失敗した場合の修正方法

Windows 10でドライバーWUDFRdのロードに失敗した場合の修正方法

コンピュータの起動中に、ドライバ WUDFRd をコンピュータに読み込めなかったことを示すエラー メッセージが表示されましたか?

NVIDIA GeForce Experienceエラーコード0x0003を修正する方法

NVIDIA GeForce Experienceエラーコード0x0003を修正する方法

デスクトップで NVIDIA GeForce experience エラー コード 0x0003 が発生していますか? 「はい」の場合は、ブログを読んで、このエラーをすばやく簡単に修正する方法を見つけてください。

Chromebook の電源が入らないのはなぜですか

Chromebook の電源が入らないのはなぜですか

「Chromebook の電源がオンにならないのはなぜですか?」という質問に対する答えを見つけます。この役立つガイドは Chromebook ユーザー向けです。

Fitbit Versa 4 の文字盤を変更する方法

Fitbit Versa 4 の文字盤を変更する方法

Fitbit Versa 4 の文字盤を無料で変更して、時計の外観を毎日変えることができます。それがいかに早くて簡単かを見てください。

ルンバが止まったり、くっついたり、向きを変えたりする – 修正

ルンバが止まったり、くっついたり、向きを変えたりする – 修正

ルンバ ロボット掃除機が停止し、固着し、回転し続ける問題を修正します。

Steam Deckのグラフィック設定を変更する方法

Steam Deckのグラフィック設定を変更する方法

Steam デッキは、堅牢で多彩なゲーム体験をすぐに提供します。ただし、ゲームを最適化し、可能な限り最高のパフォーマンスを保証するには、

分離ベースのセキュリティとは何ですか?

分離ベースのセキュリティとは何ですか?

サイバーセキュリティの世界でますます重要になっているトピック、つまり分離ベースのセキュリティを詳しく掘り下げる予定でした。このアプローチは、

Chromebook でオート クリッカーを使用する方法

Chromebook でオート クリッカーを使用する方法

今日は、Chromebook で繰り返しクリックするタスクを自動化できるツール、オート クリッカーについて詳しく説明します。このツールは時間を節約し、

SMPSとは何ですか?

SMPSとは何ですか?

コンピューターに SMPS を選択する前に、SMPS とは何か、およびさまざまな効率評価の意味を理解してください。