アカウントハーベスティングとは?

データ侵害にはさまざまな種類があります。一部の攻撃には、攻撃者側で膨大な時間、計画、労力が必要です。これは、説得力のあるフィッシング メッセージを作成し、攻撃者が機密情報を盗むのに十分なアクセス権を持つ従業員に送信する前に、システムがどのように機能するかを学習するという形を取ることができます。この種の攻撃により、大量のデータが失われる可能性があります。ソース コードと企業データは、一般的なターゲットです。その他のターゲットには、ユーザー名、パスワード、支払いの詳細などのユーザー データ、および社会保障番号や電話番号などの PII が含まれます。

ただし、一部の攻撃はそれほど複雑ではありません。確かに、影響を受けるすべての人にそれほど大きな影響はありません。しかし、それは彼らが問題ではないという意味ではありません。1 つの例は、アカウント ハーベスティングまたはアカウント列挙と呼ばれます。

アカウント列挙

Web サイトにサインインしようとして、パスワードが間違っていると表示されたことはありませんか? それはむしろ特定のエラーメッセージですね。その後、意図的にユーザー名またはメールアドレスをタイプミスすると、Web サイトが「そのメールアドレスのアカウントは存在しません」またはそのような内容を通知する可能性があります。これら 2 つのエラー メッセージの違いがわかりますか? これを行う Web サイトは、アカウントの列挙またはアカウントの収集に対して脆弱です。簡単に言えば、2 つの異なるシナリオに対して 2 つの異なるエラー メッセージを提供することで、ユーザー名または電子メール アドレスがサービスの有効なアカウントを持っているかどうかを判断できます。

この種の問題を特定するには、さまざまな方法があります。上記の 2 つの異なるエラー メッセージのシナリオは、かなり明白です。どちらの場合にも一般的なエラー メッセージを表示するだけで、簡単に修正できます。「入力したユーザー名またはパスワードが正しくありません」のようなもの。

アカウントを収集できる他の方法には、パスワード リセット フォームが含まれます。パスワードを忘れた場合にアカウントを回復できるのは便利です。ただし、セキュリティが不十分な Web サイトでは、パスワードのリセットを送信しようとしたユーザー名が存在するかどうかに応じて、2 つの異なるメッセージが表示される場合があります。「アカウントが存在しません」と「パスワードのリセットが送信されました。メールを確認してください」と想像してみてください。このシナリオでも、応答を比較することでアカウントが存在するかどうかを判断できます。解決策も同じです。送信先の電子メール アカウントがない場合でも、「パスワード リセットの電子メールが送信されました」のような一般的な応答を提供します。

アカウント収集の巧妙さ

上記の方法はどちらも、フットプリントの点でややうるさいです。攻撃者がいずれかの攻撃を大規模に実行しようとすると、基本的にすべてのログ システムで非常に簡単に表示されます。また、パスワード リセット メソッドは、実際に存在するアカウントに電子メールを明示的に送信します。卑劣なことをしようとしている場合、大声でいるのが最善の考えではありません。

一部の Web サイトでは、直接のユーザー操作や可視性が可能です。この場合、Web サイトを閲覧するだけで、遭遇したすべてのアカウントのスクリーン ネームを収集できます。多くの場合、スクリーン ネームはユーザー名になります。他の多くの場合、ユーザー名のバリエーションをメール アドレスで使用することが多いため、どのユーザー名を推測するかについて大きなヒントを与えることができます。このタイプのアカウント ハーベスティングはサービスと対話しますが、基本的に標準的な使用方法と区別がつかないため、はるかに微妙です。

目立たないようにするための優れた方法は、攻撃を受けている Web サイトにまったく触れないことです。攻撃者が従業員専用の企業 Web サイトへのアクセスを取得しようとした場合、まさにそれを実行できる可能性があります。ユーザー列挙の問題についてサイト自体をチェックするのではなく、他の場所に行くことができます。Facebook、Twitter、特にLinkedInなどのサイトをトロールすることで、会社の従業員のかなり良いリストを作成することができます. 攻撃者が会社の電子メール形式 ([email protected] など) を特定できれば、攻撃しようとしている Web サイトに接続することなく、実際に多数のアカウントを取得できます。

これらのアカウント ハーベスティング手法のいずれに対しても、できることはほとんどありません。これらは最初の方法よりも信頼性が低くなりますが、アカウント列挙のよりアクティブな方法を通知するために使用できます。

悪魔は細部に宿る

通常、一般的なエラー メッセージは、アクティブなアカウントの列挙を防ぐための解決策です。ただし、細かいところがゲームを引き離すこともあります。標準では、ウェブサーバーはリクエストに応答するときにステータス コードを提供します。200 は成功を意味する「OK」のステータス コードで、501 は「内部サーバー エラー」です。Web サイトには、パスワードのリセットが送信されたことを示す一般的なメッセージが表示される必要があります。これは、提供されたユーザー名または電子メール アドレスを持つアカウントが存在しなかったために実際には送信されなかった場合でも同様です。場合によっては、Web サイトに成功メッセージが表示されても、サーバーは 501 エラー コードを送信します。詳細に注意を払っている攻撃者にとって、これはアカウントが実際に存在するかどうかを判断するのに十分です。

ユーザー名とパスワードに関しては、時間も影響します。Web サイトはパスワードを保存する必要がありますが、侵害された場合や不正な内部関係者がいる場合にパスワードが漏洩しないようにするため、パスワードをハッシュするのが標準的な方法です。暗号化ハッシュは、同じ入力が与えられた場合は常に同じ出力が得られる一方向の数学関数ですが、入力の 1 文字でも変更すると、出力全体が完全に変更されます。ハッシュの出力を保存し、送信したパスワードをハッシュし、保存されたハッシュを比較することで、パスワードを実際に知らなくても、正しいパスワードを送信したことを確認できます。

詳細をまとめる

優れたハッシュ アルゴリズムは完了するまでに時間がかかりますが、通常は 10 分の 1 秒未満です。これは総当たり攻撃を困難にするのに十分ですが、1 つの値を 1 つだけチェックする場合には扱いにくいほど長くはありません。Web サイトのエンジニアは、ユーザー名が存在しない場合にパスワードをハッシュ化する手間を省きたいという誘惑にかられるかもしれません。比較対象が無いから意味が無いんだよね。問題は時間です。

Web リクエストは通常​​、数十ミリ秒または数百ミリ秒で応答を返します。パスワード ハッシュ プロセスが完了するまでに 100 ミリ秒かかり、開発者がそれをスキップした場合、それは顕著になる可能性があります。この場合、存在しないアカウントの認証要求は、通信遅延のために約 50 ミリ秒で応答を取得します。無効なパスワードを使用した有効なアカウントの認証要求には、約 150 ミリ秒かかる場合があります。これには、サーバーがパスワードをハッシュする間の 100 ミリ秒だけでなく、通信の遅延も含まれます。攻撃者は、応答が返ってくるまでの時間を確認するだけで、アカウントが存在するかどうかをかなり正確に判断できます。

これら 2 つのような詳細指向の列挙の機会は、有効なユーザー アカウントを収集するより明白な方法と同じくらい効果的です。

アカウント ハーベスティングの影響

一見すると、サイトにアカウントが存在するか存在しないかを識別できることは、大した問題ではないように思えるかもしれません。攻撃者がアカウントなどにアクセスできたわけではありません。問題の範囲が少し広くなる傾向があります。ユーザー名は、電子メール アドレスまたは仮名であるか、実名に基づいている傾向があります。実名は簡単に個人に関連付けることができます。電子メール アドレスと仮名はどちらも、1 人の個人によって再利用される傾向があり、特定の個人に結び付けられる可能性があります。

では、攻撃者が、あなたのメール アドレスが離婚弁護士の Web サイトにアカウントを持っていると判断できるとしたらどうでしょう。ニッチな政治的所属や特定の健康状態に関する Web サイトについてはどうでしょうか。そのようなものは、実際にあなたに関する機密情報を漏らす可能性があります. あなたがそこに欲しくないかもしれない情報。

さらに、多くの人が依然として複数の Web サイトでパスワードを再利用しています。これは、すべてに一意のパスワードを使用するというセキュリティに関するアドバイスをほとんどの人が認識しているにもかかわらずです. メール アドレスが大きなデータ侵害に関与している場合、パスワードのハッシュがその侵害に含まれている可能性があります。攻撃者がブルート フォースを使用してそのデータ侵害からパスワードを推測できる場合、攻撃者はそれを別の場所で使用しようとする可能性があります。その時点で、攻撃者はあなたの電子メール アドレスとパスワードを知っている可能性があります。あなたがアカウントを持っているサイトのアカウントを列挙できる場合、彼らはそのパスワードを試す可能性があります。そのサイトでそのパスワードを再利用した場合、攻撃者はあなたのアカウントに侵入できます。これが、すべてに一意のパスワードを使用することをお勧めする理由です。

結論

アカウントの収集は、アカウントの列挙とも呼ばれ、セキュリティ上の問題です。アカウント列挙の脆弱性により、攻撃者はアカウントが存在するかどうかを判断できます。情報漏えいの脆弱性であるため、直接的な影響は必ずしも深刻ではありません。問題は、他の情報と組み合わせると、状況がさらに悪化する可能性があることです。これにより、機密情報や個人情報が特定の人物に関連付けられる可能性があります。また、サードパーティのデータ侵害と組み合わせて使用​​して、アカウントにアクセスすることもできます.

また、Web サイトがこの情報を漏らす正当な理由もありません。ユーザーがユーザー名またはパスワードのいずれかを間違えた場合、どこで間違えたかを確認するために 2 つのことを確認するだけで済みます。アカウント列挙の脆弱性によって引き起こされるリスクは、ユーザー名またはパスワードをタイプミスしたユーザーに提供される非常に小さな利点よりもはるかに大きい.



Leave a Comment

修正:ChromebookがBluetoothデバイスに接続しない

修正:ChromebookがBluetoothデバイスに接続しない

BluetoothデバイスをChromebookとペアリングできない場合は、Bluetoothオプションを無効にして、ラップトップを再起動します。

ダブルVPNとは何ですか?シングルVPNよりどれだけ優れていますか?

ダブルVPNとは何ですか?シングルVPNよりどれだけ優れていますか?

ダブルVPNは、ネットワークの使用状況を監視している人からユーザーを保護するための優れた解決策です。

Chromebookノートパソコンでスクリーンショットを撮る方法

Chromebookノートパソコンでスクリーンショットを撮る方法

Chromebookノートパソコンでフルスクリーンのスクリーンショットを撮るには、CtrlキーとWindowsキーを同時に押します。

Windows 2016のリモートデスクトップホスト構成はどこにありますか?

Windows 2016のリモートデスクトップホスト構成はどこにありますか?

Microsoft Windows 2016でRDPホスト構成ツールをお探しですか?必要なRDP設定にアクセスするためのソリューションがあります。

MacでZoomでAirPodsが機能しない問題を修正

MacでZoomでAirPodsが機能しない問題を修正

多くのMac所有者は、ZoomでAirPodsを使用しないことに不満を持っていました。このガイドでは、この問題を解決する方法をよく示しています。

Li-Fiとは何ですか?

Li-Fiとは何ですか?

Li-Fiは、Wi-Fiの代替として設計された無線通信技術であり、可視光や近可視光を使用してデータを伝送します。最新のLi-Fi技術について詳しく調べてください。

ASUS ROGRAMDiskでRAMディスクを作成する方法

ASUS ROGRAMDiskでRAMディスクを作成する方法

ASUS ROG RAMDiskを使って、高速なRAMディスクを作成する方法を解説します。

FitbitCharge4を再起動してオンにする方法

FitbitCharge4を再起動してオンにする方法

Fitbit Charge 4を再起動してオンにする方法について詳しく解説します。このフィットネストラッカーの使い方や問題解決方法を学んで、健康管理に役立ててください。

Chromebookにバッテリーセーバーモードはありますか?

Chromebookにバッテリーセーバーモードはありますか?

Chromebookは現在、低電力モード設定を備えていませんが、効果的なバッテリー寿命の延ばし方について紹介します。

AnkerPowerConfスピーカー接続のトラブルシューティング

AnkerPowerConfスピーカー接続のトラブルシューティング

Anker PowerConferenceスピーカーの接続問題を解決するための完全ガイドを紹介します。