SECの18日のリスクアラートによると、「クレデンシャル・スタッフィング」と呼ばれる手法のハッキングが増加している。漏洩したユーザーアカウントとパスワードを使ってウェブサイトなどに自動ログインし、不正アクセスしようとするもので、従来のブルートフォース(総当たり攻撃)式のパスワード破りよりも効率的な不正アクセス方法として目立ってきているという。
SECによれば、金融業者に対するクレデンシャル・スタッフィングが成功すると、攻撃者は顧客アカウントを通じて企業のシステムにアクセスし、そこで顧客から資産を盗んだり、機密の顧客情報を閲覧したり、ログイン情報などを入手したりできる。
攻撃者はさらに、得た情報をダークウェブで売ったり、ネットワークやシステムのリソースにアクセスしたりもできるほか、顧客や従業員のアカウントの監視や乗っ取りも可能になる。
SECは対策として、推測されにくいパスワードを使い、頻繁に変えることや、多要素認証(MFA)を設定することを重ねて呼びかけている。
多要素認証では、認証時に携帯電話へのショートメールが使われることが多いが、これも絶対に安全とは限らないとSECは注意を促している。携帯電話の番号がハッカーによって不正に別の携帯電話に移され、使っている携帯電話が当てにならないケースもあるという。
