目次
1. アカウント乗っ取りとは?
アカウント乗っ取り(Credential Theft)は、攻撃者が正規ユーザーのID/パスワードや認証トークンを不正に取得し、内部ユーザーになりすます攻撃です。
典型的な経路は以下のとおりです。
- フィッシングメールからの認証情報窃取
- ダークウェブや情報漏洩DBから流出したパスワードの再利用(Credential Stuffing)
- マルウェアによるブラウザキャッシュやメモリからの認証情報窃取
- MFA未設定アカウントの不正利用
この攻撃は「正規のアカウント」を利用するため、従来の不審IPブロックやマルウェア検知では気づきにくいのが特徴です。そこでSOCでは「行動の異常」に着目した検知が重要になります。
2. Impossible Travelとは?
Impossible Travel(不可能な移動)とは、短時間に地理的に離れた場所からのログインが発生する現象を指します。
例:
- 10:00 JST 東京からのログイン成功
- 10:45 UTC-5(ニューヨーク)からのログイン成功
通常の物理移動では不可能なため「不正アクセスの可能性が高い」と判断されます。
クラウドサービス(Azure AD, Microsoft 365, Okta, Google Workspaceなど)では代表的な検知ルールの一つです。
3. 検知ポイント(ログ例つき)
3.1 認証ログ(Authentication Logs)
- 短時間に異なる国や地域からの成功ログイン
- 不審なIPレンジ(TOR出口ノード、クラウドホスティングIP)
- 通常利用していないデバイス・ブラウザ
例:Azure ADサインインログ
Time=2025-09-10T01:20Z
User=j.sato
Result=Success
IP=198.51.100.23 (Japan)
Device=Windows10
Time=2025-09-10T02:00Z
User=j.sato
Result=Success
IP=203.0.113.55 (USA, AWS EC2)
Device=Unknown Linux
3.2 SIEM/EDR相関
- 直前にフィッシングメール検知あり → そのユーザーの不審サインインを調査
- 多要素認証(MFA)のバイパスイベントや失敗ログの急増
- IAMの設定変更や、普段使わないリソース操作
4. 初動対応(SOCフロー)
- 確認・トリアージ
- Impossible Travel検知アラートを受けたら、ログイン元のIPとユーザー行動履歴を確認
- MFA利用の有無や、ユーザーがVPNを使っていないかをヒアリング
- 隔離
- 影響アカウントの強制サインアウト・パスワードリセット
- セッションCookieやアクセストークンを失効させる
- 調査
- 同じIPで他のアカウントが狙われていないか横展開調査
- ログイン後のアクティビティ(ファイルDL、メール転送ルール変更など)を確認
- 報告
- ユーザー本人に状況確認(本人利用か?出張・VPN利用か?)
- 必要なら関係部門(法務・情報システム)に報告
5. 長期的な対策
- MFAの徹底:管理者・リモート利用アカウントは必須
- ゼロトラスト導入:IPベースでなくリスクベースの認証評価
- パスワード管理:強制的な定期変更よりも流出検知(HaveIBeenPwned APIなど)との連携
- UEBA(User and Entity Behavior Analytics)活用:通常利用パターンからの逸脱を検知
- ログ監視の自動化(SOAR):Impossible Travel検知時に自動でアカウントロックやMFA再認証
6. まとめ
アカウント乗っ取りは「正規の認証情報を使った攻撃」であり、マルウェア検知やIPSだけでは止められない脅威です。SOCアナリストはImpossible Travelや不審ログインの検知ルールを活用し、行動分析で早期に異常を発見する必要があります。
初動では 「アカウントの強制サインアウト → パスワードリセット → MFA適用」 が基本。再発防止にはゼロトラスト認証基盤の導入や行動分析の活用が不可欠です。
コメント