ブルートフォース攻撃とボルトへの侵害
パスワードマネージャーのDashlaneは最近、多数のユーザーに対して緊急のセキュリティ通知を送付しました。この通知では、防御対策を強化するためにアカウントを一時的に無効化したと説明されています。具体的には、悪意ある攻撃者がこれらのボルトに対して継続的なブルートフォースログイン試行を実施しました。これを受けてDashlaneは、保存データを保護する目的でアクセスを停止しました。ただし、この防御措置は深刻な業務上の障害をもたらしました。正規ユーザーは現在、保存された認証情報・多要素認証トークン・暗号化パスキーをまったく取得できない状態に置かれています。
公式の発表によると、身元不明の攻撃者が既存のボルトを未認証デバイスへ登録しようと試みました。これらの悪意ある者はマスターパスワードや確認コードを正しく入力できず、繰り返し認証に失敗しました。そのためセキュリティシステムは、5月31日の午後を起点として一時的なアカウント停止措置を実施しました。影響を受けたユーザーは、アクセスを回復するためにカスタマーサポートへ連絡する必要があります。
攻撃者テレメトリの分析
その後の調査により、問題のIPアドレスはロシアと韓国を主な発信元としていることが判明しました。ただし、地理的な帰属は実質的にほとんど意味を持ちません。脅威アクターは通常、自らの出所を隠すために世界規模の大規模ボットネットを踏み台として利用するためです。
Dashlaneは最終的に攻撃に関する公式声明を発表し、制限されていたアカウントを復旧させました。残念ながら、攻撃者は約20件のプロファイルから暗号化されたボルトのコピーを窃取することに成功しました。ただし、盗まれたデータはマスターパスワードによって引き続き保護されています。
アカウント停止戦略への批判
被害を受けたアカウントを凍結するという判断は、今回の事件においてもっとも議論を呼んでいる点に間違いありません。ブルートフォースの連鎖を断ち切りたいという意図は理解できますが、正規ユーザーをロックアウトすることには強い批判が寄せられています。正当なユーザーは、正確な認証情報とリアルタイムの確認コードを入力しても、いらだたしいエラーメッセージに直面してしまっています。
一方で、クレデンシャルスタッフィングを無効化するための、より洗練された手法が業界には存在します。例えば、管理者はIPベースのレートリミットをローカルで実装することができます。5回連続した認証失敗の後にIPアドレスを制限するという手法は、優れた防御策となります。正規のユーザーが連続して何度も失敗することはほとんどないためです。この仕組みにより、ボットネットを撃退しつつ、正規ユーザーのシームレスなアクセスを維持することができます。
さらに、ネットワークエンジニアはアカウントをまたいだ認証速度を制限することもできます。単一のIPアドレスが複数の異なるアカウントを短時間で連続して狙う場合、ファイアウォールは即座にIPバンを発動すべきです。こうした高度な対策を実装することで、分散型ブルートフォース攻撃を容易に撃退することができます。何より重要なのは、これらの戦略がユーザーベースを遠ざけることなくインフラを保護できるという点です。
翻訳元: https://meterpreter.org/dashlane-brute-force-attack/
