誰もが家族にまつわるサイバーセキュリティの話を持っています。ここでは比較的一般的なものを紹介します。会話は通常こんな感じです:
“私のストリーミングアカウントで奇妙なことが起こったの。アカウントにロックアウトされて、パスワードを変更しなきゃいけなかった。再ログインしたら、すべての番組が消えていて、全部スペイン語になっていて、見たこともないスペインの番組がたくさんあったの。変じゃない?”
これは顧客アカウントに対するアカウント乗っ取り攻撃の一例です。通常、ストリーミングアカウントが弱いパスワードや使い回しのパスワードのために侵害され、アクセスが「生涯ストリーミングサービスアカウント – $4 USD」といった形で一般的なデジタルブラックマーケット商品として再販されます。
全体的に見れば、これはほとんどの顧客にとって比較的軽微な不便です。より強力なパスワードで資格情報をリセットし、銀行に連絡して新しいクレジットカードを発行してもらえば、すぐにThe Crownを一気見することができます。
しかし、世界中の人気のあるウェブアプリケーションで毎日何千回も同様の事件が発生したらどうなるでしょうか?
Flareの最近のレポート、アカウントとセッション乗っ取り経済は、この問題がどれほど広範で費用がかかるようになったかを明らかにしています。eコマース、ゲーム、生産性向上SaaS、ストリーミングなどの産業が特に大きな打撃を受けており、それぞれ月に100,000以上の新たに露出したアカウントを見ています。
レポートは、5百万から3億のユーザーを持つプラットフォームの中で、アカウント乗っ取りの露出率の中央値が1.4%であることを発見しました。特に懸念されるのは、セッションハイジャックの増加です。これは、攻撃者が情報窃取マルウェアを通じてセッションクッキーを盗むことで、多要素認証(MFA)を回避する手法です。
ストリーミングの例に戻ると、攻撃者はパスワードを使ってログインする必要すらなかった可能性があります。アクティブなセッショントークンを手に入れた彼らは、アンチディテクトツールを使用してブラウザに注入し、完全なアクセスを得たのです—アラートやMFAチャレンジを引き起こすことなく。
何百万ものユーザーを持つ主要なエンターテインメントやeコマースプラットフォーム—Netflix、Epic Games、Wayfair—は、いつでも数千の顧客アカウントが乗っ取りに脆弱であると保守的に予想できます。
 |
| 平均新規露出アカウント(毎月) – Flareのアカウントとセッション乗っ取り経済レポートからのスケールビュー |
ATOの本当のコストは何か#
ATOの経済的影響を完全に定量化するのは難しいですが、Flareのレポートはそれを労働、詐欺、顧客離れの3つの主要カテゴリに分けています。
先ほどのストリーミングの例を再考してみましょう。一部のユーザーは、運が悪かったと考えて次のStranger Thingsのシーズンを待つかもしれません。しかし、他のユーザーは、パスワードをリセットしたり、クレジットカードの問題に対処したり、単に信頼が裏切られたと感じたりして、イライラして解約するかもしれません。詐欺防止会社Siftの2023年のレポートによると、73%のユーザーが、ユーザーではなくブランドがATOを防ぐ責任があると考えています。
この記事では、グローバルエンターテインメントにおける文化的な重要性からストリーミングを例に挙げていますが、そのセキュリティ体制、侵害履歴、ビジネス慣行については何も仮定していません。
潜在的なビジネスへの影響を理解するために、架空のエンターテインメントストリーミングサービスを考えてみましょう。もし1億人の有料顧客がいて、年間120ドルを支払っているとしたら…
- アカウントの0.5%が乗っ取られた場合—中央値の露出率の約3分の1—それは50万人のユーザーが影響を受けることになります。
- そのうちの20%のユーザーが離れると、会社は年間1200万ドルの収入を失うことになります。
- 最悪のシナリオでは、73%が離れると、損失は4400万ドルに膨らみます。
これは非常に大まかな「ナプキンの裏の」計算ですが、ATOに関連する財務リスクを定量化するための出発点を提供します。
これはあくまで離脱リスクです。詐欺に関連する損失は全く別の議論です!これを、何百万もの日常ユーザーを持つ何百ものウェブアプリケーションにわたって拡張して考えてみてください。
 |
| 業界別のATOと詐欺メカニズムのコスト |
ATO防止のための推奨事項#
1. 情報窃取エコシステムを監視する#
ランサムウェアが注目を集める一方で、情報窃取マルウェアは資格情報に基づく攻撃の大部分を支えています。Flareのデータによると、盗まれた資格情報やセッションクッキーに関与する露出が前年比で26%増加しています。
Verizonの2025年データ侵害調査レポート(DBIR)によると、基本的なウェブアプリ攻撃の88%が盗まれた資格情報を含んでおり、情報窃取者が現代のアカウント乗っ取り操作の中心であることを示しています。
2. 露出したアカウントを検出し修正する#
組織は、リアルタイムの情報窃取インテリジェンスをアイデンティティとアクセス管理システムと組み合わせることで、ATOリスクを大幅に削減できます。これにより、特に有効なセッションクッキーを持ち、認証を完全に回避できる攻撃者によって侵害されたアカウントの検出と修正が可能になります。
プロアクティブな監視と自動修正により、顧客体験や収益指標に影響を与える前にアカウントの悪用を防止できます。
3. セキュリティ優先のアプローチを伝える#
強制的なパスワードリセットのような摩擦を導入することは、顧客体験にとってリスクがあるように感じるかもしれません。しかし、ほとんどのユーザーは、企業がデータを保護するだけでなく、問題を伝えることを期待しています。
Siftのレポートによると、ATOの被害者のうち、アカウントが侵害されたことを会社から通知されたのは43%に過ぎません。この詐欺を経験したが通知されなかった顧客は、会社がアカウント乗っ取りに気付いていないか、助けるための手段を持っていないと感じるかもしれません。
これらの措置の目的を明確に伝えることで、組織はプロアクティブなセキュリティを付加価値機能として再定義できます。ATOリスクに関する透明性は、時間とともに顧客がより安全で忠実であると感じるのに役立ちます。
著者について: Nick Ascoliは、Flareのプロダクト戦略ディレクターであり、データ漏洩、偵察、検出エンジニアリングにおける専門知識で認識されている経験豊富な脅威研究者です。Nickは、オープンソースプロジェクトへの貢献、ポッドキャスト(Cyberwire、Simply Cyberなど)への定期的な出演、会議(GrrCON、B-Sides、DEFCON Villages、SANSなど)での講演を通じて、サイバーセキュリティコミュニティの積極的なメンバーです。