ペット用品小売会社のPetSmartは、最近発生したクレデンシャルスタッフィング攻撃について顧客に警告するメールを送信した。クレデンシャルスタッフィング攻撃は、パスワードの再利用に依存している。例えば、サイトAのユーザーが同じメールアドレスとパスワードを使用してサイトBにログインする。サイトAが侵害され、そのログイン情報が露呈すると、サイトAの認証情報にアクセスできる人々が自動化を通じてサイトBでそれらを試し、ユーザーのアカウントにアクセスすることがある。PetSmartは、攻撃に対処する方法として顧客に警告することで良い例を示した。
PetSmartからのメールによると、petsmart.comや同社のシステムが侵害された兆候はないが、petsmart.comでのパスワード推測攻撃の増加がセキュリティツールによって検出され、この期間中に顧客のアカウントがログインされたことがある。ログインが有効であった可能性があるが、顧客に知らせることが重要であると判断された。アカウントと顧客を保護するため、petsmart.comでのパスワードが無効化され、次回petsmart.comを訪問する際には「パスワードを忘れた」リンクをクリックしてパスワードをリセットするよう案内されている。インターネット全体で、詐欺師がユーザー名とパスワードを取得し、様々なウェブサイトで試みることが常に行われているため、重要なアカウントごとに強力なパスワードを使用することが推奨されている。
また、Malwarebytesは、攻撃者が顧客のメールアドレスとパスワードを知っていた場合、それは以前のデータ侵害の結果で見つかった可能性があると述べている。Malwarebytesは、オンラインで露出している自分のデータの量を調べるための無料のDigital Footprint scanツールを提供している。
【ニュース解説】
ペット用品小売大手のPetSmartが、顧客に対してクレデンシャルスタッフィング攻撃に警告するメールを送信したことが話題となっています。クレデンシャルスタッフィング攻撃とは、既に漏洩したログイン情報(メールアドレスとパスワード)を使って、他のサービスに不正アクセスを試みる手法です。この攻撃は、多くのユーザーが異なるサービスで同じログイン情報を使用していることを悪用します。
PetSmartは、自社のウェブサイトやシステムが直接侵害されたわけではないが、petsmart.comでパスワード推測攻撃が増加していることを検出し、その結果、一部の顧客アカウントがログインされた可能性があると報告しています。このような状況を受け、PetSmartは顧客のアカウント保護のため、該当するアカウントのパスワードを無効化し、パスワードのリセットを促しています。
この事件は、インターネット上での個人情報の安全性に対する重要な警鐘を鳴らしています。特に、異なるサービスで同じパスワードを使用するリスクと、強力なパスワードの使用の重要性を改めて浮き彫りにしています。また、Malwarebytesが提供するDigital Footprint scanツールのようなサービスを利用して、自分の個人情報がどの程度オンラインで露出しているかを確認することも、個人情報保護のための有効な手段の一つです。
この事件から学べる教訓は、セキュリティ対策の基本である「異なるサービスには異なるパスワードを使用する」ことの重要性です。また、パスワードマネージャーの使用や二要素認証の導入など、さらなるセキュリティ対策を講じることが推奨されます。このような攻撃は、個人ユーザーだけでなく、企業にとっても深刻な脅威となり得るため、常に警戒し、最新のセキュリティ対策を維持することが重要です。
from PetSmart warns customers of credential stuffing attack.
