目次
はじめに:アカウント乗っ取りが企業にとって見過ごせない理由
近年、企業のデジタルサービスを狙ったアカウント乗っ取り(ATO:Account Takeover)が深刻化しています。
これは単なる不正ログインではなく、顧客アカウントや業務アカウントを乗っ取り、情報窃取、不正注文、なりすまし、社内侵入の足がかりなどへつながる重大な脅威です。
ある調査では、過去1年間に83%の組織が少なくとも1回のアカウント乗っ取りを経験したとされています。
また、FBIは、レジデンシャルプロキシを利用したクレデンシャルスタッフィングによる被害が、2025年だけで2億6,200万ドル規模に達すると推定しています。
本記事では、攻撃者がどのように従来の防御をすり抜けているのか、なぜVPNやレジデンシャルプロキシが問題になるのか、そして企業がどのような対策を取るべきかを整理します。
アカウント乗っ取り(ATO)とは何か
アカウント乗っ取りとは、第三者が正規ユーザーのアカウントの制御を不正に奪う行為です。
認証情報、セッション情報、あるいはアカウント復旧の仕組みが悪用されることで発生し、個人向けアカウント、企業アカウント、特権アカウントのいずれも標的になり得ます。
ATOが厄介なのは、それ自体がゴールではなく、不正送金、個人情報の窃取、データ流出、横展開による侵害拡大など、より大きな被害の入口になりやすい点です。
- 金銭的な損失
不正決済、ポイント不正利用、返金詐欺、サポート対応コストの増加などが発生します。 - 情報漏えいのリスク
顧客情報や業務データが不正に閲覧・持ち出される可能性があります。 - ブランド毀損
アカウント乗っ取り被害は、利用者の信頼低下や離脱につながりやすくなります。 - 運用負荷の増大
調査、復旧、問い合わせ対応、再発防止策の実装など、現場の負担が大きくなります。
攻撃者が使う最新手口
現在のATOは、単発の不正アクセスではなく、認証情報の入手、認証の悪用、自動化、匿名化インフラの活用を組み合わせた一連のオペレーションとして実行されます。
個別の挙動だけを見ていると見逃しやすく、全体像で捉えることが重要です。
- 漏えい認証情報の悪用
過去の情報漏えいで流出したID・パスワードや、フィッシングで盗まれた認証情報が出発点になります。 - クレデンシャルスタッフィングとパスワードスプレー
大量の認証情報を複数サービスへ試す、あるいは少数の弱いパスワードを多数のアカウントへ試すことで、不正ログインの成功率を高めます。 - セッションハイジャックやMFA疲労攻撃
盗まれたCookieを使ってセッションを再利用したり、認証通知を繰り返して承認を誘発したりする手口も使われます。 - 自動化と匿名化インフラの活用
ボットによる大量試行を、VPN、レジデンシャルプロキシ、感染端末などに分散させることで、検知やレート制限を回避しやすくします。
つまり、現在のATOは「パスワードが漏れたから起きる」のではなく、漏えい情報と自動化と匿名化インフラが組み合わさって成立する攻撃として理解する必要があります。
なぜ従来のIPブロックでは防ぎにくいのか
従来の防御は、「怪しいIPを止める」「一定回数を超えたら遮断する」といった単純なルールに寄りがちでした。
しかし、攻撃者はVPNやレジデンシャルプロキシを使うことで、IPアドレスや地域を素早く切り替え、通常利用者の通信に紛れ込みます。
とくにレジデンシャルプロキシ(住宅用プロキシ)は、一般消費者向けISPのIPアドレスを経由するため、見た目が正規ユーザーの通信に近くなります。
そのため、単純にIP単位で遮断すると正規ユーザーまで巻き込みやすく、逆に閾値を緩めると攻撃を通してしまうというジレンマが生まれます。
そこで重要になるのが、IPアドレス単体ではなく、その背後にある文脈(コンテキスト)を評価することです。
たとえば、次のような情報を組み合わせることで、不審なアクセスをより高い精度で見極めやすくなります。
- そのIPがデータセンターやホスティング事業者に属していないか
- 既知のVPNサービスやトンネル情報が確認できないか
- 複数のプロキシ事業者と関連していないか
- IPの位置情報と、実際の利用集中地域にズレがないか
- 同一IPが複数のユーザーや複数国で再利用されていないか
- TORやプロキシ利用と整合する挙動履歴がないか
つまり、重要なのは「怪しいIPかどうか」ではなく、その通信がどのようなインフラを通じて、どのような使われ方をしているかを見ることです。
企業が取るべき5つの対策
ATO対策では、単にブロックを増やすのではなく、正規ユーザーへの不要な摩擦を抑えながら、攻撃だけを止める発想が重要です。
ここでは、企業が押さえておきたい5つの対策を整理します。
- 1. ネットワークの起源に文脈を加える
IPがVPN、レジデンシャルプロキシ、ホスティング事業者、既知の自動化インフラと関連していないかを把握し、通信の意味を見極めます。 - 2. 認証判断を強化する
VPNやプロキシ経由のログインを一律遮断するのではなく、追加認証やより強固なMFAを要求することで、防御と利便性の両立を図ります。 - 3. ログインパターンを検出する
高速なIP切り替え、複数アカウントへの同一IP利用、プロキシ色の強いインフラからの分散ログインなど、単一IP単位では見えない兆候を検知します。 - 4. 適応型レート制限を適用する
すべてのアクセスに同じ制限をかけるのではなく、リスクの高い接続元にだけ厳しい制御を動的に適用します。 - 5. アカウント復旧フローを保護する
パスワードリセットやサポート窓口は狙われやすいため、匿名化された不審な接続からの依頼には追加確認を求めるべきです。
大切なのは、VPNやプロキシを使っているという一点だけで排除するのではなく、複数のシグナルを組み合わせてリスクベースで判断することです。
事例紹介:匿名化インフラが関与した攻撃事例
匿名化インフラの悪用は、理論上の話ではありません。
実際に大きな影響をもたらした事例として、クレデンシャルスタッフィングにより多数のアカウントが侵害され、広範なデータ露出につながった事案が報告されています。
また、犯罪目的で使われたVPN/プロキシサービスが国際的に摘発された事例もあり、匿名化インフラがフィッシング、アカウント乗っ取り、ランサムウェアなどと密接に結びついていることが示されています。
こうした事例からわかるのは、VPNやプロキシが単なる補助ツールではなく、攻撃者の運用基盤そのものになっているという点です。
そのため、防御側もIPアドレス単体ではなく、背後のネットワーク文脈を捉える視点が欠かせません。
Spurで実現できること
当社で取り扱うSpurは、こうした高度なATO対策を支えるための高精度IPインテリジェンスを提供します。
単に「危険なIPかどうか」を判定するのではなく、VPN、レジデンシャルプロキシ、データセンター、トンネル情報、挙動シグナルなどをもとに、アクセス元IPを判断材料へ変換します。
- Observe
グローバルなネットワークトラフィックや匿名化インフラの挙動を継続的に把握します。 - Enrich
IPに対して、地理情報、ASN、トンネル情報、行動シグナルなどの文脈を付与します。 - Act
APIやデータフィードなどを通じて、認証、ボット対策、不正検知、セキュリティ運用に活用できます。
実際に、あるテクノロジー企業では、高精度IPインテリジェンスを活用することで、月あたり約200件の不正ログインを阻止し、真の脅威を見抜く精度を7倍に向上させたと報告されています。
アカウント乗っ取り対策や不正ログイン対策に課題を感じている場合は、IPの文脈を活用したリスク判断を検討する価値があります。
まとめ:不要な摩擦を増やさずATO対策を強化する
アカウント乗っ取りは、もはや「パスワード漏えいへの対処」だけでは防ぎきれない時代に入っています。
攻撃者は、VPN、レジデンシャルプロキシ、自動化ボット、セッション悪用などを組み合わせながら、従来の防御をすり抜けようとしています。
だからこそ企業には、IPアドレスの背後にあるインフラや利用文脈まで踏み込んで判断し、認証、監視、レート制限、アカウント復旧の各段階でリスクベースの対策を講じることが求められます。
正規ユーザーへの不要な摩擦を避けながら、攻撃だけを的確に止めることが、これからのATO対策ではますます重要になります。
当ブログでは今後も、セキュリティと実務運用の両面から役立つ情報を発信してまいります。
ぜひブックマークのうえ、最新記事をお見逃しなく!