認証情報リプレイ攻撃：知っておくべきことと防止策

認証情報リプレイ攻撃は、攻撃者が以前に取得したユーザー認証情報や傍受したデータ（認証トークンなど）を再利用して正規ユーザーになりすますことで発生します。パスワードを解読したり、ユーザーをだましてログイン情報を開示させたりするのではなく、攻撃者は以前のセッションで盗まれた、または傍受された有効な認証データをそのまま提示します。

このような攻撃は、有効なデータ送信を悪意を持って繰り返したり遅延させたりするセキュリティ侵害です。多くの場合、メッセージを傍受して再送信し、不正なデータを受信者に受け入れさせようとします。認証情報やトークンが本物であるため、システムはそのリプレイを有効なリクエストとして処理し、攻撃者は正規ユーザーであるかのようにシステムへアクセスできてしまいます。

認証情報リプレイ攻撃は、攻撃者がネットワークトラフィックから認証データを取得するところから始まる、予測可能な流れに沿って行われます。データの傍受はこの最初の段階でよく使われる手法で、パケットスニッファーなどのツールを使って機密情報を収集します。リプレイ攻撃の第一段階はデータの傍受であり、攻撃者はこれらのツールを使って機密データを含むネットワークトラフィックを取得します。取得されたデータは保存され、後で再送されることで正規ユーザーになりすまし、不正アクセスに利用されます。

攻撃は、ユーザー名、パスワード、認証トークンなどのログイン認証情報や静的な認証情報が悪意ある者の手に渡ることから始まります。

取得の方法はさまざまです。ユーザー名とパスワードの組み合わせが流出するデータ侵害、通信中の認証トークンや平文パスワードを盗み取るネットワーク傍受、ユーザーデバイスにインストールされ入力時に認証情報を収集するマルウェアなどがあります。

共通しているのは、攻撃者が暗号を破ったりパスワードを推測したりすることなく認証データを入手するという点です。攻撃者は容易に入手できるツールを使ってデータを傍受できるため、リプレイ攻撃は高度なハッキングスキルがなくても実行できます。

認証情報を手に入れると、攻撃者は重要または機密性の高いサービスへのアクセスを狙い、価値の高い標的を特定します。これには、管理パネル、金融プラットフォーム、顧客データベース、侵害されたアカウントが高い権限を持つアプリケーションなどが含まれます。攻撃者は正規ユーザーになりすますことでこれらのシステムへのアクセスを試み、不正侵入が金銭的利益、データ窃取、さらなるネットワーク侵入に直結する標的を優先します。

リプレイ自体は単純です。攻撃者は、取得した認証情報やトークンといったリプレイデータを、正規ユーザーが行うのとまったく同じように送信します。攻撃者がデータを取得した後の次のステップはそれを再送信することであり、これによりシステムをだましてアクセスを許可させたり、攻撃者の代わりに操作を実行させたりできます。

この段階では、攻撃者は認証データが有効であることを悪用し、データをシステムへ再送信します。リプレイされたデータは本物で改ざんされていないため、標的のシステムがそれを受け入れ、不審な点を検知しないままアクセスを許可してしまうことがあります。これを防ぐために、システムでは認証情報の有効期限、使い捨てコード、認証を特定のデバイスに結び付けるなどの追加対策が用いられます。

アクセスが許可されると、攻撃者は盗まれた認証情報やセッショントークンをリプレイまたは再利用して、正規ユーザーになりすますことができます。これにより、データの不正持ち出し、権限昇格、不正取引、接続されたシステム間での横方向の移動といった行為が可能になります。

こうした行為はシステムの整合性を損なう可能性があり、不正アクセスによってデータ改ざん、信頼性の低下、その他のセキュリティ問題が発生するおそれがあります。リプレイ攻撃はデータの完全性も侵害し、誤った情報や潜在的な金銭上の不一致を引き起こす可能性があります。認証が完全に通常どおりに見えるため、攻撃は検知されないことが少なくありません。

認証情報リプレイが関連する攻撃タイプとどう異なるのかを理解すると、防御戦略が複数の脅威ベクトルに対応しなければならない理由が明確になります。従来のサイバーセキュリティ対策はブルートフォース攻撃やクレデンシャルスタッフィングの検知・防止に重点を置くことが多い一方、認証情報リプレイのような最新の手法はこれらの対策を回避できる場合があります。たとえば「パス・ザ・ハッシュ」はリプレイ攻撃の一種で、攻撃者が取得したハッシュ化済みの認証情報を使用し、それを解読することなく認証して不正アクセスを可能にします。リプレイ攻撃には、セッションリプレイ攻撃、認証情報リプレイ攻撃、トランザクションリプレイ攻撃、コマンドリプレイ攻撃など、さまざまな形態があります。

クレデンシャルスタッフィングは、侵害された認証情報リストを多数のWebサイトで自動的に試す攻撃であり、ユーザーが複数のサービスでパスワードを使い回す傾向を悪用します。攻撃者はどの認証情報がどこで有効かを知っているわけではなく、大規模に試行しているのです。これに対して認証情報リプレイは、有効であることがわかっている認証情報を特定の標的に対して使用します。攻撃者は特定のシステムで機能する認証データをすでに持っており、何千もの組み合わせを試して成功を狙うのではなく、それを直接使用します。

認証情報リプレイ攻撃を検知するために、組織は繰り返されるデータパケットや通常と異なる認証試行など、不審なパターンがないかネットワークトラフィックを分析できます。ネットワークトラフィックを監視し、データパケットの異常を調べることで、通常のアクティビティと悪意ある認証情報リプレイの試行を区別しやすくなります。一見似ているように聞こえますが、クレデンシャルスタッフィングとリプレイ攻撃の違いを理解することは、組織が適切なデータ保護戦略を特定するうえで重要です。

パスワードスプレーでは、よく使われるパスワードを多数のアカウントに対して試し、少なくとも一部のユーザーが弱く予測しやすいパスワードを選んでいることに賭けます。この攻撃では、アカウントのロックアウトを引き起こさないよう、多数のアカウントに対して少数のパスワードを試します。対照的に、認証情報リプレイは何も推測しません。すでに盗まれた、または傍受された認証情報を使用するため、試行錯誤の要素が完全になくなります。

詳細を知りたい組織は、パスワードスプレー攻撃から保護する方法をご確認ください。

フィッシング攻撃は、通常、偽のログインページやソーシャルエンジニアリングを通じて、ユーザーをだまして自発的に認証情報を提供させます。フィッシングが認証情報を盗む行為だとすれば、認証情報リプレイはその後に起こることです。つまり、攻撃者は盗んだ認証情報を使用し、多くの場合アクセス トークンも使ってシステムにアクセスします。攻撃者はトークン窃取を行うことがあります。これは、セッション トークンやアクセス トークンを盗むことで従来のセキュリティ対策を回避できる手法であり、認証情報リプレイ攻撃の検出をより困難にします。フィッシングは取得手段であり、リプレイは悪用手法です。成功した侵害の多くにはフィッシングが関わっています

認証情報リプレイが成功した場合の影響は、最初の不正アクセスにとどまりません。このような侵害は、特にIoT環境において、安全上の危険、プライバシー侵害、ネットワークシステムへの重大な混乱を引き起こす可能性があります。実際、侵害の40%以上には盗まれた認証情報が関与しており、それらは認証情報リプレイ攻撃を通じて悪用される可能性があります。1回のリプレイ攻撃でも、不正アクセスから始まるため連鎖反応を引き起こす可能性があります。その結果、システムの機能不全、データ整合性の喪失、そして最終的にはユーザーの信頼低下につながります。

侵害されたアカウントは、攻撃者に保護されたシステムへの正規の侵入経路を与えます。いったん内部に入ると、機密データ、知的財産、顧客情報、社内コミュニケーションなどの機密情報にアクセスできます。流出範囲は侵害されたアカウントの権限によって異なりますが、低レベルのアクセスであっても、より深い攻撃に向けた偵察を可能にする場合があります。

財務面の影響は、不正取引、不正送金、または支払い情報の窃取として現れます。攻撃者は、ユーザーと銀行システムの間のリクエストを傍受して取引データを取得し、そのリクエストをリプレイして脆弱性を悪用し、金融詐欺を行います。

実例として、攻撃者がオンラインバンキングプラットフォームの取引リクエストを取得してリプレイし、被害者のアカウントから不正送金が行われるケースがあります。運用面の損害には、インシデント対応中のシステム停止、生産性の低下、調査、修復、通知にかかる多大なコストが含まれます。認証管理が不十分なために侵害が発生した場合、多くの組織は規制当局からの罰金にも直面します。

定量化するのが最も難しい一方で同じくらい大きな損害となるのが、成功した攻撃による顧客の信頼とブランド評価の低下です。正規ユーザーが、自分のアカウントが侵害された、またはデータが権限のない第三者にアクセスされたことを知ると、その組織のセキュリティ対策への信頼は低下します。多くの場合、システムレポートによってこうした侵害が明らかになり、組織は対応し、影響を受けたユーザーに通知することになります。信頼の回復には多くの時間と労力が必要であり、一部の顧客は二度と戻らない可能性もあります。

認証情報リプレイ攻撃が特に成功しやすいのは、いくつかの要因が重なっているためです。

複数のサービスで認証情報を使い回すと、盗まれた認証情報の価値が高まります。メール、銀行、業務システムで同じパスワードを使っているユーザーは、1回の侵害で複数の領域への鍵を攻撃者に渡してしまうことになります。流出済みの認証情報は膨大で、大規模な侵害で漏えいした数十億件の認証情報が犯罪マーケットプレイスに出回っており、攻撃者が材料に困ることはありません。

認証情報リプレイ攻撃は、見慣れた認証情報やデバイスの挙動に対する信頼を悪用するため、検出が困難です。その結果、これらの攻撃は、データ整合性、プライバシー、ネットワークの安定性を損なうサイバー脅威の代表例となっています。

検出にも別の課題があります。攻撃者が有効な認証情報を使用すると、そのログイン試行は正規の認証と同じように見えます。位置情報分析、デバイスフィンガープリンティング、行動分析のような追加のコンテキストがなければ、本物のユーザーと偽装者を区別することはほぼ不可能です。多くのシステムには、こうした高度な検出機能がありません。

組織は、Bitwarden データ侵害レポートを使って自社の流出状況を分析できます。

実際のシナリオは、認証情報リプレイ攻撃がさまざまな環境でどのように発生するかを示しています。たとえば、リモートキーレスエントリーシステムを搭載した古い車両は、リプレイ攻撃に対して脆弱な場合があります。攻撃者はキーフォブからの信号を傍受し、それを再利用して物理的なキーなしで車のロックを解除し、始動できます。同様に、消費者向けIoTデバイスのかなりの部分はリプレイ攻撃を受けやすく、攻撃者が正規のコマンドを模倣して不正アクセスや制御を行える可能性があります。強固なIoTセキュリティ習慣を実践することは、こうした接続されたエコシステムを保護するための重要な第一歩です。

Webアプリケーションセキュリティでは、セッションハイジャックが一般的な脅威であり、ハッカーがセッションCookieを悪用してユーザーになりすまします。これにより、Eコマースや銀行プラットフォームで不正操作やデータ窃取が発生する可能性があります。Bitwardenは、パスワードマネージャーが、ユーザーが検証済みの正規ドメインとのみやり取りするようにすることで、フィッシングや同様のセッションベースの攻撃を防ぐのにどのように役立つかを説明しています。

企業の給与計算システムや支払いシステムは、攻撃者にとって魅力的な標的です。財務部門の認証情報を入手した攻撃者は、不正送金を開始したり、支払い経路を変更したりできます。認証情報リプレイ攻撃を防ぐには、1回限りの取引コードとリクエストへのタイムスタンプ付与が不可欠です。これらの手法は、多くの場合、Bitwarden の統合認証アプリ（TOTP）を通じて管理され、リプレイされたデータの検出と拒否に役立ち、取引の整合性とセッションのセキュリティを確保します。

さらに、イベントログは、予期しない場所やデバイスからのログインなど、リプレイ攻撃を示す可能性のある異常の監視にも使用できます。使用された認証情報は技術的には正当なものであるため、取引は承認済みのように見え、照合で不一致が判明するまで検出が遅れる可能性があります。その時点では、資金が複数のアカウントを経由して移動している可能性があり、回収が複雑になります。

クラウドベースの管理コンソールは、攻撃者に強力な機能をもたらします。侵害された管理者認証情報により、システムの設定、新規アカウントの作成、権限の変更、データの抽出が可能になります。SaaS環境では、1つの管理者アカウントで、そのプラットフォームの組織全体での利用状況を可視化・制御できるため、これらの認証情報は特に価値が高くなります。

認証情報リプレイ攻撃を防ぐには、IDおよびアクセス管理（IAM）のベストプラクティスに従うことが重要です。たとえば、有効期間の短いセッショントークンを実装し、機密性の高い操作では再認証（マスターパスワードの再入力要求）を必須にするなどです。

安全でないネットワーク上で取得されたセッショントークンにより、攻撃者は基盤となるパスワードを入手しなくても、アクティブなセッションを乗っ取ることができます。ユーザーが暗号化されていない接続や侵害されたWi-Fiネットワーク経由でシステムにアクセスすると、認証トークンや暗号化データが傍受される可能性があります。

セッションキーが脆弱、再利用されている、または適切に管理されていない場合、攻撃者はそれを悪用して暗号化データを取得・リプレイし、セッションの完全性と機密性を損なう可能性があります。高セキュリティ環境では、FIDO2/WebAuthnセキュリティキーを使用することで、認証が特定のハードウェアとドメインに紐づくため、トークンのリプレイやフィッシングに事実上耐性のある暗号学的防御を実現できます。従来型トークンの限界をさらに理解するために、Bitwardenは、フィッシング耐性のある方法が現代のセッションセキュリティに不可欠である理由についての知見を提供しています。

リプレイ攻撃を防ぐには、認証情報が侵害される可能性と、取得された認証情報が悪用される可能性の両方に対処する包括的なセキュリティ対策を実装する必要があります。主なセキュリティ対策には、nonce（ナンス）値（各認証要求が新しいものであり、攻撃者に再利用されないようにする、一意の使い捨て数値）の使用が含まれます。この概念の現代的な実装例として、短時間で期限切れになる一意のコードを生成する時刻ベースのワンタイムパスワード（TOTP）があります。

CHAPのような認証プロトコルでは、チャレンジレスポンス方式でクライアントのパスワードなどの共有シークレットを利用します。同様に、BitwardenはSecure Remote Password（SRP）プロトコルを使用して、実際のマスターパスワードをネットワーク上に送信することなく認証を行い、一般的な傍受やリプレイの脅威の多くを効果的に無力化します。

強力な暗号化は送信中のデータを保護するうえで不可欠ですが、ネットワークトラフィックを監視・フィルタリングして、繰り返し行われる送信や疑わしい送信をブロックするファイアウォールやプロキシサーバーなどの追加対策と組み合わせる必要があります。Bitwardenのゼロ知識セキュリティモデルにより、暗号化データが傍受された場合でも、ユーザー固有の暗号化キーがなければ読み取れない状態が保たれます。これらの技術的保護策に加え、アドホックネットワークでの安全なルーティングプロトコルによってセキュリティを強化することで、ネットワーク性能を維持しながらリプレイ攻撃を防ぐことができます。

一意のパスワードは侵害による被害を抑えます。複数のシステムで同じパスワードを使うなど、静的な認証情報を使用すると、認証情報リプレイ攻撃に対する脆弱性が高まります。平文パスワード、つまり暗号化されずに送信または保存される認証情報を使用すると、攻撃者による傍受や悪用のリスクがさらに高まります。

あるシステムの認証情報が流出済みになっても、別のパスワードを使用している他のシステムに対しては役に立ちません。Bitwarden Generatorなどのパスワード生成ツールは、推測やクラッキングの試みに耐える強力で一意の認証情報の作成を支援し、ポリシーの適用によって組織全体で基準が維持されます。

組織が企業内で認証情報を効果的に管理することを目指すなら、パスワード生成ツールを活用すべきです。

アクティブな監視により、認証情報が侵害データベースに出現した場合や、ユーザーが複数のシステムで同じパスワードを使用している場合を検出できます。環境内におとりの認証情報を配置することも、認証情報リプレイ攻撃を検出・妨害するためのもう一つの先制的な戦略です。これらのおとりの使用が試みられると、リアルタイムのアラートをトリガーし、SOCの対応を強化できます。保管庫の健全性レポートでパスワードの健全性を測定することで、認証情報の強度や再利用パターンを可視化し、攻撃者が弱点を悪用する前に先回りして修正できます。侵害された認証情報を早期に検出することで、組織はリプレイ攻撃が発生する前にリセットを強制できます。

侵害が検出された場合、認証情報を迅速にロテートすることで、攻撃者が盗まれたデータを悪用できる時間を短縮できます。自動ロテーション機能と明確なインシデント対応手順により、影響を受けたすべてのシステムで認証情報を迅速に更新できます。ロテーションが速いほど、取得された認証情報の有用性は低くなります。

多要素認証は、リプレイ攻撃が容易に回避できない層を追加します。認証プロセスを保護することは極めて重要であり、全体的な通信プロセスにセキュリティ対策を組み込むことで、リスクをさらに低減できます。時刻ベースのワンタイムパスワード（TOTP）、ハードウェアトークン、特にパスキーやWebAuthnのようなフィッシング耐性のある方法は、攻撃者にとってのハードルを大幅に引き上げます。

有効な認証情報を持っていても、システムが攻撃者の所有していない認証要素を要求する場合、攻撃者は対応に苦労します。公開鍵暗号に基づくパスキーは、本質的にフィッシング攻撃とリプレイ攻撃の両方に耐性があります。秘密鍵がユーザーのデバイスから外に出ないためです。

組織のポリシーは、個々のユーザーが自力では維持できない可能性のある基本的なセキュリティ基準を徹底します。多要素認証の必須化、パスワードの最小複雑性、パスワードマネージャーの使用義務、定期的なセキュリティトレーニングはいずれも、認証情報のセキュリティ強化に貢献します。一元的なポリシー管理により、部門やシステムを問わず一貫した適用が可能になります。

プロトコルレベルの技術的制御により、防御の厚みを増すことができます。短命の認証トークンはすぐに期限切れとなり、リプレイ可能な時間枠を制限します。暗号学的ノンスは各認証を一意にすることで、トークンの再利用を防ぎます。データ送信の保護は極めて重要です。Transport Layer Security（TLS）とIPsecは、認証情報やその他の送信データを転送中に暗号化し、傍受やリプレイ攻撃から保護します。トークンバインディングは、トークンを特定のデバイスに暗号学的に結び付け、他の場所での使用を防ぎます。

すべての認証情報リプレイ攻撃を防げる単一の制御策はありません。効果的な防御には、各層が他の層の潜在的な弱点を補う多層的な保護が必要です。SOCチームとSOCアナリストは、これらの層を協調した全社的防御として運用に落とし込むことで、認証情報リプレイ攻撃への防御において重要な役割を果たします。

SOCチームは、IAM、UEBA、ブラウザレベルのツールからアラートを取り込み、認証制御が協調した防御の一部として機能するようにして、防御を運用化します。検知だけでは認証情報リプレイは止められません。SOCチームは、精度の高いシグナルを運用ワークフローへ変換する必要があります。SOCチームが可視性を運用化し、認証情報リプレイ攻撃に効果的に対応するには、ツールの統合が必要です。ブラウザレベルのテレメトリとおとりの認証情報を活用することで、SOCアナリストは異常を相関分析し、リプレイの試みに対する対応を自動化できます。これにより滞留時間を短縮し、アラートを認証情報リプレイ攻撃に対する拡張性のある全社的防御へと変換できます。

認証情報に関する実践は土台となり、盗まれた認証情報が複数のシステムで機能する可能性を下げます。

監視により、認証情報の侵害や再利用パターンを可視化でき、先手を打った対応が可能になります。多要素認証は、リプレイされた認証情報だけではアクセスできないようにする障壁を追加します。定期的なロテートにより、侵害された認証情報の有効期間を制限します。パスキーのようなリプレイ耐性のある認証プロトコルは、トークンの再利用を技術的に不可能にします。

各層は、攻撃の異なる段階や障害モードに対処します。認証情報の扱いが甘くなり、パスワードが盗まれた場合でも、監視によって侵害を検知できます。監視が何かを見逃した場合でも、多要素認証が不正アクセスをブロックします。人的要因によってこれらの制御が損なわれても、プロトコルレベルの保護が攻撃者には回避できない技術的制約を適用します。この冗長性により、単一障害点が防御全体を損なうことを防ぎます。

認証情報リプレイ攻撃が成功するのは、認証情報管理と認証の実践における根本的な弱点を突くためです。攻撃自体は高度ではありませんが、強固な認証情報の習慣、包括的な監視、最新の認証フレームワークを備えていない組織には効果的です。

防止には体系的なアプローチが必要です。すべてのシステムで一意のパスワードを使用すること、侵害された認証情報を能動的に監視すること、侵害後に迅速にロテートすること、すべてのアクセスポイントで多要素認証を導入すること、そしてリプレイ耐性のある認証方式を採用することです。

これらの実践を導入する組織は、認証情報リプレイ攻撃へのエクスポージャーを大幅に低減できます。

Bitwardenは、これらの防御を大規模に実装するために必要なプラットフォームを提供します。パスワード生成、侵害監視、保管庫の健全性レポート、ポリシー適用機能を備え、認証情報管理を脆弱性から防御上の強みに変えます。強固な認証情報の実践は、それを優先事項にする準備がある組織にとって実現可能です。詳しくは、Bitwardenの料金ページを確認して、ニーズに合ったプランを見つけることができます。

認証情報リプレイ攻撃は、攻撃者が以前に取得したログイン認証情報や認証トークンを再利用して、システムへの不正アクセスを得るときに発生します。攻撃者は、データ侵害、ネットワーク傍受、マルウェアを通じて有効な認証情報を取得し、それを「リプレイ」して正規ユーザーになりすまします。認証情報は本物であるため、システムはそれを有効なものとして受け入れ、攻撃者はパスワードを解読したり暗号化を回避したりせずに、アカウントやデータにアクセスできます。

認証情報リプレイ攻撃は、特定の標的に対して有効であることが分かっている認証情報を使用します。一方、クレデンシャルスタッフィングは、侵害された認証情報リストを多数のWebサイトで自動的に試す手法です。リプレイ攻撃では、攻撃者はどの認証情報がどのシステムで機能するかをすでに把握しています。クレデンシャルスタッフィングは量に基づくアプローチです。攻撃者は、パスワードの使い回しによって一部が成功することを期待して、数千ものユーザー名とパスワードの組み合わせを試します。

多要素認証（MFA）は、取得された認証情報に加えて追加の認証要素を要求することで、認証情報リプレイ攻撃の成功を大幅に減らします。時間ベースのワンタイムパスワード（TOTP）、ハードウェアトークン、パスキーのようなフィッシング耐性のある方式は、攻撃者が第2要素をリプレイできないため、強力な保護を提供します。ただし、MFAの有効性は実装に依存します。セッショントークンは、有効期限を短くし、デバイスにバインドすることで適切に保護されていない場合、依然として脆弱になる可能性があります。

攻撃者は、ユーザー名とパスワードの組み合わせを流出させるデータ侵害、パケットスニファーを使用して転送中の認証トークンを取得するネットワーク傍受、入力時に認証情報を収集するユーザーデバイス上のマルウェア、保護されていないWi-Fiネットワークでのセッションハイジャックを通じて認証情報を取得します。攻撃者は、暗号化されていない接続で送信される平文のパスワードや、適切なTLS保護なしで送信される認証トークンを狙うことがよくあります。

組織は侵害された認証情報を直ちにロテートすべきです。数日後ではなく、検知から数時間以内に行うべきです。迅速な認証情報のロテートにより、攻撃者が盗まれたデータを悪用できる時間枠を縮小できます。スピードを確保するには、自動ロテート機能と明確なインシデント対応手順が不可欠です。影響を受けるすべてのシステムで認証情報を早く更新するほど、攻撃者がリプレイ攻撃を成功させる機会は少なくなります。

Bitwardenのようなパスワードマネージャーは、認証情報リプレイ攻撃を防ぎます。すべてのシステムで一意のパスワードを徹底し、侵害の影響を限定するためです。あるシステムの認証情報が侵害されても、他のシステムに対してリプレイすることはできません。パスワードマネージャーは、攻撃者が悪用する前に侵害された認証情報を特定する侵害監視も提供し、保管庫の健全性レポートによって、リプレイ攻撃のリスクを高める認証情報の使い回しパターンを明らかにします。

組織は、通常とは異なるパターンを特定する行動分析を通じて、認証情報リプレイ攻撃を検知します。たとえば、予期しない地域からのログイン、インポッシブルトラベルのシナリオ（短時間のうちに遠く離れた場所からシステムにアクセスすること）、通常の業務時間外の異常なアクセス時間、確立されたユーザー行動からの逸脱などです。セキュリティ運用チームは、User and Entity Behavior Analytics（UEBA）ツールを使用し、異なるデバイスや場所からの同時セッションなど、認証情報のリプレイを示唆する異常がないか認証ログを監視します。