IDベースの攻撃は、今日の組織が直面する最も重大な脅威の1つとなっている。 IBMのX-Force脅威インテリジェンス・チームによると、サイバー犯罪者は、企業システムを侵害するために、技術的なハッキングではなく、盗まれたIDに頼ることが多くなっているという。
しかし、どのような攻撃に注意する必要があるのでしょうか?また、どのようにして従業員を被害から守ることができるのでしょうか。
IDベースの攻撃で攻撃者が採用する手口と、リスクを軽減するために組織が多層的なアプローチを採用する方法を探ります。
IDベース攻撃の増加
IDベースの攻撃は増加の一途をたどっています。CrowdStrikeの報告によると、攻撃の80%にIDおよび漏洩した認証情報が関与しています。また、IBMのレポートによると、ID関連の攻撃は今や世界のサイバー犯罪に影響を与える最大のベクトルとなっており、毎年71%増加している。
このような統計から、ID ベースの攻撃が組織にもたらす問題が大きくなっていることは容易に理解できる。
IDベース攻撃の種類
サイバー犯罪者は1種類の攻撃だけに頼るのではなく、有効な手口を見つけるまで数多くの手口を試します。一般的な ID ベース攻撃の種類には、次のようなものがあります:
広範なフィッシング・キャンペーン
IDベースのパスワード攻撃の最も一般的なタイプの1つである広範なフィッシング攻撃は、サイバー犯罪者が電子メールアドレスの大規模なリストを取得する場合です。そして、ユーザーを偽のログインページに誘導するなど、特定の行動を促す一般的なフィッシング・メッセージを作成し、送信します。
少なくとも数人の受信者がこの詐欺に引っかかり、偽のウェブサイトにアクセスして認証情報を入力することで、攻撃者が機密データへのアクセスに使用できる正当なユーザー名とパスワードにアクセスできるようになることを狙います。
スピアフィッシング・キャンペーン
スピアフィッシング・キャンペーンは、大規模なグループではなく、特定の個人をターゲットにすることで、広範なフィッシングとは異なります。攻撃者は慎重に標的を選び、ソーシャルメディアやウェブ上の情報源から被害者の個人情報を収集します。
その後、受信者がフィッシングに引っかかる可能性を高めるために、特定の詳細(受信者が最近参加したカンファレンスについて言及するなど)を参照する、高度にパーソナライズされたメッセージを作成します。
攻撃者は、偽のログインページにアクセスしたり、マルウェアのリンクをクリックするなど、被害者を騙して特定の行動を取らせ、認証情報を盗んだり、さらなる攻撃のためにマルウェアをインストールさせたりすることを目的としています。
クレデンシャル・スタッフィング
人は習慣の生き物であり、多くのユーザーは複数のアカウントで同じパスワードを再利用しています。マイクロソフトが資金を提供したある調査によると、73%の人が個人用と仕事用のアカウントでパスワードを重複させていることが判明しています。
クレデンシャル・スタッフィング攻撃はこの状況を利用し、過去のウェブサイト侵害やパスワード廃棄サイトからクレデンシャルを入手し、自動化ツールを使って様々なウェブサイトでこれらのクレデンシャルをテストします。
パスワードの散布
私たちは、文字、数字、記号のランダムな組み合わせではなく、覚えやすいパスワードを望んでいます。攻撃者はこれを悪用し、標的ドメインの複雑さポリシーに合致する、よく使われるパスワードの小さなリストを使ったパスワード・スプレー攻撃を展開します。
攻撃者は、1人のユーザーに対して複数のパスワードを試す代わりに、多くの異なるアカウントで同じ共通パスワードを使用し、検知を回避します。
パスザハッシュのテクニック
パスザハッシュ攻撃は企業で一般的になりつつあり、One Identityの報告によると、ある調査では回答者の95%がパスザハッシュ攻撃によってビジネスに直接的な影響を受けた経験があるという。パスザハッシュ攻撃では、攻撃者は侵害されたシステムからユーザのパスワードのハッシュ化された バージョンを取得する。
その後、攻撃者はこのハッシュを使用して、実際のパスワードをクラックすることなく他のシステムで認証を行います。
この手法により、攻撃者はネットワーク内を横方向に移動し、機密データにアクセスすることができる。
中間者(MitM)攻撃
MitM攻撃では、攻撃者は正規のWi-Fiアクセス・ポイントを模倣してネットワーク接続を傍受します。その後、エンドユーザーが悪意のあるアクセス・ポイントに接続すると、攻撃者はログイン認証情報を含むユーザーの入力をすべて監視することができます。
攻撃が成功すると、攻撃者は被害者のアカウントに認証するための認証情報やセッショントークンを盗み出し、機密データへのアクセスやさらなる攻撃を実行することができます。
セキュリティへの多層的アプローチ
アイデンティティが新たなセキュリティ境界線となる中、組織がアカウントとパスワードのセキュリティを優先することは極めて重要です。実際、Verizon 2023 Data Breach Investigations Reportによると、全侵害の50%は盗まれた、または脆弱な認証情報から始まっている。
IDベースの攻撃のリスクを軽減するために、組織はセキュリティに多層的なアプローチを採用する必要がある。これには以下が含まれる:
強固なパスワード・ポリシーの導入:強力なパスワード・ポリシーの導入:強力なパスワード・ポリシーは、エンド・ユーザーが推測されやすい弱いパスワードを使用しないようにするために不可欠です。Specopsパスワードポリシーのようなパスワードポリシーソフトウェアを導入することで、強力なパスワード要件を実施し、弱いパスワードの使用を防ぐことができます。
さらに、Specops Password Policyは、40億以上のユニークな既知の漏洩パスワードのデータベースとActive Directoryを継続的にスキャンします。漏洩したパスワードを使用していることが判明したユーザーには、直ちに通知され、パスワードを変更するよう求められます。
Active Directoryの定期的な監査アカウントの安全性を確保するため、Active Directoryを定期的に監査し、脆弱なパスワードや漏洩したパスワードを確認する必要があります。さらに、ハッカーが悪用する可能性のある古くなったアカウントやアクティブでないアカウントを積極的に特定し、削除する必要があります。
脆弱性を特定し、適切な対策を講じるために、監査を検討しましょう。例えば、Specops Password Auditorは、Active Directoryのパスワード関連の脆弱性をスキャンする無料の読み取り専用ツールで、組織のパスワード関連のリスクをわかりやすく表示します。
多要素認証の導入エンドユーザーがアプリ全体で多要素認証を設定していることを確認します。MFAは、ユーザー名とパスワードに加えて、登録した携帯電話に送信されるワンタイムパスワードや生体データなど、第2の認証手段をユーザーに要求することで、セキュリティのレイヤーを追加します。
ソーシャル・エンジニアリングからの保護組織のサービスデスクは、ハッカーにとって非常に魅力的なターゲットです。何しろ、サービスデスクで電話に出たり電子メールに対応したりするITチームメンバーは、パスワードリセットのゲートキーパーなのですから。そして、もし攻撃者がサービスデスクに対してソーシャルエンジニアリング攻撃を効果的に行うことができれば、不正アクセスを受けて大惨事を引き起こす可能性があります。
ハッカーが同社のサービスデスクを騙してアクセスを提供させた後、広範囲に障害が発生し、数日間のダウンタイムと数百万ドルの損害が発生したMGMリゾーツ社に尋ねてみてほしい。
自動化されたソリューションは、組織のサービスデスクに対する攻撃に対するもう1つの防御レイヤーを提供するのに役立ちます。たとえば、Specops Secure Service Deskは、サービスデスクのスタッフがユーザーの身元を確認し、ソーシャルエンジニアリングの脆弱性を軽減するのに役立ちます。
進化する脅威への警戒を怠らない
組織は、IDベースの攻撃から保護するために警戒を怠らない必要があります。組織のリスクレベルを低く保つために、多面的なアプローチを取る必要があります。
強固なパスワードポリシーの導入、アカウントの定期的な監査、MFAの活用、Specops Softwareが提供するようなツールの活用により、ますます巧妙化・蔓延化する脅威の被害に遭うリスクを低減することができます。
組織全体でパスワードを保護する準備はできましたか?専門家にご相談ください。
Specops Softwareがスポンサーとなり、執筆しました。
Comments