なぜパスワード監査は攻撃者が本当に欲しいアカウントを見逃してしまうのか

パスワード監査は、ほとんどのセキュリティプログラムの標準的な部分である。監査は、組織がコンプライアンスを実証し、明白なリスクを低減し、基本的な統制が実施されていることを確認するのに役立つ。しかし、多くの場合、監査レポートに表示されるアカウントが、必ずしも攻撃者に狙われるアカウントとは限りません。

ほとんどのパスワード監査は、複雑さや有効期限ポリシーのようなシグナルに焦点を当てています。重要ではあるが、こうした監査では、過剰な特権ユーザー、アクセス忘れ、サービス・アカウント、侵害ですでに流出した認証情報などの潜在的なリスクを見逃してしまう。

リスクを理解するためには、パスワード監査が一般的にどのような点で不十分なのか、また、規制要件を見失うことなく、より効果的な監査を行うためにセキュリティチームに何ができるのかを検討することが重要です。

Table of contents

コンテキストなき強度は攻撃を止めない
孤児のアカウントは監査されない
Specops パスワードポリシーで Active Directory パスワードを保護
監査は価値の高いサービスアカウントを見逃す
ポイント・イン・タイムの監査では継続的な脅威に対応できない
安全なパスワード監査の実施方法

コンテキストなき強度は攻撃を止めない

パスワード監査は、最小限の長さ、複雑さの要件、ローテーションポリシー、一般的な弱い選択肢に対するチェックなど、強度のルールから始まることが多い。しかし、そこで終わってしまうと、監査は攻撃者が探す重要な脆弱性を見逃してしまう：

再利用されるパスワード
以前の侵害で暴露されたクレデンシャル
組織や業界に関連した予測可能なパターン

パスワードは、あらゆるコンプライアンス要件を満たしても、文脈から容易に推測できる。例えば、病院の従業員が「Healthcare123！」のようなパスワードを使用している場合、技術的には複雑性のルールを満たしていても、攻撃者は標的型ワードリストを使用して簡単にクラックすることができます。

さらに悪いことに、パスワードが “強力 “に見えても、すでに漏洩していることもある。もしそのパスワードが他の場所で漏洩した場合、攻撃者はそのパスワードでログインすることができる。ある調査では、漏洩したパスワード8億件のうち83％が規制要件を満たしていた。

漏洩したパスワードのスクリーニングを行わないと、監査によって、書類上では安全なアカウントであっても、漏洩しやすいというギャップが生じる。これは特に価値の高いアカウントに当てはまり、1回のログインが成功すれば、はるかに広い範囲へのアクセスが可能になる。

代わりに何をすべきか：最新の監査では、侵入されたパスワードのスクリーニングとリスクベースの優先順位付けを行い、攻撃者が最もターゲットにしやすいアカウントに焦点を絞る必要があります。Specops Password Policyのようなツールは、漏洩したパスワード54億件以上のデータベースと照合することで、認証情報を継続的にチェックするのに役立ちます。

また、Specops Password Policyは、組織独自の用語のカスタムブロックリストを無制限に作成することができ、攻撃者が暴露された、または予測可能な認証情報を使用して成功する可能性を低減します。

孤児のアカウントは監査されない

通常、パスワード監査では、重要なアカウントは現在の従業員リストにあるアカウントであると想定されます。しかし、多くの環境では、すべてのアクティブなアカウントがアクティブな従業員に属しているわけではありません。

攻撃者はこのことを知っているため、「孤児」アカウントは魅力的なターゲットとなるのです。元従業員、請負業者、テスト・アカウント、または通常のアイデンティティ・プロセス外で動作するシャドウITアカウントに属するアカウントは、企業環境ではあまりにも一般的です。

孤児のアカウントは、誰も注意を払うことなく数カ月から数年間放置されることがあります。また、パスワードが古かったり、多要素認証（MFA）が適用されていなかったりするなど、管理も脆弱な傾向があります。

攻撃者が古い契約者アカウントの有効な認証情報を見つけた場合、特権ログインのようなアラートをトリガーすることなくアクセスできる可能性があります。

代わりに何をすべきか： パスワード監査は、「アクティブユーザー」だけでなく、休眠アカウント、外部アカウント、HRに関連しないアカウントも含める。パスワードチェックを定期的なアクセスレビューや自動デプロビジョニングと組み合わせることで、アカウントセキュリティで最も見過ごされているギャップを埋めることができる。

a.fl_button { background-color：#border：1px solid #3b59aa; color：#text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; margin：4px 2px; cursor: pointer; padding：12px 28px; } .fl_ad { background-color：#width: 95%; margin: 15px auto 15px auto; border-radius: 8px; border：1px solid #d6ddee; box-shadow: 2px 2px #728cb8; min-height: 200px; display: flex; align-items: center; } .fl_lef>a>img { margin-top: 0px !important; } .fl_rig>p { font-size: 16px; } .grad-text { background-image: linear-gradient(45deg, var(–dawn-red), var(–iris)54%, var(–aqua)); -webkit-text-fill-color: transparent; -webkit-background-clip: text; background-clip: text; } .fl_rig h2 { font-size: 18px!important; font-weight: 700; color：color: #333; line-height: 24px; font-family：font-family: Georgia, times new roman, Times, serif; display: block; text-align: left; margin-top: 0; } .fl_lef { display: inline-block; min-height: 150px; width: 25%; padding：10px 0 10px 10px; } .fl_rig { padding：10px; display: inline-block; min-height: 150px; width: 100%; vertical-align: top; } .fl_lef>a>img { border-radius: 8px; } .cz-news-title-right-area ul { padding-left: 0px; } @media screen and (max-width: 1200px) { .fl_ad { min-height: 184px; } .fl_rig>p { margin: 10p10px; } .fl_rig { padding：0 10px 10px 10px; width: 100%; } } @media screen and (max-width: 400px) { .cz-story-navigation ul li:first-child { padding-left: 6px; } .cz-story-navigation ul li:last-child { padding-right: 6px; } } }.

Specops パスワードポリシーで Active Directory パスワードを保護

Verizonのデータ漏洩調査レポートによると、漏洩の44.7%に盗まれた認証情報が関与しています。

準拠したパスワードポリシーでActive Directoryを簡単に保護し、40億件以上の漏洩パスワードをブロックしてセキュリティを強化し、サポートの手間を削減します！

無料でお試しください

監査は価値の高いサービスアカウントを見逃す

サービスアカウントは、ユーザー中心のパスワード監査では見落とされがちです。このようなアカウントは、有効期限のないパスワードとともに、過剰な権限を持っていることが多いため、問題となっています。攻撃者の視点に立つと、サービス・アカウントを侵害することで、特権ユーザ・ログインのような可視性や精査なしに、長期的なアクセスが可能になります。

その結果、組織はパスワード監査に合格しても、リスクの高いアカウントは事実上管理されないままになってしまう。

代わりに何をすべきか： パスワード監査は、サービスアカウント、特に昇格した権限を持つアカウントを明示的に含めるべきである。認証情報を保管庫に移し、ローテーションを実施し、最小権限アクセスを適用することで、サービスアカウントが攻撃者にとって重要インフラへの最も簡単な侵入経路となるリスクを大幅に減らすことができる。

ポイント・イン・タイムの監査では継続的な脅威に対応できない

監査は、監査が実行された時点でのパスワード衛生のスナップショットを提供します。しかし、クレデンシャルベースの攻撃は継続的であり、リスクは一晩で変わる可能性があります。

最も一般的な例の1つは、クレデンシャル・スタッフィングです。攻撃者は、ある侵害で暴露されたユーザー名とパスワードを、パスワードの再利用を賭けて他のサービスでも試します。つまり、同じ認証情報が別の場所で流出しただけで、あるアカウントは今日は完全に遵守されていても、明日は危険にさらされる可能性があるということだ。

これは、特に大規模な組織や、外部向けのログインポータルを持つ組織に関連する。攻撃者は、犯罪市場にすでに存在する認証情報を再利用できるのであれば、パスワードのルールを破る必要はない。

代わりに何をすべきか：強力なパスワード監査には、継続的なモニタリングの要素が必要です。これには、定期的にクレデンシャルを最新の侵害データと照合し、不審なログインパターンを監視し、パスワードセキュリティを継続的な管理として扱うことが含まれる。

安全なパスワード監査の実施方法

単に評価に合格するだけでなく、侵害の可能性を減らすことが目的であれば、監査は攻撃者が実際にどのように活動しているかを反映する必要がある。パスワード監査は、最低限以下のことを行う必要がある：

複雑性のルールだけでなく、既知の侵害データと照らし合わせてパスワードをチェックする。
すべてのユーザーを同等に扱うのではなく、価値の高い特権アカウントを優先する。
アクティブな従業員だけでなく、孤児や休眠アカウントも含める。
サービスアカウント、特に昇格した権限を持つアカウントを明示的にカバーする。
定期的なスナップショットに依存するのではなく、継続的な監視を組み込む。
特に機密性の高いシステムについては、MFAレジリエンスを考慮する。

Specops Password Auditorのようなソリューションは、Active Directoryの読み取り専用スキャンを実行し、非アクティブな特権管理者アカウントや漏洩したパスワードなどの脆弱性にフラグを立てることで、パスワードの健全性を評価するのに役立ちます。

これらのコントロールが組織でどのように機能するかについて詳しく理解するには、Specopsのエキスパートに相談するか、ライブデモをリクエストしてください。

Specops Softwareがスポンサーとなり、執筆しました。