クレデンシャルとは、人、組織、サービス、デバイスなどのエンティティを独自に識別する一連の属性です。 IBM のデータ侵害のコストに関する調査レポートによると、この調査で取り上げられたデータ漏洩の 19%で漏洩したクレデンシャルが主要な攻撃手段となっています。 ITRC による 2021 年データ侵害レポートでは、クレデンシャルスタッフィングを含むサイバー攻撃が、2022 年第 3 四半期のデータ侵害において 88%を占めていたたことが明らかにされています。
クレデンシャル脅威は、攻撃者がユーザーの詳細情報を盗んで、ユーザーのアカウントに不正にアクセスしようとするものを含みます。 多くの場合、攻撃者は特にユーザーの組織的なアクセス権を取得することに重点を置いています。
このブログでは、クレデンシャルの盗難と脅威、パスワード攻撃の種類と影響、情報を保護するためのクレデンシャル管理戦略について解説しています。
クレデンシャル盗難は多くのセキュリティインシデントの舵取りをしている
クレデンシャル盗難は、重要なデータや情報へのアクセスや不正利用を目的として被害者の身分証明を不正に取得するサイバー犯罪です。 クレデンシャル盗難に成功すると、攻撃者は被害者と同じアカウント権限を得ることができます。
2022 Ponemon Institute の State of Cybersecurity Report によると、セキュリティインシデントの 54%はクレデンシャルの盗難が原因であることが示唆されています。
クレデンシャルが盗まれる理由とは?
クレデンシャル盗難攻撃は、攻撃者が悪意を持ってアクセス権を取得し、組織のセキュリティ対策を回避して重要なデータを盗むことで発生します。
ここでは、クレデンシャル盗難の最もありがちな理由をいくつか紹介します:
- 詐欺行為: 悪意のある人物は、ターゲットのアカウントから不正に資金を獲得するために、クレジットカードや銀行の詳細などの機密情報へアクセスしたがることがよくあります。
- クライムウェアを配布する: ピギーバック攻撃や不審なメールは、攻撃者がクライムウェア(犯罪を実行するために使用されるソフトウェア)を配布するためにクレデンシャルを取得する上で活用するソーシャルエンジニアリング戦術の一部です。
- ハクティビズム(Hacktivism): 社会的または政治的な理由から、攻撃者がユーザーのクレデンシャルを盗んで重要な情報に不正アクセスすることで安全なコンピュータシステムに大混乱をもたらすものです。
- スパイ行為: あるサイバースパイレポートによると、様々なセキュリティ侵害の根底にある動機の中で 2 番目に多いものがスパイ行為であるということが示唆されています。 サイバー犯罪者は、個人、組織、あるいは国の活動を違法に監視するために、クレデンシャルを侵害します。
クレデンシャル攻撃による脅威の拡大
一般的に攻撃者は、低レベルで洗練されていないサーバーやプラットフォームに侵入し、それを使用することで大企業にアクセスします。 第三者のシステムを攻撃することもこのアプローチに含まれるかもしれません。
悪意のある人物が機密情報を取得する際に用いるテクニックをいくつか紹介します:
- ソーシャルエンジニアリング。 2022 年の Verizon データ侵害調査レポートによると、この調査が考慮に入れている侵害事件の 82%で、ソーシャルエンジニアリング攻撃の中心である人間的要素が存在していました。 ソーシャルエンジニアリング攻撃のよくあるタイプとして、テールゲーティング、スピアフィッシング、ホエーリング、ベイティングなどがあります。
- マルウェア。 サイバー犯罪者は、コンピューター、ネットワーク、サーバーに意図的に危害を加え、侵入し、損害を与え、データを盗むために悪質なソフトウェアを開発します。 マルウェアの一部としてランサムウェア、アドウェア、スパイウェア、スケアウェアなどがあります。
- 自動化された攻撃。 悪意のある人物は、洗練されたツールを使って複数のウェブサイトの脆弱性を一挙にテストすることで、協調的な攻撃を行います。
- アプリケーションの脆弱性。 悪意のある攻撃者は、デジタルインフラの弱点を探し、それにつけこむことでてシステムへと不正にアクセスします。
クレデンシャルの漏洩がもたらす財務的影響
IBM によると、国際的には企業がデータ侵害を受けた場合の平均コストは 2020 年で 435 万ドルでした。 しかし、米国に関していうと、平均コストは 944 万ドルと世界で最も高額でした。 データ漏洩は、特に機密情報を管理する業界や顧客データを扱う業界においては組織に多大な財務的影響を与えます。
同レポートによると、重要インフラに対する侵害は、ホスピタリティ、エンターテインメント、消費財、製薬会社に対する攻撃よりも平均して 100 万ドル以上高くつくとのことでした。
個人健康情報(PHI)の漏洩は、組織、個人、その他の関係者に様々な影響を与えることになります。 Anthem(現Elevance Health)社は 2015 年に攻撃者により 7,000 万件以上の患者記録へと不正アクセスされたため、和解金として約 4,000 万ドル、米国に約 1700 万ドルを支払わなければなりませんでした(アメリカ合衆国保健福祉省(HHS)調べ)。
2013 年に起きた Target 社のデータ漏洩では、複数州にわたる和解金として 1850 万ドルを支払うこととなりました。 個人情報の漏洩による個人および組織への影響としては、個人情報の盗難、恐喝、風評被害などがあります。
機密情報のためのクレデンシャル管理戦略
サイバー犯罪から完全に身を守ることはほぼ不可能ですが、組織は悪意のある攻撃が成功する確率を最小限に抑えるための措置を講じることができます。 マイクロソフト社の調査によると、二要素認証(2FA)はアカウント攻撃の 99%を防ぐことができるとのことです。 多要素認証は、機密情報の保護において有効な方法となります。
いくつかのクレデンシャル管理戦略を検討しましょう:
- 脆弱性をなくす
- 従業員用デバイスのセキュリティ
- クレデンシャルフィッシング攻撃を認知できるよう従業員に教える
- 強力な暗号化対策の実施
- 脅威インテリジェンスツールの活用
- 長くて複雑なパスワードを使用する
エンタープライズパスワードマネージャーは、暗号化などのセキュリティ戦略を活用することでクレデンシャルを保護します。 Keeper のようなパスワード管理ソリューションは、ユーザーが安全なパスワードを生成することを支援し、高度なモニタリング能力とコンプライアンスレポートを提供します。
パスワードとシークレットの管理のために Keeper を使用する
Keeper では、あなたのチームがパスワードとシークレットにアクセスできる人を制御することができます。 Keeper は、安全なパスワードを生成するだけでなく、ダークウェブやその他のプラットフォームをモニタリングすることで、パスワードボルトのデータと一致する漏洩したユーザークレデンシャルを特定するのに役立ちます。
組織のデータおよび顧客情報へのアクセス権を管理したい? Keeper を無料でお試しください。
よくある質問
クレデンシャルハーベスティングとは?
クレデンシャルハーベスティングとは、ユーザー名やパスワードなどのクレデンシャルを収集するために、フィッシングやその他の搾取法などを行う攻撃です。 サイバー犯罪者は、クレデンシャルを個人的な目的で使用したり、ダークウェブで取引したりすることがあります。
攻撃者がクレデンシャルを盗むために使用する最もよくあるメソッドとは?
攻撃者は、主にクレデンシャルフィッシングによって機密データを取得します。 その他のクレデンシャル盗難する上でよくあるメソッドには、ランサムウェア、ブルートフォース攻撃、ダークウェブでの購入などがあります。
パスワードスプレーとは?
パスワードスプレーとは、悪意のある攻撃者が、123456 や 00000 などのよく使用される脆弱なパスワードのリストを使用して、アカウントへの不正アクセスを取得するアプローチです。 このメソッドにより、サイバー犯罪者は 1 回の攻撃で複数のアカウントにアクセスすることができてしまいます。