こちらもおすすめ
公開日
作成日:
2022年12月22日
執筆者
Keiichi Sato
多くの組織、特にハイテクやデジタル分野で働く組織は、常に行き来するコミュニケーション、オンラインファイル共有、様々なアカウントへのアクセスを必要とします。共同作業環境では、共有アカウントが必要になることが多く、従業員は、会社をサイバー攻撃のリスクにさらすことなく、パスワードを共有する簡単な方法を見つけなければなりません。
Slackメッセージや同僚へのメールは、パスワードを送信する最も手っ取り早い方法かもしれませんが、会社全体をサイバー攻撃の危険にさらす可能性があります。パスワードを送信・保存する最も危険な方法と、従業員とパスワードを共有する最も安全な方法について、続きをお読みください。
Slack上でパスワードを共有するのが危険な理由
Slackでパスワードを共有することは一見便利で、簡単に思えるかもしれません。
しかし、Slackでパスワードを共有することはセキュリティ的に見ても以下のような理由からとても危険です。
不適切なセキュリティ対策
Slackは確かにチャット内容を暗号化していますが、これらのデータは同社のサーバーに保存されており、適切なセキュリティ対策が施されていなければハッカーによるアクセスのリスクが生じます。Slack自体はセキュリティに力を入れていますが、これは完全な保譼ではありません。特に、サーバーに保存されるデータは、内部のセキュリティ侵害や外部からのサイバー攻撃の危険にさらされる可能性があります。
フィッシング詐欺のリスク
フィッシング詐欺のリスクについて詳細に説明すると、この種の攻撃では、攻撃者が正当なユーザーや信頼できるソースになりすますことで、無防備なユーザーから機密情報、特にパスワードを騙し取ります。攻撃者はメール、メッセージングサービス、さらには偽のウェブサイトを使用してターゲットに接触し、信頼を得るために正式なコミュニケーションを模倣します。ユーザーがこの詐欺に気づかずにパスワードやその他の機密情報を提供すると、攻撃者はこれを悪用してアクセス権を得たり、さらなるセキュリティ侵害を引き起こすことができます。
パスワード監査の欠如
パスワードや機密情報の共有が適切に追跡や監査されない場合、誰がその情報を受け取ったか、いつ受け取ったか、そしてそれがどのように使用されたかを正確に知ることが非常に難しくなります。例えば、Slackのようなコミュニケーションツールでは、メッセージのやり取りが頻繁に行われるため、特定のパスワードがどのメッセージで共有され、誰によって閲覧されたかを把握するのは一層困難です。さらに、パスワードが不正に使用された場合、その起源を特定するのがほとんど不可能になることがあります。
やってはいけない危険なパスワードの送信と共有例
パスワードの共有は、職場内外のインターネット・ユーザーの間で一般的です。実際、The Zebra、NBC News、Pew Research Centerの調査によると、消費者の79%が自宅以外の誰かとパスワードを共有していることを認めています。
パスワードマネージャーを使用していない組織は、安全でないパスワードの保存や共有に関与している可能性があり、これは金銭的損失につながり、サイバー攻撃のリスクを高める可能性があります。当社の2022年米国サイバーセキュリティ国勢調査レポートの調査結果によると、サイバー攻撃の平均コストは75,000ドル以上でした。
オンライン文書
Apple Notes、Googleドキュメント、Microsoft Word、その他のオンラインメモアプリは、あなたが情報を書き留める簡単な方法かもしれませんが、これらのツールはプライベートなログイン認証情報を保存・共有するために作られたものではありません。
Workplace Password Malpractice Report 2021によると:
- 回答者の49%が、仕事関連のパスワードをクラウド文書に保存していることを認めた
- 回答者の51%が、現在パスワードをコンピュータ上の文書に保存していると答えている
- 回答者の55%が仕事関連のパスワードを携帯電話に保存している
パスワードで保護できる文書もありますが、多くの文書ソフトウェア・プラットフォームは、暗号化、二段階認証、その他のセキュリティ対策を提供していません。あなたのデバイスを手にすることができた権限のないユーザーは、簡単にドキュメントをコピーし、自分自身に送信することができます。
メールサービス
メールは、職場で最もよく使われるコミュニケーション手段の一つです。メールは通常、暗号化されずにプレーンテキストで送信されます。メールの受信トレイが危険にさらされた場合、メールでパスワードを送信したことがあれば、不正な受信者にパスワードへの完全なアクセス権を与えたことになります。
メールで送信された安全でないパスワードは、多くの場合、複数のシステムやサーバーを通過します。また、送信済みフォルダにもコピーが残ります。以前のメールを削除しても、アカウントの他のフォルダやファイルに残っている可能性があります。メールのプラットフォームによっては、データをドライブにローカルに保存するものもあります。ノートパソコンやパソコン、携帯電話など、あなたの機器が盗まれた場合、あなた固有のパスワードが危険にさらされます。
テキスト/SMS
メールサービスと同様に、テキストメッセージにはセキュリティがありません。あなたのテキストメッセージは、それを傍受する可能性のある誰でも読むことができます。繰り返しになりますが、もしあなたの携帯端末がパスワードで保護されておらず、悪人の手に渡った場合、権限のないユーザーはあなたの過去のプライベートな会話すべてにアクセスすることになります。受信者のデバイスが危険にさらされた場合は言うまでもありません。
オンラインコミュニケーションツール
WhatsApp、Slack、Microsoft Teamsは、プロジェクトの迅速なアップデートやカジュアルな会話のために、同僚間でアクセス可能なコミュニケーションツールとして人気があります。これらのクラウドサービスの多くは暗号化されていますが、バックグラウンドで開いたままにしておくことがよくあります。もしあなたが公共の場で仕事をしていて、何気なくデバイスを放置していたら、その人は数秒であなたのパスワードにアクセスすることができます。
2021年6月、サイバー犯罪者グループはSlackを使い、従業員を騙してEA Gamesへ侵入しました。グループは、EAのSlackチャンネルにアクセスするためのログイン認証情報を提供する盗まれたクッキーを購入することに成功しました。そして、ITサポートメンバーに「パーティーで携帯電話をなくした」とメッセージを送りました。
EAは2つの声明を発表し、事件の発生を確認するとともに、再発防止策を講じていることを明らかにしました。
物的文書
パスワードをノートや付箋に書くことで、オンラインのサイバー犯罪者があなたのクレデンシャルにアクセスすることを防ぐことができるかもしれません。しかし、オフラインの世界では、個人ユーザーから盗まれる可能性があります。
クレデンシャルを書き留めてオフィス内で共有することは、あなたや同僚が物理的な文書を紛失した場合にも危険です。情報が紛失するだけでなく、悪意のあるユーザーの手に渡る可能性もあります。
口頭
同僚と面と向かって会話すれば書類上の痕跡はなくなるが、クレデンシャルを口に出して話すことにはリスクもあります。
口頭でクレデンシャルを共有することは、メールやテキストに代わる「より安全な」方法かもしれませんが、それでも危険な選択肢であることに変わりありません。パスワードは受信者が暗記できるほど簡単でなければならないため、強力なパスワードを共有するのは難しいかもしれません。電話でパスワードを共有する場合、録音されるリスクもあります。
安全にパスワードを共有する最善の方法
安全にパスワードを共有するにはパスワード保護環境の整ったデバイス上でパスワードマネージャーを通して行うのが最善の方法です。Password Manager and Vault 2021 Annual Reportによると、5人に1人のアメリカ人がパスワードマネージャーを使用しています。パスワードマネージャーを使用していない人のおよそ3分の2は、将来的に使用を検討することを認めています。
パスワードマネージャーは多くの場合、何層もの暗号化を提供し、サイバー攻撃者が欲しいものを見つけることを事実上不可能にしています。Keeperのゼロ知識暗号化では、攻撃者が何らかの方法でKeeperをハッキングした場合、(当社の強固なセキュリティアーキテクチャにより、可能性は極めて低いですが)、彼らは役に立たない暗号文にアクセスできるだけです。
パスワード管理ツールはまた、ユーザー名とパスワードの詳細を公開することなく、従業員に共有アクセスを簡単に与えることができる安全な共有機能を提供しています。また、多くのパスワード管理ツールは、役割レベルで強制できる多要素認証(2FA/MFA)を提供している。あなたとチームのセキュリティ体制を強化するために、2FA/MFAを利用できるすべてのプラットフォームで2FA/MFAを有効にすることが推奨されます。
まとめ:Keeperはパスワードの共有・管理を簡単にします
Keeper Securityは、組織がチーム間でパスワードと記録を簡単に保存、共有できるようにします。当社のゼロ知識プラットフォームは、管理しやすく、安全なパスワード共有と暗号化された保存を組織全体で可能にします。
この機会に14日間のビジネスプランのフリートライアルを試してみてはいかがでしょうか。
