規模や業界に関係なく、すべての企業がサイバー犯罪者の潜在的なターゲットです。 データ侵害を防ぐためのパスワードセキュリティの重要性を認識するにつれ、企業は従業員のメールアカウントやネットワークパスワードなど、最も明らかな弱点に焦点を当てるようになります。しかし、SNSのパスワードは、組織が対処する準備ができていない固有のセキュリティ上の課題を提示します。
このような適切なパスワードセキュリティの欠如は、SNSやデジタルマーケティング代理店にとって特に懸念されるものです。というのは、企業やSNSのインフルエンサーやセレブなどの著名人を含む複数のクライアントを扱うためです。それにもかかわらず、大企業や中小企業(SMB)のマーケティング部門は、企業のSNSパスワードを保護する際に同様の問題に直面します。
そこで、企業がSNSアカウントを保護する方法について紹介します。
企業のSNSアカウントのパスワードを保護する方法
SNSアカウントのパスワードを保護するには、組織で他のパスワードを保護するのと同様の予防策が必要です。これには、すべてのSNSアカウントを強力で固有のパスワードで保護することを義務付けることも含まれます。 企業は、Eメールやテキストメッセージでは絶対にパスワードを送信すべきでなく、スプレッドシートや付箋などの安全でないパスワードの記録手段を禁止する必要があります。
パスワードマネージャーは、強力なパスワードを自動生成し、暗号化されたボルトに保存し、従業員が認証情報を安全に共有できるようにすることで、SNSアカウントを容易に保護します。企業のSNSアカウントを保護するその他の方法には、以下のようなものがあります。
多要素認証を有効にする
多要素認証をサポートするすべてのSNSアカウントで多要素認証(MFA)を有効にすることにより、保護層を追加します。
パスワードマネージャーのもう一つの利点は、2FA コードを暗号化されたボルトに保存できることです。つまり、従業員が 2FA を有効にしたアカウントの記録を共有する場合、Slack や Teams などの安全でないチャンネルを通じて、同僚に2FAコードを送信するよう求める必要がないということです。 従業員は共有記録を通じて2FAコードにアクセスでき、アカウント侵害のリスクを制限します。
従業員のアカウントアクセスを制御する
役割ベースのアクセス制御(RBAC)で従業員と請負業者のアカウントアクセスを制御し、最小特権の原則と併せて、企業のソーシャルメディアアカウントへのアクセスを、必要とする従業員のみに制限します。
ダークウェブモニタリングサービスに登録
Keeper BreachWatch® などのダークウェブ監視サービスは、アカウントのパスワードがサイバー犯罪フォーラムで販売されていると直ちに警告するため、ユーザーは適切な措置を取り必要なパスワードをすべて迅速に変更することができます。
多くの企業がSNSのパスワードを適切に保護していない
集中管理された安全なSNSパスワード管理の欠如は、組織をサイバー脅威に対して脆弱にします。SNSエージェンシーでは、クライアントのオンボーディングプロセス中に脆弱性が発生します。
● 典型的な例としては、クライアントが安全でない暗号化されていないメールやテキストメッセージを通じて、SNSのパスワードを代理店と共有します。これはサイバー犯罪者に傍受される可能性があります。
● クライアントは、パスワードをスプレッドシートやテキストファイルに保存する可能性があります。 これにより、単一障害点が発生します。 このドキュメントが漏洩すると、クライアントのすべてのアカウントが漏洩してしまいます。
● クライアントはすべてのSNSアカウントで同じパスワードを使用している場合もあり、サイバー犯罪者がパスワードを取得した場合、確実にすべてのアカウントにアクセスできてしまいます。
● クライアントのパスワードが脆弱であったり、公開データ侵害で既に侵害されていたりする可能性もあります。そのような場合、アカウントがクレデンシャルスタッフィングやパスワードスプレー攻撃に対して脆弱になります。
代理店が一度クライアントの認証情報を手にすると、スプレッドシートやドキュメント、付箋や暗号化されていないメールやテキストメッセージといった安全ではない方法で共有し、保存する可能性があります。代理店によっては、すべてのクライアント認証情報を1つの「マスターリスト」にまとめて保存するところもあります。
通常、ビジネス系SNSアカウントは、管理担当者、デザイナー、コピーライター、その他のマーケティングや広報の専門家を含むチームにより管理されます。チームメンバーは、社内従業員、フリーランスの請負業者、またはその両者を組み合わせて構成される場合があります。 アカウントのログイン認証情報にアクセスできる人が多いほど、認証情報が漏洩するリスクは大きくなります。Verizon は、情報漏洩の57%に企業内部者による不注意や悪意のある行為が関わり、情報漏洩の 15% が労働者や請負業者によるログイン権の意図的な誤用に起因すると推定しています。
集中型SNSパスワード管理の欠如が内部脅威レベルを上げる 個々の従業員や請負業者が、クライアント認証情報をウェブブラウザに保存したり、独自のスプレッドシート、ドキュメント、メモを作成したりする場合があります。各チームメンバーがアカウントパスワードを保存する独自の「システム」を持っている場合、組織は従業員や請負業者のパスワード慣行を可視化しておらず、また、そのうちの一人が会社を離れる際にアクセスを無効にする方法も持っていません。
集中管理された可視性と管理がない場合、アカウントのパスワードは、過失、不注意、現在または元従業員による悪意ある行為で侵害される可能性が高くなります。 安全なパスワード管理ソリューションがなければ、2FA や MFA でアカウントを保護することも不可能であり、アカウントが侵害に対してさらに脆弱になります。
SNSアカウント侵害による潜在的な被害
SNSアカウントの侵害は、10年以上にわたって発生しています。企業や知名度の高い個人のアカウントが侵害されると、影響は深刻になる可能性があります。
侵害されたアカウントに一度ログインすると、サイバー犯罪者は以下を行うことができます。
なりすまし詐欺の被害
個人識別情報(PII)やその他の機密情報にアクセスして、アカウント所有者を脅迫したり、将来ソーシャルエンジニアリング攻撃に利用する可能性があります。
アカウントの乗っ取りと身代金要求
アカウントを乗っ取った後に、アカウント設定を変更して実際の所有者をロックアウトし、所有者を戻すための身代金を要求したり、ダークウェブでアカウントを販売したりする可能性があります。短く固有なInstagramハンドルの場合、500ドルから5,000ドルの間で取引されることがあります。
メッセージで悪質なリンクの配布
SNSチャンネルのダイレクトメッセージ機能を使用してアカウントのフォロワーに悪質なリンクが送信されます。この悪質なリンクには、マルウェアやウイルス、トロイの木馬などが含まれる可能性があります。
ユーザーは一般的にフォローしている人やブランドが送信するダイレクトメッセージを信用するため、特に危険です。
評判を失う可能性
アカウントのフィードにスパムやその他の悪意のあるコンテンツを投稿し、ブランドの評判を傷つける恐れがあります。
まとめ:SNSのパスワード管理を徹底しよう
企業がSNSを保護する簡単な方法は、パスワードマネージャーのようなパスワード管理ツールでアクセスできる人を最小限に済ませて、社内で管理していくことです。
1つのアカウントだけであればいいですが、Tiktok、Twitter、Facbook、LINEなど複数の企業アカウントの管理は大丈夫でしょうか?
パスワードマネージャーを使用することで、強力なパスワードの設定をしてくれて、安全に社内でもパスワードを共有できます。この機会にKeeperパスワードマネージャーの14日間の無料ビジネストライアルまたは無料30日間トライアル体験を試してみてはいかがでしょうか。