パスワード 
Wi-Fiのパスワードを安全に共有することは、ネット
Verizon 社の 2023 年データ侵害調査レポートによると、ログイン情報の盗難はサイバー犯罪者が組織に不正アクセスするために最もよく使われる方法のひとつです。 ログイン情報の盗難は組織にとってデータ侵害のリスクを高めるため、それを防ぐ対策を講じる必要があります。
ログイン情報の盗難を防ぐために、組織はパスキーの使用を奨励し、ビジネス向けパスワードマネージャーに投資し、多要素認証 (MFA) を施行し、サイバーセキュリティのベストプラクティスについて従業員を訓練する必要があります。
ここでは、組織がログイン情報の盗難を防ぐ方法について、さらに詳しく説明します。
企業内のログイン情報管理を業務効率化!
Keeperの14日間の無料体験でその安全性・利便性をお試しください。
ログイン情報が盗まれるよくある手口
フィッシングと公的データ侵害は、最も多く発生するログイン情報の盗難攻撃の手法に含まれます。
フィッシング攻撃
フィッシング攻撃は、ユーザーに個人情報を開示させることを目的としたソーシャルエンジニアリング攻撃の一種です。 フィッシング攻撃は、被害者が知っている人物や企業を装い、緊急性を感じさせるものであることが少なくありません。そのため、被害者は疑うことなく即座に行動してしまいます。 サイバー犯罪者はメール、SMS、電話などでフィッシング攻撃を行うことがあります。 サイバー犯罪者の目的がログイン情報を盗むことである場合、企業を名乗るフィッシングメールや SMS が送信され、被害者を偽のログインポータルに誘導する可能性があります。 このログインポータルにログイン情報を入力すると、被害者はログイン情報をサイバー犯罪者に渡すことになります。この情報は被害者のアカウントのハッキングに使用される可能性があります。
公的データ侵害
公的データ侵害は、企業が従業員および/または顧客データを暴露された場合に発生します。 このようなデータ侵害の多くは、ユーザーのログインログイン情報を暴露するものです。 このようなデータ侵害が発生すると、サイバー犯罪者はその侵害から可能な限り多くの情報を収集し、そうした情報を自分で使用したり、ダークウェブに公開したりします。
ログイン情報の盗難を防ぐ方法
組織がログイン情報の盗難を防ぐ方法は、以下のとおりです。
1. パスキーの使用を奨励する
パスキーは新しい認証技術で、ユーザーがパスワードを入力することなくアカウントにログインできるようにします。 パスキーはパスワードよりも安全であり、盗まれる心配がないため、従業員がパスキーをログイン方法として使用する機会がある場合は推奨するようにしてください。 組織は、従業員がパスキーを有効にできるよう教育し、ログイン方法としてパスワードよりもパスキーを使用しやすくする必要があります。
2. ビジネス向けパスワードマネージャーに投資する
多くのウェブサイトやアプリケーションでは、今のところログイン方法としてパスキーをサポートしていません。つまり、パスワードはほとんどのアカウントで引き続き使用されます。 従業員に強力なパスワードを使用させるための最善の方法は、パスワードマネージャーを導入することです。 組織がビジネス向けパスワードマネージャーに投資することで、各従業員に強力なパスワードを使用させることができます。 また、従業員のログインログイン情報がデータ侵害にあった場合、パスワードマネージャーは IT 管理者に通知を送信し、従業員にパスワードの変更を促すことができます。 これにより、クレデンシャルスタッフィング攻撃やアカウント乗っ取りが深刻な結果を招くリスクが軽減されます。
3. 多要素認証の使用を必須にする
多要素認証 (MFA) について、誰もが自分のアカウントで有効にすることが重要です。 MFA では、個人がユーザー名やパスワードに加えて、複数の認証方法を提供することが求められます。 サイバー犯罪者や適切な権限のない人物が従業員のログイン情報を入手した場合、MFAは他の認証方法によって従業員が誰であるかを確認することを要求します。 このため、適切な権限のない個人が従業員のアカウントを侵害することは一層難しくなります。
4. サイバーセキュリティのベストプラクティスについて従業員を訓練する
従業員は、適切な訓練を受けていなかったり、サイバーセキュリティのベストプラクティスについて知らされていなかったりする場合は特に、組織の最も弱いリンクになる可能性があります。 従業員のログイン情報が盗まれるリスクを軽減するために、組織は時間をかけて従業員に対して、よくあるサイバー脅威を検知し、回避する方法を教えなければなりません。
すでに述べたように、フィッシング攻撃はログイン情報の盗難が発生する最も一般的な方法のひとつです。 これは、組織がフィッシングの検知や回避の方法について、定期的に従業員を訓練する必要があることを意味します。 フィッシング対策として従業員を訓練する上で最善の方法のひとつは、模擬フィッシングメールを送ることです。 このようなシミュレーションを行うことで、組織は従業員がフィッシングを見破る訓練をどれだけ受けているかを確認することができます。 フィッシングの発見が得意ではない従業員の場合、IT 管理者が追加のトレーニングを行うことでフィッシングを見破るスキルが上がっていきます。
まとめ:ログイン情報の盗難から組織を保護する
ログイン情報の盗難は、組織にとって多大な経済的損失や評判の低下につながる可能性があります。そのため、組織は予防策を講じて、このような脅威の軽減に役立つツールに投資をすることが重要です。 パスワードマネージャーは、ログイン情報の盗難やその他のパスワード関連の攻撃からビジネスや従業員を保護するために、組織が投資すべきツールのひとつです。
パスワードマネージャーがログイン情報の盗難から組織を保護する方法を体験するには、まずは、Keeperパスワードマネージャーの14日間のビジネスプランのフリートライアルを試してみてはいかがでしょうか。
