フィッシングやなりすましの中でも報告数が多いのが、A
アカウント乗っ取り攻撃とは、サイバー犯罪者があなたのオンラインアカウントにアクセスし、ログイン認証情報を変更してあなたをロックアウトすることで発生する個人情報の盗難の一種です。 ログインできなくなると、サイバー犯罪者はあなたの身元情報を使用して個人情報を盗んだり、他人をだましたりします。 強力なパスワードを使用し、多要素認証(MFA)を有効にして、ダークウェブ監視に投資することで、アカウント乗っ取り攻撃を防ぐことができます。 最近のレポートによると、7,700 万人以上の成人がアカウント乗っ取りを経験しており、最も頻繁にハッキングされるのは SNS のアカウントです。
アカウント乗っ取りがなぜ危険なのか、個人あるいは組織としてどうすれば乗っ取りから身を守れるのかについては、引き続きお読みください。
アカウント乗っ取りが非常に危険なのはなぜですか?
アカウント乗っ取りは個人や組織にとって非常に危険です。その理由は以下のような事象が発生するからです。
- 個人情報の盗難
- 金銭的な損失
- 個人情報の盗難に対する脆弱性
- 名誉毀損
- データの漏洩
サイバー犯罪者が個人情報や顧客情報を含むオンラインアカウントにアクセスした場合、見つけた情報を使用して別のアカウントにログインしたり、そのデータをダークウェブで他のサイバー犯罪者に販売したりする可能性があります。 アカウント乗っ取りは被害者をアカウントから締め出すため、個人や企業がアクセスを回復し、データを取り戻し、金銭の損失や評判を回復することが困難になります。
個人がアカウント乗っ取りを防ぐ方法
個人として、あなたは以下のヒントに従って情報を保護し、アカウントが乗っ取られるのを防ぐことができます。
すべてのアカウントに強力なパスワードを使用する
使用するオンラインアカウントごとに、強力かつ一意のパスワードを作成してください。 強力なパスワードは、大文字と小文字、数字、記号を組み合わせた 16 文字以上で構成されます。 パスワードが長くてランダムなものであるほど、アカウントがサイバー攻撃から保護されるようになります。 強力なパスワードを作成する際は、よく使われる単語やフレーズ、個人情報、連続した番号を使用しないようにしましょう。
利用可能な場合は、常に多要素認証(MFA)を有効にする
多要素認証(MFA)は、ユーザー名とパスワードに加えて、別の身元証明を提示することをユーザーに義務づける追加のセキュリティ対策です。 MFAを有効にする場合は、PIN、認証アプリからのコード、指紋などの追加認証を入力する必要があります。 MFAを有効にすると、サイバー犯罪者はあなたのアカウントにアクセスしにくくなります。これは、あなたのユーザー名とパスワードを知るだけでは足りず、あなたの身元を証明する追加の方法も必要になるためです。
フィッシング攻撃を見分ける方法を学ぶ
アカウント乗っ取りの多くは、フィッシング攻撃にだまされることで発生します。フィッシングは、サイバー犯罪者が被害者の知っている人物や企業になりすまし、個人情報を知らせるように仕向ける犯罪です。 ほとんどのフィッシング詐欺は、緊急性の高い言葉を使い、すぐに行動するように説得したり、指示にすぐに従わない場合は脅迫したりします。 フィッシングメッセージには、スペルミスや文法の誤りが含まれていることが少なくありません。ほとんどの企業はメールを送信する前に何度も見直しているため、これに注目することで簡単に見抜くことができるでしょう。 送信者を信じる前に、送信者の電子メールアドレスを確認し、ドメインが信頼できる企業と一致していることを確認してください。
一方的に送られてきたリンクや添付ファイルは絶対にクリックしない
リンクや添付ファイルを含む迷惑メールや SMS を受信したら、それらをクリックしたりダウンロードしたりしないでください。 あなたがアカウントを持っている企業からのメッセージに見えたとしても、その企業の公式ウェブサイトやアプリにアクセスし、アカウントにログインしてください。 迷惑リンクや添付ファイルにサイバー犯罪者が設計したマルウェアが含まれている場合、あなたの個人データが盗まれる可能性があります。
リンクの上にカーソルを置いて URL のプレビューを表示させるか、またはリンクを URL チェッカーにコピー&ペーストすることで、リンクが安全かどうかを確認できます。 送信者のメールアドレスを再度確認し、ウイルス対策ソフトで添付ファイルをスキャンすると、電子メールの添付ファイルが安全であるかどうかを確認できます。
ダークウェブ監視ツールを使用する
ダークウェブ監視ツールを使用して、個人情報がダークウェブにあるかどうかを確認することができます。これは、サイバー犯罪者が悪意のあるアクティビティを介して取得した情報をインターネット上で売買できる仕組みです。 Keeper® のような一部のパスワード管理ツールでは、ダークウェブ監視ツールをアドオン機能として提供しており、ボルトに保存したログイン認証情報をダークウェブでスキャンします。
Keeper の無料のダークウェブスキャンツールをお試しください。ログイン認証情報がダークウェブにあるかどうかを確認しましょう。
組織がアカウント乗っ取りを防ぐ方法
あなたと組織が、アカウント乗っ取りによるデータの侵害やそれによる企業の評判の低下を防ぐ方法はいくつかあります。
ビジネス用パスワードマネージャーを採用する
組織がまだビジネス用パスワードマネージャーを使用していない場合は、導入することをおすすめします。 ビジネス向けパスワードマネージャーは、従業員がパスワードをデジタルボルトに安全に管理して保存することを可能にします。 従業員に対して、社内でのパスワードマネージャーの使用を義務づけることで、最善のパスワード慣行が保証されます。 また、ビジネス用パスワードマネージャーは、従業員が暗号化されたパスワードを安全に共有し、共同で作業できるようにします。 これにより、パスワードが権限のないユーザーに傍受されることがなくなり、ログイン情報は各従業員の暗号化されたデジタルボルトに安全に保管されます。 パスワードマネージャーは、MFA コードを記録内に保存し、ユーザーがウェブサイトやアカウントで MFA コードを入力する必要がある時に自動入力することで、MFA の適用を支援することもできます。 ビジネスパスワードマネージャーはパスワードの保存と共有を、あらゆる従業員や組織にとって安全で便利なものにします。
ダークウェブ監視に投資する
組織がアカウント乗っ取りを防ぐためには、ダークウェブ監視に投資する必要があります。 組織が使用できる最高のダークウェブ監視ツールは、Keeper Security のBreachWatch® です。 これは Keeper パスワードマネージャーのアドオン機能であり、ダークウェブを常にチェックし、従業員のボルトに保存された記録がダークウェブにある記録と一致するかどうかを確認します。 BreachWatch が一致を検出した場合、すぐに従業員に通知されるため、漏洩したパスワードを変更し、パスワードマネージャーで直接更新することができます。
Keeper の企業向けダークウェブスキャナーにメールアドレスを入力し、あなたや会社の従業員がダークウェブで晒されているかどうかを確認しましょう。
ログイン試行回数を制限する
誰かが自分のアカウントにアクセスしようとする時のログイン試行回数に上限を設定します。ブルートフォース攻撃は、サイバー犯罪者が試行錯誤を通じてログイン認証情報を推測することで発生するため、ログイン試行回数を無制限に設定すると、最終的に従業員のアカウントにアクセスされてしまう可能性があります。 ブルートフォース攻撃は複数のログイン試行回数に依存するため、試行回数を 3 ~ 4 回に制限することで、従業員がタイプミスをした場合に十分な試行回数を与えながら、潜在的なサイバー犯罪者がアカウントにアクセスするのを防ぐことができます。
ウェブアプリケーションファイアウォール(WAF)を設定する
組織は、ウェブアプリケーションとインターネット間のトラフィックのフィルタリングに役立つウェブアプリケーションファイアウォール(WAF)を設定することができます。 WAF を使用することで、組織はアカウント乗っ取りを含む潜在的なサイバー攻撃からあらゆるウェブアプリケーションを保護できます。 WAF は、不正なトラフィックからのリクエストを識別してブロックし、サイバー犯罪者のボットがアカウントに侵入しようとしているのを検出することもできます。
ゼロトラストを実施する
ゼロトラストは、すべてのデバイスとアカウントが侵害される可能性があることを前提としたセキュリティフレームワークです。 これに対処するために、人間も機械も含めたすべてのユーザーが、複数の認証プロセスを介して組織内で常に自分の身元を確認する必要があります。 ゼロトラストの 3 つの基本原則は、侵害が発生することを想定すること、組織のネットワークやデータにアクセスするために全員に本人確認を義務づけること、そしてユーザーに最小特権アクセスを適用することです。 組織のネットワークで使用されるすべての従業員用デバイスは、誰がアクセスを許可されているかを追跡するために登録され、管理されなければなりません。
ゼロトラストソリューションの重要な側面は、最小特権アクセスです。これは、従業員に対して業務遂行に必要なアクセスのみを許可することで、データ漏洩の拡散を防ぐのに役立ちます。 そうすることで、ある従業員のアカウントが乗っ取られたとしても、その従業員のアクセス権が限られているため、サイバー犯罪者は組織の他の部分にアクセスできません。 例えば、アカウントを乗っ取られた従業員がマーケティングデータだけでなく、顧客情報、取引、SNS アカウントにもアクセスできる場合、サイバー犯罪者ははるかに貴重なデータにアクセスできることになります。
従業員にセキュリティに対する意識について教育する
全社規模でフィッシングメールをシミュレートして、従業員の反応を確認するフィッシングテストを実行し、潜在的なセキュリティリスクや脅威について従業員に認識させましょう。 これらのテストは、組織がフィッシング攻撃に備えているか、従業員がセキュリティ対策についてのトレーニングをさらに必要とするかどうかを判断するのに役立ちます。 セキュリティに関する脅威について従業員を教育することで、将来的にはサイバー攻撃から自分や組織を保護できるようになります。
Keeper でアカウント乗っ取りから身を守る
個人であろうと組織であろうと、アカウント乗っ取りやその他のサイバー攻撃からの保護は誰にでも必要です。 Keeper はダークウェブ監視ツールとパスワードマネージャーで、お客様や組織を保護します。