サイバーセキュリティ 
経済産業省は、サプライチェーン全体の安全性を確保する
認証情報の悪用は、サイバー犯罪者がオンラインアカウントや重要システムに不正アクセスするために、盗難または漏洩された認証情報を使用することを指します。 広範なサイバー攻撃の中でも、認証情報の悪用は非常に効果のある攻撃ベクトルです。同じパスワードを複数のアカウントで使い回している人が多ければ、なおさらです。 認証情報の悪用は、個人にも組織にも、情報漏洩、個人情報の盗難、金銭的損失、風評被害につながる恐れがあります。
この続きをお読みいただき、認証情報の悪用が発生する仕組み、ビジネスへの影響、またこれを防御する方法について知っておいてください。
「認証情報の盗難」と「認証情報の悪用」
「認証情報の盗難」と「認証情報の悪用」は、同義で扱われることもありますが、サイバー攻撃では異なる段階を指す用語です。認証情報の盗難とは、フィッシングメールなどのソーシャルエンジニアリング手口、マルウェア感染、情報漏洩を通じてユーザー名とパスワードを盗難する最初の行為です。 一方、認証情報の悪用は、認証情報が盗まれた後に発生します。 この段階でサイバー犯罪者は、盗まれた認証情報を使用するクレデンシャルスタッフィングやブルートフォース攻撃といった手口によりシステムに侵入し、アカウント乗っ取りを仕掛けたり、ネットワーク内で横方向に移動したりします。
基本的に、認証情報の盗難は家の鍵を盗む泥棒のようなもので、認証情報の悪用は、家に侵入して貴重品をあさるためにその鍵を使う行為に例えられます。
認証情報の悪用が発生する経緯
認証情報の悪用は通常、最初にサイバー犯罪者が認証情報を盗むために特定の戦術を使用し、その後に発生します。 サイバー犯罪者が認証情報を悪用する前に、その情報を獲得する方法の代表例をいくつかご説明します。
- フィッシング: サイバー犯罪者はフィッシングを利用してログインの認証情報を共有させるよう騙します。被害者は、信頼できると見える送信元からメールやメッセージを受け取りますが、罠にかけるためのリンクや添付ファイルをひとたびクリックすると、ねつ造されたログインページに誘導されます。被害者が自分の認証情報をそのなりすましサイトに入力すると、サイバー犯罪者はそれを盗み、ほかのアカウントにアクセスするために使用します。
- マルウェア: マルウェアは、デバイスを感染させ、その影でひそかに認証情報を盗難します。マルウェアの一種であるキーロガーは、被害者が知らないうちに、許可もなく、キーボードを打つタイピンクの動きを逐一記録します。これには、認証情報を入力する動きも含まれます。認証情報が記録されるとサイバー犯罪者に送信され、後でシステムに不正アクセスするために使用されることがあります。
- 弱いパスワードを使う習慣: 強度が弱く、使い回しされているパスワードは、サイバー犯罪者には金銭価値があります。パスワードが複数のアカウントで使い回されていれば、サイバー犯罪者には1組の認証情報さえあれば、多くのアカウントにアクセスできる可能性があります。パスワードが使い回されていなかったとしても、強度の弱いパスワードや、よくあるパスワードは、ブルートフォース攻撃の格好の標的になります。
- 情報漏洩: 組織が情報漏洩に見舞われると、大量の数のユーザー名とパスワードが露出する可能性があります。盗まれた認証情報は大概、サイバー犯罪者が将来的なサイバー攻撃を見込んで認証情報を取引するダークウェブで販売されます。
- 中間者 (MITM) 攻撃: 中間者 (MITM) 攻撃では、サイバー犯罪者は水面下でユーザーとウェブサイトのやりとりを傍受します。使用している接続が安全でない場合、ユーザーがログイン認証情報を入力すると、サイバー犯罪者はそれを盗むことができます。
認証情報の悪用から企業が受ける影響
認証情報の悪用は、あらゆる規模の企業にさまざまなセキュリティリスクを招きます。 サイバー犯罪者が盗まれた認証情報を使って重要なシステムに不正アクセスすると、結果的に金銭的損失、情報漏洩、さらには長期にわたる企業イメージの低下にも及ぶ恐れがあります。
金銭的損失
認証情報の悪用による最も深刻な影響のひとつに、金銭的な損害があります。 IBMによる2025年データ侵害のコストに関する調査によれば、認証情報の侵害から組織にかかるコストは、1回の漏洩で平均460万ドルとされ、これは最も高価な攻撃ベクトルのひとつです。 企業は、認証情報の悪用など、セキュリティインシデントに対応する際に多大なコストに直面します。例えば、サイバーセキュリティの専門家を雇う、新たな予防対策を導入する、影響を受けた顧客への補償、法律違反への対応が必要になるでしょう。
データ漏洩
盗まれた認証情報は情報漏洩の主な原因のひとつになります。これを使えばサイバー犯罪者は、セキュリティシステムを回避して、機密データにアクセスできてしまいます。 情報漏洩は大概、顧客データ、従業員の知的財産、ビジネスの機密情報など、機密データの露出に繋がります。 一旦データが漏洩したり、ダークウェブで取り引きされたりすると、企業は、コンプライアンス基準への違反による訴訟や罰金など、深刻な結果に直面する危険性があります。
企業イメージの低下
金銭面とセキュリティ上の影響に留まらず、認証情報の悪用から組織の評判に重大な損害を招くリスクがあります。 企業は機密性の高い情報を保護するという期待を顧客と投資家から寄せられていますが、セキュリティ対策の不備が原因で情報漏洩が発生すると、その信頼が台無しになる可能性があります。 クレデンシャルスタッフィング攻撃の顕著な例は、認証情報の強度の弱さと使い回しにより、59万件以上もの顧客アカウントが侵害を受けたRokuのインシデントです。 このようなセキュリティインシデントからネガティブな報道が流れ、顧客を失い、修復が難しい長期的なブランドのイメージダウンにつながります。
認証情報の悪用の予防策
認証情報の悪用から組織を守るために求められることは、適切なセキュリティ対策とユーザー意識を継続して保つことです。 組織で認証情報悪用のリスクを軽減するためにできる主な方法をご紹介します。
- パスワードマネージャーを使用する: 信頼できるパスワードマネージャーを組織に実装すれば、従業員は強力でユニークなパスワードを生成、保管、自動入力することができます。Keeper®のような、ダークウェブモニタリング機能を備えたパスワードマネージャーを選択しましょう。この機能は、自分の認証情報が既知の情報漏洩やダークウェブで見つかった場合にユーザーに通知します。
- 強力なパスワードポリシーを実施する: すべてのアカウントに強力でユニークなパスワードを必須にし、少なくとも16文字以上、大文字、小文字、数字、記号を組み合わせるパスワードルールを適用します。
- 多要素認証 (MFA) を有効にする: パスワード以外にも、認証アプリやハードウェアセキュリティキーなどの多要素認証 (MFA) 方式を追加し、不正アクセスを防止しましょう。パスキーや生体認証など、破られる可能性がはるかに低い最新鋭のMFA方式も検討してください。
- フィッシング攻撃の見破り方を従業員に教える: 不審なメール、偽のログインページ、他の一般的なフィッシング手口を見破る方法について、従業員を教育します。セキュリティトレーニングやフィッシング攻撃に関するテストを定期的に行うと、組織全体でサイバー攻撃の脅威に対する意識が高まり、サイバー衛生の強化につながります。
Keeperで認証情報を保護する
情報漏洩から金銭的損害まで、認証情報の悪用はセキュリティと企業イメージに深刻なリスクを投げ掛けます。 幸いにも、適切なツールとベストプラクティスを用いて、このような脅威のリスクを軽減できます。 Keeperは、従業員の認証情報を保護するために役立つ、ゼロ知識暗号化、強力なパスワードポリシーの実施、多要素認証の導入、漏洩した認証情報がないかダークウェブを監視するなど、さまざまな機能を提供しています。 Keeperビジネスパスワードマネージャーを利用すると、組織は、認証情報が悪用されるリスクを最小限に抑えながら、安全にパスワードを管理し、チーム内でパスワード共有できるようになります。
組織の認証情報周りのセキュリティ強化に向けて、まずはKeeperの無料トライアルをお試しください。
よくある質問
What are credential-based attacks?
認証情報に基づく攻撃とは、サイバー犯罪者が盗まれたあるいは漏洩したユーザー名とパスワードを利用して、オンラインアカウントや重要なシステムに不正アクセスするサイバー攻撃です。 これらの攻撃には、ログイン認証情報を悪用するためのクレデンシャルスタッフィング、ブルートフォース攻撃、フィッシング攻撃があります。 パスワードを使い回す人は多いため、1つの組み合わせでも認証情報が漏洩すると、サイバー攻撃者は多数のオンラインアカウントにアクセスできることになります。
How are credentials compromised?
認証情報の漏洩は主に、フィッシング、マルウェア、情報漏洩を通して発生します。 サイバー犯罪者は、強度の弱いパスワードや、使い回しされているパスワードを悪用するためにクレデンシャルスタッフィングやブルートフォース攻撃を利用し、安全でないネットワークでログインを傍受するために中間者 (MITM) 攻撃を利用します。 弱いパスワードを使い慣れているユーザーが公共Wi-Fiを使用すると、認証情報が漏洩する危険性が高くなります。
What credentials could be compromised?
次のような認証情報を含め、多くの種類の認証情報が盗まれる危険があります。
– ユーザー名とパスワード
– ワンタイムパスワード (OTP)
– セキュリティトークン
– APIキー
– SSHキー
– OAuthトークン
あまり表に出てこないセキュリティ対策として、セキュリティの質問と回答や、特定のデバイスのみに保存された認証データ (デバイスバウンド認証データ) などがあります。これもサイバー犯罪者にとっては価値があります。 どのような認証情報でも漏洩すれば、サイバー犯罪者はそれを使ってアカウントにアクセスするだけでなく、サービスの偽造、データの盗難、ネットワーク内の横方向移動 (ラテラルムーブメント) を行う可能性があります。
