ブログ

資格情報の盗難: 樽に魚を撃ち込むのと同じくらい簡単

サムネイル
2017 年 2 月 8 日公開

最良のシナリオを想像してください。 ユーザーに対してセキュリティ意識向上トレーニングを実施し、ユーザーに適用されるすべての脅威について教育しました。 フィッシング詐欺師の手口とフィッシングメールによる被害を回避する方法を全員が知っているセキュリティ文化を育んでいます。 ドライブバイダウンロードに対抗するために、すべてのエンドポイントにウイルス対策ソフトウェアがインストールされています。 ユーザーは、弱いパスワードやパスワードの再利用の危険性を認識し、気にかけているために、パスワード マネージャーを使用するほど高度な知識を持っています。

パスワード

さて、現実に戻りましょう。 人間は間違いを起こしやすいので、テクノロジーを使用します。 確かに、ユーザーを教育することは、フィッシング関連のインシデントの頻度を大幅に減らすことができるため、非常に重要です。 しかし、どれだけユーザーを教育しても、間違いを犯すユーザーは必ず存在します。 によると 2016 年の Verizon データ侵害調査レポート (DBIR) によると、フィッシングの検査を受けた人の 13% がフィッシング メールの添付ファイルをクリックしています。 したがって、あなたのユーザーの誰もがその 13 パーセントに該当しないなどと考えて自分を欺かないでください。 ミスは別として、従業員の 20 パーセントはパスワードを販売する意思があり、そのうちの 44 パーセントは1,000 ドル未満であれば販売するそうです。 これらの統計を見て、「自分の組織ではそんなことは起きない」と考えているのであれば、フィッシング インシデントの発生を予測して備えていないあなた自身が間違いを犯していることになります。

フィッシングの明らかな動機は、ユーザーの認証情報を盗み、さらに深刻な攻撃を仕掛けることです。 2016 年の Verizon DBIR には、侵害された認証情報の使用に関連するインシデントが 1,429 件記録されています。 どうしてこんなことが可能なのでしょうか? ユーザーのパスワード疲れが大きな原因となっています。 モバイル バンキング アプリ、Gmail アカウント、Facebook アカウント、Amazon Prime など、個人的なニーズのために管理しているすべてのパスワードについて考えてみましょう。リストはどんどん続きます。 ここで、80% の企業がクラウドからアプリケーション (Office 365、Salesforce、Concur など) を提供しているビジネスに同じ状況を当てはめてみましょう。 企業の最も機密性の高いデータはアプリケーション内に保存されており、それらのアプリケーションには次のような一般的なパスワードの複雑さの要件がある場合があります。

  • 最低8文字
  • 少なくとも 1 つの特殊文字 (!、@、#、$ など) の使用
  • 少なくとも 1 つの大文字 (A-Z) を使用する
  • 少なくとも 1 つの数字 (0 ~ 9) を使用する


ベストプラクティスによれば、これらのアカウントごとに固有のパスワードを使用することが求められており、これらのアプリの多くでは 90 ~ 180 日ごとにパスワードを変更する必要があります。 これらすべてのパスワードを覚えておくのは大変でしょう!

現実にはこれらのパスワード要件はどのように反映されているのでしょうか? 実際のところ、ほとんどのユーザーは、より重要なアプリに対して、1 つまたは 2 つ、場合によっては 3 つのほとんどが一意のパスワードを使用し、場合によってはわずかに異なるパスワード (末尾に「1」を追加) を使用します。 つまり、1 つのパスワードが侵害されると、攻撃者が複数の資格情報セットを侵害する絶好のきっかけとなるということです。 これをどうやって止めればいいのでしょうか?

セキュリティを実装するということは、常にセキュリティとユーザーの利便性のバランスを見つけることです。 フィッシングによって引き起こされる攻撃を完全に排除することは、ペースの速い職場環境では、非常に困難な、そしておそらく不可能な作業かもしれません。 それで、私たちは何をすべきでしょうか? 

フィッシングによる資格情報の漏洩による被害を阻止、または少なくとも大幅に軽減するための優れたソリューションは、多要素認証 (MFA) です。 MFA は、ユーザーが知っている情報 (パスワード)、ユーザーが所有している情報 (トークン)、さらにはユーザー自身に関する情報 (生体認証) で構成されます。 ユーザー名とパスワードを入力し、何らかのワンタイムトークンまたは物理的な検証を提供することで、承認されたユーザーのみがアプリケーションにアクセスできるようになります。

最初の段落で説明したように、万が一、多数のユニコーン企業と連携することになったとしても、MFA ソリューションを実装する必要があることを示す証拠は十分にあります。 ウェブブラウザやパスワードマネージャは、ユーザーがベストプラクティスに準拠するのに役立つという点で確かに便利ですが、攻撃者もそれらを狙っています。 ユーザーが自動入力機能を選択すると、攻撃者は住所、生年月日、電話番号、さらにはパスワードなどの機密フィールドを非表示にし、名前や電子メールなどの基本的な入力ボックスのみを表示できます。 つまり、ユーザーのパスワードやその他の機密情報が、ユーザーには見えないテキスト フィールドに意図せず入力されることになります。 しかし、入力したテキストを難読化して暗号化し、読み取れないようにする方法はあります。

ユーザーはどこからでも、どのデバイスからでもアプリケーションに接続したいと考えています。そのため、これを安全に実行できるように支援するのはあなたの責任です。 F5 のアプリケーション アクセス ソリューションは、多数の MFA ベンダーとの簡単な統合を提供し、ユーザーに 2 番目、3 番目、あるいはそれ以上の要素の認証 (認証アプリ、Yubikey などによるワンタイム パスワード [OTP] モバイル フォン プッシュ通知など) の選択肢を提供できます。 さらに、 F5 WebSafeなどの F5 の不正防止ソリューションと連携して導入すると、ユーザー名やパスワードなど、オンライン フォームに入力されたテキストを難読化および暗号化して、保護を強化できます。

アプリケーションへの安全な認証と、ユーザーにとってシンプルでありながら強化されたエクスペリエンスを組み合わせることで、すべての人にとってのセキュリティが確保されます。