組織は現在、クラウド サービス、Software-as-a-Service アプリケーション、エンドポイント、リモート環境全体にわたって、何千もの人間および人間以外のアイデンティティを管理しています。ハイブリッド作業、BYOD (Bring Your Own Device)、およびサードパーティによるアクセスが拡大し続けるにつれ、セキュリティ チームは、誰が何にアクセスできるのか、またそのアクセスが信頼できるかどうかを把握できなくなりつつあります。
多くの場合、インフラストラクチャの脆弱性を直接悪用するよりも、アカウントを侵害する方が迅速かつ静かであるため、攻撃者はその複雑性を利用しています。防御者にとって、正規の ID に関連する悪意のあるアクティビティを検出することは、今日の最大のセキュリティ課題の 1 つです。
では、アカウント乗っ取り攻撃の増加の原因は何でしょうか?組織はどのようにしてアイデンティティを保護できるのでしょうか?
パスワードではなくセッションをフィッシングする
認証情報の悪用は、攻撃者が組織にアクセスする最も信頼性の高い方法の 1 つであり、2025 年の侵害の 22% を占めています。攻撃者は、InfoStealer マルウェア、フィッシング キャンペーン、または以前の侵害からの認証情報ダンプを通じてユーザー名とパスワードを取得します。
多要素認証 (MFA) は依然としてアカウント侵害に対する最も重要な防御策の 1 つですが、攻撃者は認証プロセスをターゲットにする戦術を採用しています。
一般的な手法は MFA 疲労であり、即時爆撃とも呼ばれます。これには、ユーザーが最終的に受け入れるまで MFA 承認リクエストを繰り返しトリガーすることが含まれます。これは通常、受信する大量の通知に対する不満が原因です。
有名な例は 2022 年に発生したもので、攻撃者は Uber 従業員を標的にし、承認されるまで MFA のプロンプトを繰り返しました。
この最初のアクセスにより、攻撃者は権限を昇格させて Uber の環境に深く侵入し、最終的にクラウド インフラストラクチャの大部分を侵害し、従業員データを漏洩させることができました。
攻撃者はまた、中間者フレームワークとセッション ハイジャック ツールを使用して、ログイン後に認証されたセッション トークンを盗むことで MFA を完全にバイパスしています。
クレデンシャルフィッシング攻撃は従来のセキュリティをバイパスしています
資格情報の盗難を目的としたフィッシングは依然として人気があり、最新の攻撃は新たなレベルに達しています。現在、攻撃者は正規のホスティング サービス、信頼できるドメイン、リバース プロキシ、AI 生成コンテンツを使用して、実際のログイン ポータルを模倣したフィッシング ページを作成しています。
Speccops の親会社である Outpost24 の脅威研究者は最近、検出を回避して信頼性を高めることを目的としたマルチチェーン リダイレクト攻撃を介して正規の Cisco ドメインを利用したフィッシング キャンペーンを発見しました。
このようなキャンペーンは、セキュリティを重視するユーザーであっても、フィッシング攻撃を特定することがいかに難しいかを示しています。
Verizon のデータ侵害調査報告書によると、侵害の 44.7% には認証情報の盗難が含まれていました。
準拠したパスワード ポリシーで Active Directory を簡単に保護し、侵害された 40 億を超えるパスワードをブロックし、セキュリティを強化し、サポートの手間を軽減します。
無料で試してみる
ツールが攻撃対象領域を拡大している
現在、従業員は個人のラップトップ、管理されていないモバイル デバイス、および従来のセキュリティ管理の外で動作するシステムから企業アプリケーションに日常的にアクセスしています。
このため、IT 部門は、従業員がセキュリティ更新プログラムが適用されていないデバイスやマルウェアに感染したデバイスを使用して内部ネットワークに接続しているかどうかを把握することができません。
侵害されたエンドポイントは、信頼できる環境への貴重なルートも提供します。特に、Infostellar マルウェアは、認証情報、ブラウザに保存されているパスワード、認証されたセッション Cookie をユーザー デバイスから直接悪用することにより、アカウント乗っ取り活動の主な原因となっています。
ここで、Specops Device Trust のような特殊なソリューションが役立ちます。 SpeakOps Device Trust は、セッション全体を通じて継続的にスキャンすることで、無効になっているセキュリティ制御や古いソフトウェアなどのアクティブな脅威をチェックします。
既存の ID プロバイダー、VPN、SSO ツールとの統合により、セキュリティ チームは現在の設定を置き換えるのではなく拡張し、ユーザーに負担を与えることなくアクセスの決定を統合できます。
ID ベースの攻撃を防ぐのはなぜ非常に難しいのでしょうか?
アカウント乗っ取り攻撃が成功し続ける主な理由の 1 つは、多くのセキュリティ制御が依然として認証の成功を信頼の唯一の証拠とみなしていることです。従来の ID およびアクセス管理ツールは、資格情報と認証フローを検証するように設計されており、必ずしもその背後にいる人物が実際に信頼できるかどうかを検証するわけではありません。
組織がハイブリッド ワーク モデル、クラウド ファースト インフラストラクチャ、BYOD ポリシーを採用するにつれて、この課題はさらに顕著になってきています。セキュリティ チームは、強力なアクセス制御と使いやすさおよび生産性のニーズのバランスをとろうとしています。
これでは妥協が難しくなります。セキュリティ標準を満たしておらず、ユーザーの混乱を招くリスクがあるデバイスからのアクセスをブロックするか、アクセスを許可して一部のデバイスがすでに侵害されている可能性があることを受け入れるかのいずれかです。根底にある信頼の問題に完全に対処しない限り、ほとんどの組織は中間のどこかで終わってしまいます。
Clorox や Marks & Spencer などの組織における注目を集めた事件は、アイデンティティだけではもはや信頼の十分な指標ではないという同じ教訓を強化しました。
最新のアカウント乗っ取り攻撃を防ぐには、ユーザー名とパスワードを検証するだけでは不十分です。組織は、アクセス ライフサイクル全体を通じて、デバイスのステータス、セッション リスク、および動作シグナルを可視化することも必要です。
この変化により、ログイン時だけでなくセッション全体を通して信頼性が評価される継続的検証モデルへの関心が高まっています。
Specops でアカウント乗っ取りリスクに対処する
Specops Device Trust は、ゼロトラスト ID セキュリティを必要とする開発を提供します。デバイスの信頼性を方程式に組み込むことで、セキュリティ チームは誰がリソースにアクセスしているかを明確に把握できます。
- デバイス認証: ユーザーを信頼できるデバイスとペアリングすることで、承認されたデバイスのみが機密リソースにアクセスできるようにします。
- 継続的な機器検証: OS アップデート、ブラウザのバージョン、セキュリティ ツールなどの要素について、ログイン中およびセッション全体のデバイスのステータスを確認します。
- 柔軟なデバイスの適用範囲: リスクとコンテキストに基づいてアクセスをカスタマイズする機能により、企業デバイスと個人デバイスの両方にポリシーを適用します。
- オンアクセス防止: ユーザーを不必要に混乱させることなく、問題が発生したときに解決します。パスワードをリセットしたり、アクセスを完全にブロックしたりするのではなく、問題を解決して安全に作業を継続できるようにユーザーをガイドできます。強力な ID 保護は、強力な認証とシームレスなユーザー エクスペリエンスを組み合わせます。
Specops でデバイスの信頼性を念頭に置くことで、チームの速度を低下させることなくアカウント乗っ取りの可能性を減らすことができます。
このアプローチがお客様の環境にどのように適合するかを確認したい場合は、今すぐお問い合わせください。
Specops Software がスポンサーおよび執筆。
Leave a Reply