採用情報

お問い合わせ

BLOG

  1. HOME
  2. BLOG
  3. 電子認証局サービス BLOG
  4. クライアント認証ソリューション
  5. 増加する「ID」ベースの攻撃といますぐにできる対策とは?

電子認証局サービス BLOG

クライアント認証ソリューション

2024 年 02 月 19 日

増加する「ID」ベースの攻撃といますぐにできる対策とは?

当ブログでも過去に紹介したランサムウェア「Akira」や、多要素認証を回避するフィッシング攻撃「AiTM」のように、サイバー攻撃は巧妙化・高度化が急速に進んでいます。
今回は、増加する「ID」ベースの攻撃といますぐにできる対策について、くわしく解説します。

「ID」と「ID」ベースの攻撃

「ID」とは、そのデータやもの、ユーザーを特定するための一意性がある識別情報のことです。
「ID」の例としては、インターネット上のサービスや社内システムへアクセスするための「ユーザー ID・パスワード」などがあります。
例えば、社内システムへアクセスするための「ID」である「ユーザー ID・パスワード」が攻撃者に窃取されてしまった場合は、その「ID」を使用して正規のユーザーになりすまし、その組織の内部システムや機密データに不正アクセスが可能となるため、機密情報や個人情報が外部に漏洩してしまうことになります。
この「ID」を標的とした攻撃のことを指して、「ID」ベースの攻撃と呼んでいます。
「ID」ベースの攻撃は、以下のようなものが挙げられます。

  • ID ベースのフィッシング
  • クレデンシャルスタッフィング (Credential Stuffing)
    漏洩した「ID」を別のシステムやサービスに用いて不正アクセスをする攻撃手法
  • 中間者(MitM)攻撃
    二者の通信に割り込み、「ID」のようなデータの盗聴や改ざんを行う攻撃手法
  • ソーシャルエンジニアリング
    「ID」などの情報を PC 画面の盗み見のような情報通信技術を使わずに盗み取る攻撃手法

ソーシャルエンジニアリングのイメージ写真

「ID」の多様化と増加するフィッシング

ID 中心のセキュリティ戦略に関する教育と情報を発信している非営利団体の IDSA(Identity Defined Security Alliance) の発表したレポート「IDSA 2023 Trends in Identity Security」において、1000 人以上を抱える組織における IT セキュリティ とアイデンティティに深い見識を持つ 529 名の個人に対して行われた調査によると、「ID」の多様化が進む背景として以下のような要因が挙げられています。

  • クラウド・アプリケーションの採用(52%)
  • リモートワークの浸透(50%)
  • モバイル・デバイスの利用の拡大(44%)

また、「ID」の多様化によりユーザーが使用する「ID」も増加するため、「ID」を標的とする「ID」ベースの攻撃も増加します。
実際、当ブログの「QR コードを悪用したフィッシングメールに要注意!」や「 ドメイン名ハイジャックによるドメイン名の乗っ取りに注意 」でもご紹介したとおり、2023 年 10 月、フィッシング対策協議会が公表した フィッシング報告状況 によると、過去最多となる 156,804 件となりました。

2023/12 フィッシング報告状況

(出典)フィッシング対策協議会「2023/12 フィッシング報告状況 」

加えて、IDSA の調査報告によると、実際に組織が受けた攻撃の中で最も多かったのは「フィッシング(Phishing)」が 62%で1位であり、2 位の「クレデンシャルスタッフィング」などを含む「ブルートフォース攻撃(総当たり攻撃)」の 31%と比較しても、フィッシング攻撃が群を抜いて 1 位となっています。

IDSA 2023 Trends in Identity Security

(出典)IDSA のレポート「IDSA 2023 Trends in Identity Security」

そして、このフィッシング攻撃の経路としては、「メールによるフィッシング」が 93%と最も多く、さらにユーザー起因の ID 関連のインシデントについても、「フィッシングメールを受け取ったユーザーによるクリック」が発生原因となっているものが 57% と最も多い状況となっています。

フィッシングのイメージ写真

もし、窃取された「ID」の悪用による情報漏洩のようなインシデントが発生したとしたら、インシデントからのリカバリのコストがかかり、業務へにも支障が発生し、会社へのネガティブな評価による悪影響もあるため、「ID」ベースの攻撃への対策、とりわけフィッシングに対する対策は急いで行う必要があります。

フィッシング耐性の多要素認証(MFA)

では、この増加する「ID」ベースの攻撃、特にフィッシングの対策はどのようにしたらよいでしょうか。
これらの対策としては 多要素認証(MFA) が有効かつ重要です。

多要素認証のイメージ図

「ID」以外のほかの要素による認証も行うことで「ID」が漏洩したとしても、別の要素の認証に失敗するため、インシデントを未然に防ぐ、あるいはインシデントの被害を最小化することが可能です。

また、多要素認証(MFA) の設定には様々な認証方法の選択肢があるため、ID/ パスワード以外のユーザーの負担が少ない認証方法の組み合わせを選択することで、ユーザーの利便性向上が期待できます。

なお、冒頭でもご紹介した フィッシング攻撃「AiTM」 にように、SMS や認証アプリなどの他の要素による認証を回避する攻撃も存在するため、多要素認証(MFA)を導入される際には「フィッシング耐性」が高い「証明書ベースの認証」を選択することが有効です。

「サイバートラスト デバイス ID」のご紹介

「サイバートラスト デバイス ID」の特長

サイバートラスト デバイス ID」は、 デバイス識別情報を遠隔で確認 した上で管理者が許可したデバイスに登録します。
厳格なデバイス認証を実施してクライアント証明書をデバイスに登録することで、本人が所持しているという情報に加えて、" どの " デバイスからのアクセスを許可するかも制限可能です。

つまり、アクセスを許可していないユーザーはもとより、アクセスを許可しているユーザーであっても、そのユーザーによるデバイスの私的利用や持ち込みを防ぐことが可能となります。

また、クライアント証明書を所持していれば、クライアント認証に対応している複数のサービス・システムの認証要素として使用可能なため、ユーザーの利便性向上が期待できます。

デバイス ID の運用イメージ図

多要素認証(MFA)の導入を検討いただく際には、ぜひ認証要素の 1 つとして、「サイバートラスト デバイス ID」の導入もご検討いただけますと幸いです。

「使用感を実際に体験してみたい」、「既存の環境で運用できるか検証したい」などのご要望の際は、是非とも 無償トライアル を通じてデバイス ID をお試しください。

サイバートラスト デバイスID 無償トライアル期間延長キャンペーン

< 前の記事へ
最新版「医療情報システムの安全管理に関するガイドライン」における押さえておくべきサイバーセキュリティ対策とは?
次の記事へ >
最新版「教育情報セキュリティポリシーに関するガイドライン」に見る教育現場における情報セキュリティとは?
最新 BLOG 記事
医師の2024年問題!~スマートフォンを活用した医療現場における業務効率化とは?~
医師の2024年問題!~スマートフォンを活用した医療現場における業務効率化とは?~
2024 年 04 月 24 日
学習 e ポータル、校務支援システムのセキュリティリスクと対応急務の対策とは?
学習 e ポータル、校務支援システムのセキュリティリスクと対応急務の対策とは?
2024 年 04 月 12 日
【AWS ALB× デバイス ID】デバイス ID 証明書でクライアント認証してみた
【AWS ALB× デバイス ID】デバイス ID 証明書でクライアント認証してみた
2024 年 03 月 28 日
最新版「教育情報セキュリティポリシーに関するガイドライン」に見る教育現場における情報セキュリティとは?
最新版「教育情報セキュリティポリシーに関するガイドライン」に見る教育現場における情報セキュリティとは?
2024 年 03 月 11 日
増加する「ID」ベースの攻撃といますぐにできる対策とは?
増加する「ID」ベースの攻撃といますぐにできる対策とは?
2024 年 02 月 19 日
最新版「医療情報システムの安全管理に関するガイドライン」における押さえておくべきサイバーセキュリティ対策とは?
最新版「医療情報システムの安全管理に関するガイドライン」における押さえておくべきサイバーセキュリティ対策とは?
2024 年 02 月 05 日
カテゴリ
CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime