侵害されたパスワードはサイバー犯罪の通貨
サイバー犯罪者たちは、闇市場のフォーラムで合計1000億件を超える侵害済み認証情報にアクセスできる状況にある。これは前年より42%も増加した数字だと、上記FortiGuard Labsのレポートは警告している。このため、BestCombo、BloddyMery、ValidMailなどのグループが、盗まれた検証済みパスワードやユーザー名、メールアドレスをまとめて「コンボリスト」として用いることで、自動的な認証情報攻撃を容易にしている。これにより「アカウント乗っ取りや金融詐欺、企業スパイ活動が急増している」と同レポートは述べている。
「従来のセキュリティ対策だけでは、もはや十分ではありません」と、FortinetのFortiGuard Labsでチーフセキュリティストラテジストを務めるデレク・マンキーは語る。「組織はAIやゼロトラスト、継続的な脅威エクスポージャー管理を活用した、プロアクティブかつインテリジェンス主導の防御戦略に転換し、急速に変化する脅威の状況を先取りしなくてはなりません」。そのためにも、急増するインフォスティーラーマルウェアの脅威を防ぐべく、パスワード管理を強化する必要があるわけだ。
パスワード管理を見直すきっかけとなるワールドパスワードデー
5月1日は「ワールドパスワードデー」(世界パスワードの日)だった。この機会に、セキュリティ専門家がどのようなアドバイスをしているかを見てみよう。
「パスワード管理が杜撰だと、攻撃者にユーザーの認証情報を推測・窃取され、それがブラックマーケットで売られてしまいます」と、ApricornのEMEA(欧州・中東・アフリカ)担当マネージングディレクターであるジョン・フィールディングは指摘する。こうした認証情報は、その後パスワードスプレー攻撃(複数のアカウントに対して少数のパスワードを試す攻撃)に利用されるという。「ところがリスクがあるにもかかわらず、企業の4分の1以上(27%)は、強力なパスワードを設定するようユーザーに義務づけるポリシーをいまだに導入していません。これはサイバーセキュリティの基本対策とみなされているのに残念です」とフィールディングは述べる。さらにポリシーを持っている企業でも、頻繁な変更を求める方針がユーザーの反発を招き、「元のパスワードにわずかな変更を加えるだけにしたり、覚えやすいが総当たり攻撃に弱いパスワードにしてしまう」可能性があるとも警告している。
「ワールドパスワードデーは個人だけでなく、組織も主体的な役割を果たすべきイベントです」と、CyXcelのデータプライバシーおよびサイバーセキュリティ弁護士であるミケーラ・レスタは語る。組織にとっての適切なパスワード管理とは、単にパスワードポリシーを作るだけでなく、それを徹底的に施行することだとレスタはアドバイスする。「たとえば10文字以上で記号と数字、大文字小文字を混在させるパスワードを義務づけるのなら、システム側もそれを支援し、ユーザーがルールを回避したり古いパスワードを再利用したりできないようにすることが基本になります」とレスタは述べる。ただし、どんなに強力なパスワードでもハッカーを完全には防げない事実を忘れてはならない。たとえ2要素認証(2FA)を使っていても、端末の侵害やソーシャルエンジニアリングによる攻撃で突破されるリスクは残る。「だからこそ、組織は強力なサイバーセキュリティ対策を導入するだけでなく、十分に整備され定期的にテストされるインシデント対応計画を維持することが重要です」とレスタは強調する。
