海外ブログ

なぜパスワードセキュリティが今なお話題になるのか

2023.10.09

2023年9月28日、Christine Barry

認証情報を保護することは、ランサムウェアやその他のサイバー攻撃から身を守るためにできる最も重要なことの１つです。パスワード管理やベストプラクティス、多要素認証について書かれた記事は何千とあります。ネットワークドメインやソフトウェア・アズ・ア・サービス（SaaS）アプリケーションをはじめとするシステムの多くは、クレデンシャルに複雑なパスワードを要求しますし、ごく基本的なコンピューターユーザーでもパスワードは共有しないようにという話は聞かされています。なのになぜ、まだパスワードが話題になるのでしょうか。2023年ベライゾンデータ侵害調査レポート（Verizon Data Breach Investigations Report; DBIR）では、脅威アクターが個人データや社会保障番号のような機密情報を含むどのデータタイプよりもクレデンシャルを重視していることが明らかになっています。盗まれたクレデンシャルは全データ侵害の44.7%を占め、2022年の41.6%から増加しています。同レポートによると、盗まれた認証情報はデータ侵害の最も一般的な入口であり、北米（67%）および欧州・中東・アフリカ（53%）で発生した侵害で最も侵害されたデータタイプです。は、盗まれた後も有効なままの認証情報こそが、最も危険な盗まれた認証情報なのです。攻撃者は、認証されたユーザーとして標的のシステムにログインしたがります。認証情報が手に入れば、攻撃者は認証されたユーザーとしてシステムを渡り歩くことができ、長い時間、侵入を検知されることもありません。クレデンシャルはとりわけ、国家アクターや大物ハンターにとって重要なのです。

サイバー攻撃におけるクレデンシャルの使われ方

古くなった認証情報はそれほど価値がないかもしれませんが、攻撃者にとっては古いログイン情報の使用方法がいくつか残っています。だからこそ、盗まれたデータがほぼ間違いなくほかの攻撃者に売られ、より大きなデータセットがより高い価格で売られるのです。以下は、サイバー攻撃でクレデンシャルが使用されるいくつかの方法です。

不正アクセス：クレデンシャルセットの最もわかりやすい使用法は、先ほど述べたように犯罪者がログイン情報を使ってシステムにアクセスし、攻撃を続行する、というものです。

クレデンシャルスタッフィング：これは自動化された攻撃で、盗まれたクレデンシャルセットをローテーションすることによって、Web アプリケーションへのログインを試みます。クレデンシャルセットが多くの異なるWeb アプリケーションで使用されるため、クレデンシャルが最新であるか古いかは問題ではありません。

ユーザー ID とパスワードは、鍵のかかったドアの物理的な鍵のようなものだと考えてください。犯罪者が、同じような鍵の入った袋を持ち、ドアにある鍵をひとつひとつ試して、中に入れるかどうか確かめているところを想像してみてください。そのドアは、銀行、小売店、医療ポータル、空調管理システム、その他のオンライン・サービスに通じているかもしれない。もし鍵が開けられれば、犯罪者はあなたの鍵で開けられるものすべてにアクセスできることになります。１つの鍵が機能しなくても、犯罪者にとっては大した問題ではありません。鍵は何百万とありますし、同時に多くの異なるドアでそれらを使用するボットの軍隊も従えているからです。

複数の調査で、パスワードはしばしば再利用され、共有されていることが明らかになっています。つまり、盗まれたクレデンシャルの一部が複数のシステムで機能する可能性がかなりあるということです。クレデンシャルスタッフィングは非常に一般的な攻撃です。

パスワードの散布：この攻撃はクレデンシャルスタッフィングに似ていますが、全てに同じパスワードで組まれたユーザーアカウントのリストをローテーションします。手軽な犯罪者-ドア-鍵のシナリオでは、鍵は完全なクレデンシャルセットではなく、１つのパスワードを指します。犯人は１つの鍵をすべてのドアで試した後、別の鍵を持って最初の家からまた試します。これは、ルーターや CCTV カメラをはじめとするスマート・デバイスなど、デフォルトパスワードを使用するシステムで最も効果的な攻撃です。この攻撃は、たとえパスワードがなくても犯罪者が確認されたユーザー名を重視する理由の好例です。

ブルートフォース：多くの人はこの攻撃をドアを開けるのに破城槌を使うことに例えますが、筆者はむしろヘアピンなどで錠前をこじ開けるピッキングに似ていると考えています。ブルートフォース（総当たり）攻撃は、攻撃が成功するまで「あらゆる可能な文字、数字、記号の組み合わせを系統的に試す」ことによってパスワードを発見しようとする自動的な試みとユーザー名をペアにしてシステムにログインしようとするものです。この攻撃のほとんどは、単語リストや一般的なパスワード、スマートルールセットから始まり、可能なすべての組み合わせを使ってパスワードを構築しようとします。十分な時間があれば、ブルートフォース攻撃はすべて成功します。ただし、パスワードが複雑で単語リストにもない場合は、正しいパスワードを推測するまでに何年もかかる可能性があります。

こうした攻撃を防御する方法

パスワードセキュリティに関する意識向上と実施に向けた取り組みはかなり進んできているとはいえ、脆弱な認証情報や露出した認証情報から始まる攻撃は依然として相当数見受けられます。ダラス市に対する最近のランサムウェア攻撃は、犯罪者が盗んだ認証情報でどれだけのことができるかを示す一例に過ぎません。認証情報を保護することは、セキュリティ計画の優先事項でなければなりません。パスワード管理のベストプラクティスを導入することは重要な第一歩ですが、それだけでは十分ではありません。企業は、受信トレイ、アプリケーション、エンドポイント、ネットワークエッジを防御するマルチレベルの保護を導入すべきです。

バラクーダのサイバーセキュリティプラットフォームでは、このようなすべての脅威ベクトルを防御し、データを保護できます。このソリューションは、メール、ネットワーク、アプリケーションなど、すべての攻撃サービスを保護します。このような完全なサイバーセキュリティソリューションを提供している企業はほかにありません。

原文はこちら
パスワード・セキュリティについて語り続ける理由
2023年9月28日 Christine Barry
https://blog.barracuda.com/2021/09/27/why-we-keep-talking-about-password-security