パスワードの安全性について話し続ける理由
トピック: Email Security, Email Threat Scanner, Series: Back to basics
2021年9月27日、Christine Barry
認証情報を保護することは、ランサムウェアなどのサイバー攻撃から身を守るためにできる最も重要なことの一つです。パスワードマネージャー、ベストプラクティス、多要素認証に関する記事は何千もあります。ネットワークドメイン、SaaSアプリケーション、その他のシステムでは、クレデンシャルセットに複雑なパスワードを要求されることが多く、最も基本的なコンピュータユーザでさえ、パスワードを共有しないように言われています。では、なぜ私たちはいまだにこのトピックについて話しているのでしょうか。
ベライゾンの2021年データ漏洩/侵害調査報告書(DBIR)では、脅威となる人物が社会保障番号などの個人データを含む他のどのデータタイプよりも、認証情報を重視していることが明らかになっています。盗まれた認証情報は、システムへの侵入、データの流出、マルウェアの感染、そして多くの種類の詐欺行為につながります。同報告書によると、基本的なWebアプリケーション攻撃の80%、ランサムウェア攻撃の少なくとも60%が、盗まれた認証情報やブルートフォース攻撃に依存しています。クレデンシャルスタッフィング攻撃は、この報告書のためにモニターした組織におけるセキュリティインシデントの23%の要因となっています。
盗まれた認証情報の中で最も危険なのは、盗まれた後も有効なままの認証情報です。攻撃者は、認証されたユーザとして標的となるシステムにログインしたいと考えます。これにより、認証されたユーザとしてシステムを渡り歩くことができ、多くの場合、侵入検知から隠れることができる時間が長くなります。現在の認証情報は、民族・国家のアクターや大物狙いのハンターにとって特に重要です。
サイバー攻撃での認証情報の利用方法
古くなった認証情報の価値は下がっているかもしれませんが、攻撃者が古いログイン情報を利用する方法はいくつかあります。このことは、盗まれたデータはほとんどの場合、他の攻撃者に販売され、より大きなデータセットは高額で販売されることが多いという事実からも明らかです。ここでは、サイバー攻撃で認証情報が使用されるさまざまな方法を紹介します。
不正なアクセス:クレデンシャルセットの最もわかりやすい使い方は、前述のものです。犯罪者はログイン情報を使ってシステムにアクセスし、攻撃を進めます。
クレデンシャルスタッフィング:これは、盗まれたクレデンシャルセットを回すことで、Webアプリケーションにログインしようとする自動化された攻撃です。クレデンシャルセットは多くの異なるWebアプリケーションで使用されているため、認証情報が最新のものであるか、古いものであるかは関係ありません。
ユーザIDとパスワードは、ロックされたドアの物理的な鍵のようなものだと考えるといいかもしれません。あなたと同じような鍵の入ったバッグを持った犯罪者が、それぞれの鍵をドアに当てて侵入できるかどうか試しているところを想像してみてください。そのドアは、銀行、小売店、医療ポータル、HVAC管理システム、その他のオンラインサービスにつながっているかもしれません。鍵が使えれば、あなたの鍵で開けることができるすべてのものにアクセスできます。鍵が使えなくても、彼らにとっては問題ではありません。彼らは何百万もの鍵を持っていて、それを使って同時に様々なドアを開けるボットの軍隊を持っています。
複数の調査によると、パスワードは再利用され、共有されることが多いことが明らかになっています。つまり、盗まれた認証情報の一部は、複数のシステムで機能する可能性がかなり高いということです。クレデンシャルスタッフィングは、非常に一般的な攻撃です。
パスワードスプレー:この攻撃は、クレデンシャルスタッフィングに似ていますが、同じパスワードを持つユーザアカウントのリストを回して使用します。Handy criminal-door-keyシナリオでは、鍵は完全なクレデンシャルセットではなく、1つのパスワードを表しています。犯罪者は、1つの鍵をすべてのドアで試した後、別の鍵を持って最初の家に戻ります。これは、ルーター、CCTVカメラ、その他のスマートデバイスなど、デフォルトのパスワードを使用するシステムに最も効果的です。この攻撃は、犯罪者が、たとえパスワードが付いていなくても、認証されたユーザ名を重視する理由を示す良い例です。
ブルートフォース:多くの人は、この攻撃をドアを叩くハンマーに例えていますが、私はむしろ鍵を開けることに近いと考えています。ブルートフォース攻撃とは、ユーザ名とパスワードを自動的に発見しようとする試みを組み合わせてシステムにログインしようとするもので、攻撃が成功するまで「文字、数字、記号の可能な限りの組み合わせを体系的に試す」ことで行われます。これらの攻撃のほとんどは、ワードリスト、一般的なパスワード、スマートルールセットから始まり、可能なすべての組み合わせを使ってパスワードを構築しようとします。十分な時間があれば、すべてのブルートフォース攻撃は成功します。パスワードが複雑で、ワードリストに登録されていない場合、ブルートフォース攻撃は、最終的に正しいパスワードを推測するまでに何年もかかることがあります。
これらのタイプの攻撃を防御するには
パスワードセキュリティに関する意識の向上と徹底が図られていますが、企業は依然として、脆弱な認証情報や露出した認証情報を利用した攻撃の犠牲になっています。認証情報の保護は、セキュリティ計画の優先事項でなければなりません。パスワード管理のベストプラクティスを導入することは、重要な第一歩ですが、それだけでは十分ではありません。企業は、ユーザをフィッシング攻撃から守る受信トレイの防御機能を導入し、エンドユーザにフィッシングやその他の電子メール攻撃について教えるセキュリティ意識向上トレーニングを実施する必要があります。また、適切なアプリケーションセキュリティとエッジセキュリティを導入することで、「認証情報を推測する」攻撃から企業を守ることができます。
今すぐできる簡単な方法は、潜在的な脅威がないか受信トレイをチェックすることです。無料のBarracuda Email Threat Scannerは、セキュリティを通過し、企業を危険にさらしている悪意のあるメールを特定します。脅威スキャンは高速で安全であり、メールのパフォーマンスに影響を与えません。ここから始めましょう。
原文はこちら:
Why we keep talking about password security
September 27, 2021 Christine Barry
https://blog.barracuda.com/2021/09/27/why-we-keep-talking-about-password-security/
No comments yet.