認証情報の盗難とは？

認証情報の盗難とは、オンラインアカウントまたはシステムにアクセスするために、ユーザー名、パスワード、財務情報などの個人情報を盗む行為です。これはアイデンティティの盗難の一形態であり、悪意のあるソフトウェアやフィッシング技術の使用を伴う場合があります。

クラウド環境では、アイデンティティは新しい境界です。脅威アクターはこれをよく認識しており、認証情報を標的にしてクラウド環境を侵害し、企業データを盗みます。クラウドのワークロードとサービスへのアクセスを制御することはクラウドセキュリティの基本であり、組織はクラウドアセットへのアクセスを保護するために認証情報の盗難防止を優先する必要があります。

認証情報を取得すると、攻撃者はアカウント所有者になりすまし、従業員、請負業者、サービスアカウント、またはサードパーティサプライヤなど、正当なアクセス権を持つ人に見せかけることができます。攻撃者は正当なユーザーのように見えるため、この種の攻撃は検知や防御が難しくなります。その後、脅威アクターは自分のアクセス権を使用して、標的となる組織での足場を拡大できます。

認証情報の盗難の一般的な原因

1. マルウェア

悪意のあるプログラムは、ユーザーのデバイスに感染し、認証情報を盗むことができます。マルウェア は、ドライブバイダウンロードやソーシャルエンジニアリングなどの手法を介して、疑いを持たないユーザーのマシンにインストールできます。

2. フィッシング

フィッシング攻撃は多くの場合、人気のあるブランドに対する信頼を悪用して、被害者をだまして認証情報を放棄させます。通常、魅力的なEメールを使って、受信者を悪意のあるWebサイトにアクセスさせ、そこで認証情報を入力させます。

3. 脆弱なパスワードまたはパスワードの再利用

攻撃者は、不十分なパスワードセキュリティプラクティスを利用して、システム、アプリケーション、およびデータにアクセスします。脆弱なパスワードは攻撃者が解読しやすく、パスワードの再利用は、1つのパスワードを盗まれるだけで広範な被害につながるリスクが高まります。

4. ラテラルムーブメントにつながるクラウドサービスへの攻撃

クラウド環境に対する攻撃により、脅威アクターがオンプレミスのシステムやリソースにアクセスできる可能性があります。これらの攻撃は、過剰な権限を持つアカウントを利用して、被害者のITインフラストラクチャ内で被害を拡大させる可能性があります。

5. 中間者（MitM）攻撃

これらの攻撃は、相互に通信していると信じる二者間の通信を、脅威アクターが傍受して中継できる場合に発生します。MitM攻撃により、攻撃者は認証情報を盗み、その通信を盗聴することができます。

認証情報の盗難攻撃の例

リモートワーカーとクラウドコンピューティングの時代に、認証情報の盗難は、 最初のエントリの一般的な戦術として、また脅威アクターがすでに内部に侵入した後に侵害されたネットワークをピボットする手段として浮上しています。

脅威アクターは、Microsoft Office 365（O365）、Okta、またはWebメールアカウントなどクラウドサービスの正当な資格認証情報を収集するために、偽の認証ページを定期的にホストします。その後、収集した認証情報を使用して被害者のアカウントへのアクセスを試みます。

クラウドでホストされているEメールやファイルホスティングサービスへのアクセスも、情報の傍受や盗難の発端となる可能性があります。2021年4月、CrowdStrikeは、大規模なクラウドサービスプロバイダー（CSP）環境に保存されている被害者データを標的とするCOSMIC WOLF（トルコ関連の脅威アクター）を確認しました。攻撃者は、盗まれた認証情報を介して環境を侵害し、オペレーターがコマンドラインを使用してCSPと対話できるようにしました。攻撃者は、この手法を使用して、セキュリティグループ設定を自らのインフラストラクチャからの直接SSHアクセスを許可するよう変更しました。

認証情報の盗難防止のためにできること

1. 多要素認証（MFA）を有効にして要求する

MFAでは、ユーザーが要求しているアクセス権を付与する前に、IDを検証および認証するために2つ以上の証拠を提示する必要があります。MFA技術は、攻撃者が単一のパスワードで複数のアプリケーションやシステムを侵害するのを防ぐことで、攻撃者の侵入障壁を高めます。

2. フィッシングに対するセキュリティ意識向上トレーニングを実施する

知識は力です。フィッシング攻撃やソーシャルエンジニアリングスキームを認識するようにユーザーをトレーニングすることで、組織は従業員を、IT環境の重要な防御層とすることができます。

3. 適切なパスワードハイジーンを維持する

強力なパスワードは、攻撃者による解読を困難にします。これらのパスワードは定期的にローテーションする必要があり、ユーザー間で共有してはいけません。さらに、ユーザーは複数のサイトまたはサービスで同じパスワードを使用しないよう注意する必要があります。

4.クラウドインフラストラクチャエンタイトルメント管理（CIEM）ソリューションを使用する

CIEMソリューションは、企業がすべてのクラウドインフラストラクチャリソースにわたってエンタイトルメントを管理するのに役立ちます。CIEM機能を含むCrowdStrike Falcon Cloud Security™のようなツールの主な目標は、クラウドリソースへの過剰な権限の非意図的でチェックされていない付与から生じるリスクを軽減することです。不要な特権を削除することで、組織は侵害されたアカウントによってもたらされる脅威を減らすことができます。

5.ユーザーとコンピューター間でアクセス許可の範囲を適切に設定する

組織にとって、ユーザーやデバイスが持つ特権アクセスを理解することが重要です。機密性の高いシステム、データ、アプリケーションへのアクセスに使用できるアカウントは、現代企業のセキュリティ要件およびコンプライアンス要件を満たすよう厳密に管理する必要があります。