バイオメトリクスデータ流出:ダークウェブでの取引急増

バイオメトリクスデータ流出:ダークウェブでの取引急増 - innovaTopia - (イノベトピア)

バイオメトリクスデータは、自撮り写真や偽造パスポートから得られ、指紋からDNAまでの情報を保持するデータストアへのサイバー攻撃によって、ダークウェブで長らくベストセラーとなっています。攻撃者は、被害者の最も貴重な情報にアクセスするために、追跡不可能でありながら非常に強力な手段として、合成ID詐欺をより洗練された攻撃に利用するためにその技術を磨いています。しかし、バイオメトリックデータを保護する現行のアプローチは不十分であるとされています。

ガートナーによると、「バイオメトリック認証は他の資格ベースの方法に比べて独自の利点を持つが、新たな攻撃やプライバシーに関する懸念が採用の障壁となっている」とのことです。同社のバイオメトリック認証に関する最近の研究では、「AIによるディープフェイク攻撃の懸念が高まっており、バイオメトリック認証を無効にするか価値を損なう可能性がある」と述べられています。

昨年、ZscalerのCEOであるJay Chaudhryは、同社のZenith Live 2023イベントで、インド拠点の事業から資金を詐取するために攻撃者によって作成された彼の声のディープフェイクが存在すると聴衆に語りました。VentureBeatは、過去1年間にサイバーセキュリティ企業を対象としたディープフェイクやバイオメトリクスに基づく侵害の試みが十数件あったことを知りました。これらは非常に一般的になっており、国土安全保障省はそれらに対抗するためのガイド「ディープフェイクアイデンティティの脅威の増大」を提供しています。

バイオメトリクスデータの全ての形態はすでにダークウェブでベストセラーとなっており、2024年には企業のリーダーを狙ったバイオメトリクスベースの攻撃がさらに増加すると予想されます。攻撃者がなぜ最初に上級経営者に焦点を当てるのか、それはCEOや上級管理職の約3分の1がフィッシング詐欺の犠牲になっており、他の従業員に比べてフィッシングの被害に遭う可能性が4倍高いからです。

Ivantiの「2023年セキュリティ準備状況レポート」によると、Cレベルのエグゼクティブは、数千社の企業のCスイートを攻撃する最新のデジタル流行病であるホエールフィッシングの主要なターゲットです。Ivantiの最高製品責任者であるSrinivas MukkamalaはVentureBeatの最近のインタビューで、「2024年には、セキュリティ、プライバシー、デバイス間の相互作用、そして社会をより相互接続させることに焦点を当てたより厳格な基準に対する需要が高まるだろう」と述べています。従業員が期待するどこでも接続可能な環境を実現するために、組織は適切なインフラを整える必要があります。

Badgeの共同創設者であるTina P. Srivastavaは、最近のインタビューで、Badgeが設立された当初の使命は、デジタルアイデンティティの信頼アンカーを紛失や盗難の可能性があるハードウェアデバイスではなく、人間に移すことによって認証における最も困難な問題の一つを解決することだったと述べました。自身のアイデンティティが侵害された経験を踏まえ、彼女たちは問題を解決するために数学に依存し、暗号技術を使用して、デバイスやトークンではなく人々自身を信頼の根源とするユーザー中心のソリューションを構築しました。Badgeでは、トークンとしてのあなた自身があります。

Badge Inc.は最近、個人識別情報(PII)およびバイオメトリック認証情報のストレージを不要にする特許取得済みの認証技術の提供を発表しました。Badgeはまた、共有エンタープライズ顧客のアイデンティティおよびアクセス管理(IAM)を強化することを目的とした一連のパートナーシップの中で、Oktaとの提携を発表しました。Srivastavaは、Badgeのバイオメトリクスアプローチがパスワード、デバイスリダイレクト、知識ベースの認証(KBA)の必要性を排除する方法について説明しました。Badgeは、企業の多くの脅威面とデバイスにわたってスケールする、一度登録すればどのデバイスでも認証できるワークフローをサポートしています。Srivastavaは、Badgeの独自のバイオメトリック認証アプローチが、登録したのと同じ人間が特定のリソースやデバイスを使用するために認証しているのと同じ人間であることを証明できると述べています。

Badgeのアプローチが注目に値するのは、ゼロトラストの基本要素を強化しながら、PIIを含むすべての形態のバイオメトリックデータを攻撃から保護する方法です。プラットフォームの中核は、ユーザーの秘密やPIIを保存せずに、任意のデバイス上のすべてのアプリケーションへのプライバシーを保護する認証です。Badgeの特許技術により、ユーザーはハードウェアトークンや秘密を必要とせずに、選択したバイオメトリクスや要素を使用してプライベートキーをその場で導出できます。現在、Badgeは銀行、医療、小売、サービスなど幅広い業界の顧客を持っています。

Srivastavaは、Badgeの技術がゼロトラストにとって中核であることを、最近VentureBeatとのインタビューで説明しました。彼女は、Badgeがユーザーの秘密やPIIを保存しないことでデータアクセスを最小限に抑え、潜在的な侵害の影響を減らし、最小限の特権アクセスをサポートし強化する方法について説明しました。Badgeがバイオメトリックセキュリティに取り組むアプローチから明らかなのは、マルチファクター認証(MFA)を強化するためのその潜在的な強さです。ユーザーはハードウェアトークンや秘密を必要とせずに、バイオメトリクスなどのユニークな要素を使用して認証できます。Badgeはまた、そのパートナーシップを通じて企業に展開しており、ゼロトラストフレームワークにさらなる価値を加えています。最近のOktaおよびAuth0との発表は、BadgeがIAMプラットフォームおよび技術スタックの一部としての重要性をさらに検証しています。Srivastavaはまた、Badgeが機密データを信頼するどの当事者も信頼せず、将来のセキュリティを保証する量子耐性を提供する暗号学的ゼロ知識ベースで運用されているとVentureBeatに語りました。Badgeの技術は、任意の組織のゼロトラストアーキテクチャに貢献する堅牢なものとして位置づけられています。

「Badgeは、消費者および企業のユースケースの両方に対処する魅力的な技術を持っている」と、国立標準技術研究所(NIST)の元上級エグゼクティブアドバイザーであるJeremy Grantは述べています。

【ニュース解説】

バイオメトリクス技術は、指紋や顔認識などの生体情報を利用して個人を識別する技術です。この技術はセキュリティ分野で広く採用されていますが、最近ではAIを活用したディープフェイクなどの新たな攻撃手法により、バイオメトリクス認証の信頼性が問われています。特に、企業の上級経営者を狙ったフィッシング詐欺やディープフェイク攻撃が増加しており、これらの攻撃は従来のセキュリティ対策を突破する可能性があります。

このような背景の中、Badge Inc.という企業が、個人識別情報(PII)やバイオメトリックデータを保存せずに認証を行う新しい技術を開発しました。この技術は、ユーザーが一度登録するだけで、どのデバイスからでも認証が可能なシステムを提供します。これにより、ユーザーは自分のバイオメトリクス情報を使って、その場でプライベートキーを生成し、認証を行うことができます。このプロセスは、ハードウェアトークンや秘密情報を必要とせず、ゼロトラストセキュリティの原則に基づいています。

ゼロトラストセキュリティとは、組織内のすべてのユーザーやデバイスを初めから信頼しないという考え方で、常に認証と検証を行いながらアクセスを管理するセキュリティモデルです。Badgeの技術は、このゼロトラストモデルを強化するために、ユーザーのプライバシーを保護しつつ、強固な認証手段を提供します。

Badgeの技術は、バイオメトリクスデータの漏洩リスクを減らすことで、データ侵害の影響を最小限に抑えることができます。また、マルチファクター認証(MFA)を強化し、企業のセキュリティ体制を向上させることが期待されます。BadgeはOktaなどの企業と提携し、アイデンティティおよびアクセス管理(IAM)の分野でその技術を展開しています。

この技術の導入により、企業は従業員や顧客のデータをより安全に管理できるようになります。しかし、新しい技術の導入には常にリスクが伴います。例えば、新しい認証システムが攻撃者によって突破される可能性や、技術的な不具合が発生する可能性があります。また、規制当局がこのような新しい技術に対してどのような規制を設けるかも、今後の展開に影響を与える重要な要素です。

長期的には、バイオメトリクス技術の進化は、より安全で使いやすい認証システムの普及に寄与する可能性があります。しかし、技術の進歩に伴い、攻撃手法も進化するため、セキュリティ対策の継続的な更新と改善が求められます。企業は、最新の脅威に対応するために、常に警戒を怠らず、セキュリティ体制を強化し続ける必要があります。

from The future of biometrics in a zero trust world.

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » バイオメトリクスデータ流出:ダークウェブでの取引急増