資格情報盗用が新たな脅威、組織はアイデンティ危機に直面

Last Updated on 2024-02-21 20:17 by 荒木 啓介

組織はアイデンティティ危機に直面しており、クライム集団や国家支援の攻撃者は脆弱性やソーシャルエンジニアリングを利用する代わりに、盗まれた資格情報を使用してログインすることを好むようになっている。IBM X-ForceとCrowdStrikeの報告書によると、有効な資格情報を使用した攻撃が増加しており、クラウドアカウントの資格情報はダークウェブで販売されているものの90％を占めている。一方で、フィッシング攻撃のボリュームは44％減少している。

攻撃者はAPIキー、セッションクッキー、ワンタイムパスワードなどを標的にし、クラウドストライクの報告書によると、クリミナルグループは合法的なユーザーとしてログインし、合法的なツールを使用して潜伏することが多い。リモートモニタリングおよび管理ツールの使用は312％増加しており、組織がアイデンティティベースの攻撃によって侵害される最大の問題であると警告されている。

クライム集団はSMSや音声フィッシングを使用して資格情報を収集し、SIMスワッピング詐欺も行っている。国家支援の攻撃者はMicrosoft Teamsメッセージを使用してMFAトークンを盗むなど、アイデンティベースの攻撃を行っている。攻撃者は合法的なアイデンティティを入手し、マルチファクタ認証をバイパスして横断移動することが可能である。

【ニュース解説】

組織が直面しているアイデンティティ危機とは、攻撃者が従来のハッキング手法ではなく、盗まれた資格情報を使用して正規のユーザーとしてログインすることにより、セキュリティシステムを迂回する新たな手法を好んで使用している状況を指します。IBM X-ForceとCrowdStrikeの報告によると、このような攻撃手法は大幅に増加しており、特にクラウドアカウントの資格情報がダークウェブで頻繁に取引されています。フィッシング攻撃は減少していますが、それは攻撃者が有効な資格情報を利用することでより簡単にアクセスできるようになったためです。

攻撃者はAPIキー、セッションクッキー、ワンタイムパスワードなど、さまざまな手段を用いてアイデンティティを標的にしています。これにより、合法的なユーザーとしてシステムにログインし、検出を避けながら活動することが可能になります。また、リモートモニタリングや管理ツールの使用が増加しており、これらは通常、管理者が使用するツールであるため、不正な活動として検出されにくいです。

SMSや音声フィッシングを使用して資格情報を収集するクライム集団や、SIMスワッピング詐欺を行うグループも存在します。さらに、国家支援の攻撃者はMicrosoft Teamsメッセージを使用してMFAトークンを盗むなど、アイデンティティベースの攻撃を行っています。これらの攻撃により、攻撃者は合法的なアイデンティティを入手し、マルチファクタ認証をバイパスしてシステム内で横断移動することが可能になります。

このような状況は、組織にとって大きなセキュリティ上の課題を提示しています。アイデンティティベースの攻撃は、従来のセキュリティ対策を迂回するため、組織はアイデンティティとアクセス管理の強化、マルチファクタ認証の徹底、資格情報の監視と管理の強化など、新たな対策を講じる必要があります。また、従業員へのセキュリティ意識の向上や、フィッシング攻撃への警戒など、人的要因への対策も重要です。長期的には、組織はアイデンティティとアクセス管理の仕組みを見直し、攻撃者が利用する新たな手法に対応できるようなセキュリティ体制の構築が求められます。

from Orgs are having a major identity crisis while crims reap the rewards.