危殆化したクレデンシャル：原因、事例、防御策

危殆化したクレデンシャル攻撃とは何か？

危殆化したクレデンシャル攻撃は、脅威行為者がユーザ名やパスワードなどの有効なログイン認証情報を使用してシス テムへの不正アクセスを獲得する場合に発生する。このような攻撃は通常、データ侵害、フィッシング詐欺、またはマルウェア感染によって取得された、盗まれた、または漏えいした認証情報を悪用します。

サイバー犯罪者は、これらの漏洩した認証情報を使用して、検知されないままシステムに侵入し、組織のセキュリティと個人のプライバシーに重大な脅威をもたらします。

こうした攻撃の影響は、不正アクセスにとどまりません。アカウントにアクセスすることで、攻撃者は機密データを流出させたり、権限を昇格させたり、マルウェアをネットワーク全体に伝播させたりすることができます。このような侵害は、多くの場合、影響を受けた組織に金銭的損失、風評被害、法的責任をもたらします。侵害されたクレデンシャル攻撃がどのように機能するかを理解することは、防御策を導入する上で極めて重要です。

これは内部脅威に関する一連の記事の一部である。

危殆化した認証情報の危険性

いったん攻撃者が盗んだ認証情報を使ってアクセス権を得ると、正規のユーザーと同じ権限で操作できる。このため、特に多要素認証が導入されていない場合、従来のセキュリティ・システムでは悪意のある活動を検知することが難しくなる。攻撃者は通常のユーザー行動に紛れ込むことができ、長期間にわたって検知されないままである。

危殆化した認証情報は、しばしばシステム間の横移動の入り口となる。攻撃者は最初のアクセスを利用して、上位の特権アカウントや機密データベースを見つけ、侵害する可能性があります。多くの場合、攻撃者は新しいユーザー・アカウントを作成したり、バックドアをインストールしたりして永続的なアクセスを確立し、元の認証情報が失効しても継続的にアクセスできるようにします。

これらの攻撃は、しばしば次のような事態を引き起こす。データ漏洩顧客機密情報、知的財産、または社内コミュニケーションに関わる問題。その結果、規制当局による罰則、顧客からの信頼の失墜、多額の復旧費用などが発生する。医療や金融のようなクリティカルな環境では、その影響は業務の中断や公共の安全のリスクにまで及ぶ可能性があります。

クレデンシャルの漏洩は、攻撃者がファイルを暗号化し、支払いを要求するような不正プログラムの展開も可能にします。また、漏洩したアカウントを使用して、信頼できる従業員になりすまし、組織内外を欺くフィッシング・キャンペーンを展開することも可能です。

クレデンシャルが危険にさらされる一般的な原因

フィッシングとソーシャル・エンジニアリング

フィッシングやソーシャル・エンジニアリング攻撃は、信頼や緊急性を悪用することで、ログイン認証情報などの機密情報をユーザーに漏らすよう操作します。攻撃者は、銀行や企業幹部など信頼できるエンティティになりすまし、自分たちの要求が本物であるように見せかけることがよくあります。これらの詐欺は通常、電子メールやメッセージ、偽のウェブサイトを介して行われ、ユーザーを欺いて進んで認証情報を明け渡すように設計されています。

フィッシングの成功は、技術的な安全策を回避し、人間の行動を心理的に操作することにあります。特定の個人をターゲットにしたスピアフィッシングであれ、広範なキャンペーンであれ、これらの攻撃はクレデンシャル漏洩の主要な原因です。従業員やユーザは、このような手口を認識し、相互作用に注意を払うよう訓練されなければならない。

キーロガーとマルウェア

キーロガーやマルウェアは、ユーザーの入力をキャプチャしたり、システムを侵害したりするように設計された悪意のあるツールです。キーロガーは、キーボードのストロークを監視し記録することで、サイバー犯罪者がユーザー名、パスワード、その他の機密情報を取得することを可能にします。一方、マルウェアは、保存されているパスワード・データベースやブラウザの認証情報にアクセスすることができるため、これらの情報が盗まれやすくなります。

キーロガーは多くの場合、フィッシングメール、悪意のあるソフトウェアのダウンロード、感染したUSBデバイスの一部として密かにインストールされます。そのステルス性は、重大な被害が発生するまでユーザーが気づかない可能性があることを意味します。エンドポイントセキュリティとマルウェア対策ソリューションを導入することは、このような認証情報漏洩の原因と闘う上で非常に重要です。

ダークウェブ・マーケットプレイス

クレデンシャルが盗まれると、ダークウェブのマーケットプレイスで販売されることが多い。これらのオンライン・フォーラムでは、サイバー犯罪者がログイン情報を含む盗まれたデータを比較的低コストで取引することができます。買い手は、ID窃盗、金融詐欺、さらなる侵害などの詐欺行為にこれらの認証情報を使用することができ、ダークウェブ・マーケットプレイスはサイバー犯罪の拠点となっている。

クレデンシャル搾取のサイクルを止めるには、ダークウェブで盗まれたデータの兆候を監視し、露出したアカウントを保護するために直ちに行動を起こす必要がある。組織はまた、データ侵害のリスクについてユーザーを教育すると同時に、脆弱性を減らすために侵害検知ツールに投資しなければならない。

クレデンシャル・スタッフィングとブルート・フォース

クレデンシャル・スタッフィングと総当たり攻撃は、再利用されたパスワードや脆弱なパスワードを悪用しようとするものです。サイバー犯罪者はこれらの攻撃を自動化し、複数のプラットフォームで盗まれた何千もの認証情報をテストして、同じパスワードを使用しているアカウントを特定します。一方、ブルートフォース攻撃は、正しいパスワードが見つかるまで文字の組み合わせを推測し、パスワードの保護が弱いアカウントを狙います。

このような攻撃が成功するのは、よくあるフレーズを使ったり、複数のサイトでパスワードを再利用したりするなど、パスワードの衛生状態が悪いことが原因であることが多い。強力なパスワードポリシーの実施と多要素認証の使用は、自動化された試みの実行可能性を制限するため、これらの脅威に対抗するための効果的な対策です。

危殆化したクレデンシャル攻撃の最近の例

ここ数年の一連の有名な攻撃は、漏洩したクレデンシャルがもたらす広範な脅威を示している。以下に詳細な例を示す：

• Duo Security（2024年4月）：Cisco傘下の多要素認証サービスDuoが、4万人以上の顧客のメッセージログを危険にさらすクレデンシャル・スタッフィング攻撃を受けた。
• マイクロソフト（2023年11月～2024年1月）：マイクロソフトは、3カ月間にわたって、協調的なクレデンシャル・スタッフィング・キャンペーンを経験したことを明らかにした。この攻撃は、ロシアの国家に支援された脅威行為者であるMidnight Blizzard（別名Nobelium）に起因するものであった。
• 23andMe (2023):遺伝学企業がクレデンシャル・スタッフィング攻撃を受け、約100万行の顧客データが流出した。攻撃者は以前に流出した認証情報を使ってユーザーアカウントにアクセスし、ログイン情報の再利用によって標準的な防御を回避した。
• ノートン・ライフロック（2023年）：サイバーセキュリティ・プロバイダーに対するクレデンシャルベースの攻撃で、約92万5000件の顧客アカウントが標的にされた。攻撃者は、他のデータ漏えいから取得した認証情報を使用してログインを試みました。
• Okta（2023年）：ハッカーが盗んだ認証情報を使ってOktaの顧客サポートシステムに侵入し、機密性の高いバックエンド環境に不正アクセスした。
• ペイパル（2022年12月）：ハッカーが35,000のユーザー・アカウントのログイン認証情報を入手し、悪用した。PayPalは金銭的な損失や不正な取引はなかったと報告しているが、この侵害により同社はパスワードのリセットと影響を受けたアカウントの監視を余儀なくされた。

これらのインシデントは、どのような組織もクレデンシャル漏洩攻撃を免れることはできず、セキュリティ対策には強固なユーザー認証、監視、迅速なインシデント対応プロトコルが必要であることを示している。

危殆化した認証情報を検出するツールとテクニック

侵害監視とダークウェブ・スキャンニング

侵害監視およびダークウェブ・スキャン・ツールは、盗まれたクレデンシャルについて、公開侵害リポジトリおよびアンダーグラウンド・フォーラムを継続的に検索します。これらのツールは、発見されたデータを社内のユーザー認証情報と比較し、一致するものが見つかった場合に組織に警告を発します。このプロアクティブな検知により、攻撃者が暴露された認証情報を悪用する前に、パスワードのリセットを強制するなど、迅速なインシデント対応が可能になります。

Have I Been Pwned、SpyCloud、商用脅威インテリジェンス・プラットフォームなどのセキュリティ・サービスは、自動化されたアラートをセキュリティ・オペレーションに統合する。侵害監視をID管理システムに統合することで、露出したアカウントによる脆弱性の窓を制限することができる。

エンドポイントの検出と応答

エンドポイント検出および応答（EDR）システムは、個々のデバイスのアクティビティを監視し、侵害された認証情報の使用を示す可能性のある不審な動作を特定します。例えば、デバイスが既知の悪意のあるサーバと通信を開始したり、未知のソフトウェアをインストールしたり、機密ファイルに異常にアクセスしたりすると、EDRツールはアラートを生成します。

EDR プラットフォームは、エンドポイントの履歴も記録し、フォレンジック調査をサポートします。この可視性は、侵害された認証情報がマルウェアと組み合わせて使用されたり、未承認のツールやスクリプトによって永続性を確立したりする場合に重要です。

ユーザーとエンティティの行動分析

ユーザーとエンティティの行動分析（UEBA）ソリューションは、ユーザーとシステムの行動ベースラインを作成し、クレデンシャルの不正使用を示す可能性のある逸脱を検出する。例えば、ユーザーが突然新しい国からログインしたり、通常の勤務時間外に大量のデータにアクセスしたりした場合、UEBAはこの異常にフラグを立てます。

これらのシステムは、複数の行動シグナルを相関させることで検知精度を高め、誤検知を減らします。UEBAは、内部脅威や、漏洩した認証情報がステルス的に使用される高度な攻撃を発見するのに特に効果的です。

セキュリティ情報とイベント管理

セキュリティ情報とイベント管理（SIEM）システムは、組織のインフラ全体からログとイベントを集約します。認証の試行、エンドポイントのアクティビティ、ネットワーク・トラフィックを関連付け、侵害されたアカウントの兆候を検出します。

SIEM プラットフォームは、リアルタイムのアラートと自動化されたワークフローをサポートし、クレデンシャルベースの侵入を迅速に封じ込めることができます。また、コンプライアンスレポートやインシデント発生後の分析においても重要な役割を果たし、チームが攻撃ベクトルを理解し、将来の防御策を改善するのに役立ちます。

強力なクレデンシャル・セキュリティのための5つのベスト・プラクティス

1.二要素認証の導入

二要素認証（2FA）は、単純なユーザー名とパスワードを超えるセキュリティの追加レイヤーを提供します。携帯電話に送信されるコード、ハードウェア・トークン、バイオメトリック・チェックなど、第二の要素でユーザーの身元を確認することを義務付けることで、組織は、たとえ認証情報が漏洩したとしても、攻撃者が不正アクセスを行うことを著しく困難にします。この第 2 の要因は、クレデンシャル・スタッフィングや総当たり攻撃のような自動化された攻撃が容易に迂回できない障壁を作る。

効果的な2FAの導入は、VPN、クラウドサービス、社内システムなど、すべてのアクセスポイントをカバーする必要がある。2FAを一貫して実施することが不可欠であり、頻繁に標的となる高特権ユーザーには例外を設けない。ユーザー教育と既存のワークフローとのシームレスな統合は、採用を確実にして摩擦を減らすのに役立ち、リカバリーコードのようなバックアップ方法は、ロックアウトを防ぐために安全に管理されるべきである。

2.適応型認証の実装

適応型認証は、ログイン試行中のリスクを動的に評価することで、アクセス制御を強化する。ジオロケーショ ン、デバイス指紋、IPレピュテーション、ログイン時間などのコンテキスト・シグナルを評価し、追加認証が必要かどうかを判断します。

いつもと違う場所からのログインや新しいデバイスなど、異常が検出されると、システムは多要素認証を促したり、アクセスを完全にブロックしたりすることができます。リアルタイムの状況に対応することで、アダプティブ認証は使いやすさと高度なセキュリティのバランスをとり、攻撃者が盗んだ認証情報を悪用することをより難しくします。

3.定期的なクレデンシャル監査の実施

クレデンシャル監査では、ユーザ・アクセス権、パスワードの慣行、およびシステム全体にわたるア カウントの使用状況を定期的にレビューおよび検証する。これらの監査は、セキュリティ上の負債となる可能性のある非アクティブなアカウント、冗長な権限、および古くなったクレデンシャルを特定するのに役立つ。

自動化ツールは、複数のログイン試行失敗、古いパスワード・ハッシュ、一貫性のないアクセス・パターンなどの不一致を強調することで、監査を支援することができる。未使用または不要なクレデンシャルを即座に失効させることは、攻撃対象領域を縮小する上で極めて重要である。さらに、最小特権の原則を実施することで、ユーザがそれぞれの役割に必要なアクセスのみを保持できるようにします。

4.継続的なセキュリティ意識向上トレーニングの実施

従業員は、多くの場合、クレデンシャルベースの攻撃に対する最初の防御線となる。定期的なセキュリティ・トレーニングは、ユーザがフィッシングの試みを認識し、安全でない行為を回避し、クレデンシャルを保護することの重要性を理解するのに役立ちます。

トレーニング・プログラムには、フィッシング・キャンペーンのシミュレーション、最新の脅威事例、疑わしい行為を報告するための明確なプロトコルを含めるべきである。特定の役割や部署に合わせてセッションを調整することで、関連性と参加率を高めることができる。マイクロラーニングや毎月のヒントを通じた強化により、長期にわたって意識を維持することができます。

5.異常なログインパターンの監視

効果的なモニタリングには、ログイン・アクティビティを継続的に分析し、アカウントの侵害を示す不規則なアクティビティがないかどうかを確認することが含まれる。これには、短時間での複数の地域からのログイン、過剰なログイン試行、異常なリソースへのアクセスなどが含まれます。

セキュリティ・オペレーション・センター(SOC)は、調査のために疑わしい挙動にフラグを立てる自動検出ツールを導入すべきである。SIEMやUEBAプラットフォームとの統合により、ネットワーク全体の可視性が向上し、より迅速な脅威の検知と対応が可能になります。アラートは実用的であるべきで、ユーザーの行動履歴や脅威インテリジェンスなどのコンテキストを提供し、タイムリーな意思決定をサポートします。

危殆化したクレデンシャルの保護Exabeam

Exabeam New-Scale Analyticsの UEBA エンジンは、環境全体のすべてのユーザーとシステムに対してどのような正常な動作が見られるかを学習することにより、盗まれた、または悪用された認証情報を含む脅威を検出するように構築されています。完全な SIEM プラットフォームの一部として導入することも、既存の SIEM を補強するために を単独で使用することもできます。静的なルールや事前に定義されたアラートに依存するのではなく、アクティビティを継続的に分析し、通常とは異なる時間帯のログイン、これまで触れたことのない機密システムへのアクセス、予想されるパターン以外の大量のデータ転送などの逸脱を特定します。このような行動異常は、内部脅威や有効なログイン認証情報を使用する外部関係者など、正当なアクセスに紛れ込んだ攻撃を発見するのに役立ちます。Exabeam New-Scale Fusion New-Scale Analytics

このエンジンは、スマートタイムライン、手作業でログをつなぎ合わせることなくインシデントを自動的に再構築し、煩雑な作業を30%削減します。アナリストは、不審な行動を明確かつ文脈的に把握できるため、調査時間を最大80%短縮できます。最も関連性の高い脅威を浮き彫りにし、ノイズをカットすることで、Exabeam、アラートによる疲労を60%軽減し、従来のツールと比較してインシデントの検出と対応を50%高速化します。

実際のユースケースでは、漏洩したクレデンシャルが重大な侵害の大部分に関与している。Delta AIrlinesによると、Exabeam、数ヶ月間気付かれなかったクレデンシャルベースの攻撃を特定するのに役立った。このプラットフォームは、関連するすべてのデータソースにわたって行動を分析し、明らかな指標がない場合でも、こうした微妙な脅威を早期に発見する。Exabeamを使用しているセキュリティ・チームは、数分以内にインシデントに対応し、サービス・レベル・アグリーメントを維持し、被害が発生する前に高度な脅威を阻止する能力を向上させることに成功している。

Exabeam、あらゆる環境において漏洩したクレデンシャル攻撃を検出し、行動分析と自動化によって迅速な対応を可能にする方法を学ぶには、 、漏洩クレデンシャルに関するこのソリューション概要をお読みください。これには、実際の事例、主要な検出テクニック、および今日の防御を強化するためのベストプラクティスが含まれています。

デモの申し込みExabeam を見る