漏洩したパスワード：その影響と漏洩を防ぐ6つの方法

漏洩したパスワードとは？

漏洩したパスワードとは、不正に入手されたパスワードを指します。攻撃者は、ハッキング、フィッシング、データ漏洩など、さまざまな手段でパスワードを漏洩させ、オンラインアカウントや機密情報への不正アクセスに使用します。Verizon 2022 Data Breach Investigations Reportによると、侵害の90%以上は漏洩した認証情報が関与している。

パスワードが漏洩するということは、意図したユーザー以外の誰かがそのパスワードにアクセスできるということです。これは、ユーザーがパスワードを他人と共有したり、容易に推測可能なパスワードを使用したり、ウェブサイトのデータベースが侵害され、ユーザーのパスワードが盗まれた場合など、さまざまな方法で発生する可能性があります。パスワードの漏洩は、不正アクセス、個人情報の盗難、金銭的損失、データ漏洩、風評被害につながる可能性があります。

推薦図書：セキュリティ・ビッグデータ分析：過去、現在、未来

漏洩したパスワードの影響とは？

漏洩したパスワードは、以下のような重大な脅威をもたらす：

• 不正アクセス：パスワードが漏洩すると、ハッカーや無許可の個人がユーザーアカウントにアクセスできるようになり、機密データを盗んだり、悪意のある行為を行ったりすることが可能になります。
• 個人情報の窃盗：ハッカーは漏洩したパスワードを使ってユーザーになりすまし、追加アカウントや個人情報にアクセスすることができる。
• 金銭的損失：漏洩したパスワードを使用して金融口座にアクセスし、ハッカーが資金を盗んだり、不正な取引を行ったりする可能性があります。
• データ漏洩：漏洩したパスワードは、数千から数百万のユーザーアカウントが漏洩し、企業や組織の機密データが漏洩する可能性のある、より大規模なデータ漏洩につながる可能性がある。
• 風評被害：侵害されたパスワードは、個人や組織の評判を傷つけ、顧客やパートナーからの信頼を失う原因となります。

エキスパートからのアドバイス

スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。

私の経験から、漏洩したパスワードから身を守るためのヒントを紹介しよう：

リアルタイムアラートのための侵害検知サービスの活用
漏えい検知サービスに加入すると、漏えいダンプから組織に関連する認証情報が発見されたときに通知されます。これにより、漏洩したパスワードを軽減するために、パスワードの強制リセットなどの措置を即座に講じることができます。

ダークウェブで暴露された認証情報を監視
ダークウェブ監視サービスを使用して、組織のパスワードが流出または販売されているかどうかを検出します。これにより、発生前に積極的にパスワードをリセットし、潜在的な攻撃を軽減することができます。

ハイリスクユーザーへのパスワードレス認証の導入
リスクの高いユーザーや役員をFIDO2やハードウェアトークンなどのパスワードレス認証メカニズムに移行させ、パスワード漏洩のリスクを完全に排除する。

通常とは異なるログインに適応型 MFA を使用する
アダプティブMFAまたはリスクベースMFAを使用し、不審なログイン（通常と異なる場所やデバイスなど）に対してのみ追加認証をトリガーする。これにより、ユーザーの疲労を軽減すると同時に、最も必要な部分のセキュリティを強化することができます。

ログインの速度と頻度の異常を検出
ユーザーごとのログイン試行の頻度と速度を追跡する。短時間に異なるIPから異常に多くのログイン試行失敗またはログイン成功があった場合、認証情報が漏洩している可能性があります。

定期的な監査と未使用認証情報の削除
定期的に、使用されていないユーザー・アカウントとサービス・アカウントがないかシステムを確認します。未使用の認証情報を削除することで、攻撃対象が減少し、攻撃者が古いパスワードで休眠状態のアカウントを悪用するのを防ぐことができます。

パスワードが危険にさらされるメカニズム

パスワードが漏洩する可能性がある方法はいくつかある：

ブルート・フォース

ブルートフォース攻撃とは、攻撃者が正しいパスワードを発見するまで、可能な限りの文字の組み合わせを試す方法である。この方法は、1秒間に何千ものパスワードをテストできるソフトウェアで自動化できる。ブルートフォース攻撃は、パスワードが弱く、短く、容易に推測できる場合に成功しやすい。

ソーシャル・エンジニアリング

ソーシャル・エンジニアリングとは、攻撃者がユーザーを騙したり、操ったりしてパスワードを吐かせる手法です。これは、フィッシングメール、電話、合法的に見えるが実はハッカーからのソーシャルメディア・メッセージなど、様々な手段で行われる。ソーシャル・エンジニアリング攻撃は、恐怖心や好奇心といった人間の脆弱性を利用してパスワードにアクセスします。

パスワード盗難

パスワードの盗難は、ハッカーがウェブサイトやサービスのパスワードデータベースにアクセスすることで発生します。これは、企業のセキュリティが侵害されたデータ漏洩や、ユーザー・デバイスへの攻撃によって起こる可能性がある。ハッカーがパスワードにアクセスすると、それを使ってユーザー・アカウントにアクセスできるようになる。

悪意のあるインサイダー

パスワードが漏洩するもう一つの方法は、組織のために働く悪意のある敵対者を通してである。これらの個人は、従業員、請負業者、または組織内の他の内部関係者である可能性があり、パスワードを含む機密情報を入手するためにアクセス権限を悪用します。悪意のある内部関係者は、重要なシステム、データ、インフラに直接アクセスできることが多いため、組織にとって重大な脅威となる可能性があります。

悪意のある内部関係者は、以下のような方法でパスワードを漏洩させることができる：

• 不正アクセス：暗号化されていない、または暗号化が不十分なパスワードが含まれている可能性のあるパスワードデータベース、リポジトリ、またはバックアップにアクセスすること。
• インサイダー支援型ソーシャル・エンジニアリング：外部の攻撃者と協力し、ソーシャル・エンジニアリング攻撃の成功を支援するために、インサイダーの知識や機密情報へのアクセスを提供する。
• パスワードの傍受：キーロギング、ネットワーク・スニッフィング、その他の監視技術を使用して、ネットワーク上で入力または送信されるパスワードを傍受すること。

組織内のパスワード漏洩を防ぐ6つの方法

1.パスワードマネージャーを使う

パスワードマネージャーは、すべてのパスワードを一箇所に安全に保存するソフトウェアツールです。パスワード・マネージャーは、アカウントごとに強力でユニークなパスワードを生成し、あなたの代わりに記憶してくれるので、記憶に頼ったり、書き留めたりする必要がありません。これにより、脆弱なパスワードを防ぎ、パスワードの再利用のリスクを減らすことができます。

2.ハッシュ化とソルティングによるパスワードの強化

ハッシングとソルティングは、ウェブサイトやサービスがデータベースに保存されたユーザーパスワードを保護するために使用する方法です。これらの方法によって、攻撃者がデータベースへのアクセスに成功したとしても、ユーザーのパスワードを入手することが非常に難しくなります。

ハッシュ化とは、一方通行の数学的アルゴリズムを使って、パスワードを固定長の文字列に変換することである。ソルティングは、パスワードをハッシュ化する前にランダムな文字列を追加し、ブルートフォース攻撃によるクラックをより困難にします。

3.多要素認証を使用する

多要素認証（MFA）は、ログイン時にパスワード以外の追加情報を要求することで、アカウントにさらなるセキュリティ層を追加します。これには以下が含まれます：

• 暗証番号など、あなたが知っているもの。
• セキュリティ・トークンやスマートフォンなど、お持ちのもの
• 指紋のようなもの。

MFAにはいくつかの種類がある：

• SMSベースの認証：SMSまたはテキストメッセージであなたの携帯電話にコードが送信されます。このコードを入力することでログインが完了します。
• 認証アプリ：認証アプリは、アカウントにアクセスするために入力する必要がある固有のコードを生成します。これらのアプリは通常、携帯電話やその他のデバイスにリンクされています。
• バイオメトリクス認証：この方法は、指紋や顔認識など、あなたの身体的特徴を利用して本人確認を行い、アカウントへのアクセスを許可するものです。
• ハードウェアトークン：ハードウェアトークンは、アカウントにアクセスするために入力する必要がある固有のコードを生成する物理的なデバイスです。

MFAは、たとえ攻撃者があなたのパスワードを入手できたとしても、あなたのアカウントにアクセスするために追加情報を提供する必要があることを保証します。これにより、攻撃者があなたの機密情報、個人データ、または金融口座に不正アクセスすることがより困難になります。

4.非アクティブアカウントの削除

非アクティブアカウントとは、長期間使用されていない、または放棄されたアカウントのことです。これらのアカウントには、個人情報、支払い情報、その他の機密データなどの機密情報が含まれている可能性があります。これらのアカウントのパスワードが弱かったり、再利用されていたりすると、ハッカーやサイバー犯罪者に簡単に侵害されてしまいます。アクティブでないアカウントを削除することで、データ漏洩や個人情報への不正アクセスのリスクを減らすことができます。

5.サービスアカウントの監視

サービスアカウントは、アプリケーション、サービス、その他の自動化されたプロセス、または組織内の1つのサーバーから別のサーバーへのデータ交換のために作成された人間以外のユーザーアカウントです。これらのアカウントは、機密リソースへの特権的なアクセスを持つことができ、攻撃者にとって魅力的なターゲットとなります。組織内のパスワード漏洩を防ぐには、サービスアカウントを効果的に監視し、保護することが不可欠です。

6.ユーザーとデバイスに行動分析を使用する。

パスワードの漏洩を特定し防止するために、組織は行動分析を使ってユーザーやデバイスの行動における異常なパターンを検出することができます。これらのシステムは、過去のデータを分析し学習することで、典型的な行動からの逸脱を認識し、潜在的なセキュリティ脅威のフラグを立てることができます。行動分析システムは通常、次のように動作します：

1. 組織内のすべてのユーザー、役割、デバイスの行動ベースラインを確立する。このベースラインは、漏洩したパスワードやその他のセキュリティ問題を示す可能性のある異常を特定するのに役立ちます。
2. 確立されたベースラインからの逸脱を検出する。これらのツールは、異常なログイン試行、ユーザ・アクセス・パターンの変化、またはパスワードの漏洩や不正アクセスを示す可能性のあるデバイスの動作を特定することができます。
3. アラートと通知を設定し、異常が検出されたときにセキュリティチームに通知します。これにより、潜在的なセキュリティ・インシデントへの迅速な対応が可能になり、漏洩したパスワードによる被害を軽減することができます。

Exabeamによるパスワードの漏洩

外部からの初期パスワード攻撃や侵害には、ブルートフォース、クレデンシャル・スタッフィング、パス・ザ・ハッシュ、ゴールド・チケットやシルバー・チケット攻撃、ミミカッツ・アクティビティなどが含まれます。これらの多くは、シグネチャベースの検出、相関ルール、その他のデータ可視化により、5つのExabeam製品すべてで確認することができます。しかし、Lapsus$グループが従業員からクレデンシャル一式を購入したように、漏洩したクレデンシャルがすべて攻撃の結果であるとは限りません。

Exabeamは、業界をリードするUEBAを提供することで、ネットワーク上で漏洩したパスワードとその行動を検出します。UEBAは、ユーザーやデバイスの正常な動作をヒストグラムでベースライン化し、リスクに基づいた異常の検出、優先順位付け、対応を行います。正常な挙動を把握することで、横移動、権限の昇格、クレデンシャルのスワッピングなど、他のツールでは見逃される挙動を検出することができます。

Exabeam Fusion Exabeam Security Investigation、およびExabeam Security AnalyticsはすべてUEBAを搭載しており、すべてのユーザーとエンティティの通常のアクティビティをベースライン化し、すべての注目すべきイベントを自動化されたスマート・タイムライン内で視覚的かつ時系列的に並べ替えます。