.jpg)
多くのセキュリティチームは、IDが侵害された際には必ず気づくものだと考えています。「ツールはあるし、アラートも発動するし、制御機能も失敗するはずだ。攻撃者がアクセス権を獲得したことは、何かしらの明確な兆候として表れるはずだ」と。実際、セキュリティ担当者の80%は、自社のツールがハイブリッド環境やマルチクラウド環境全体において十分な保護を提供していると信じています。
実際には、そううまくいくことはめったにない。
最近、ある顧客がダークウェブ上で、有効な企業の認証情報が6ドルで販売されているのを発見しました。これは標的型攻撃による侵入の一環ではありませんでした。単に、収集されたアカウントの膨大なリストの中の1件に過ぎなかったのです。現在、攻撃者はAIエージェントを用いて認証情報の収集と検証を自動化しており、アクセス権限が絶えず生成、テストされ、大規模に転売されています。
攻撃者はこの仕組みを理解している。そして、それを悪用するケースがますます増えている。
多くの環境において、IDの侵害は表面化しないものです。今日の最大の課題は、IDを悪用した攻撃を防ぐことではなく、そうした攻撃がすでに発生していることを認識することですが、その認識は私たちが考えている以上に難しいかもしれません。
- 事実:あらゆるハイブリッド攻撃は、最終的にはID攻撃へと発展します。セキュリティ対策に数百万ドルを投じているにもかかわらず、90%の組織がこうした攻撃を受けた経験があります。
- 事実:ユーザーの31%は、高いアクセス権限を持ちながら可視性が低いサービスアカウントであり、ADの設定ミスが1件あるだけで、平均して109人の「シャドウ管理者」が生まれる可能性があります。
- 事実:ID攻撃を受けた企業の90%は、MFAを導入していた。
状況はますます悪化している。
もはや、私たちが守らなければならないのは人間のアイデンティティだけではありません。非人間のアイデンティティ(サービスアカウント、API、ワークロード、そしてますます増加しているAIエージェントなど)が急速に増え続けており、その数はしばしば人間を上回っています。これらは絶えず稼働し、プログラムによって認証を行い、マシンの速度でシステム間でやり取りを行います。一方で、攻撃者はAIを活用して攻撃の規模を拡大し、これまで以上に迅速に通常のアイデンティティの行動に溶け込もうとしています。
その結果、脅威の正体がより複雑化し、可視性は低下し、従来の検知手法よりも迅速に展開する攻撃が増加している。
沈黙は、IDが侵害されたことを示す兆候です
ID関連のアクティビティに対する可視性が限られていると、侵害を見逃すリスクが高まります。
現代の企業では、クラウド、SaaS、ネットワーク、リモートアクセスが密接に連携しています。ユーザーIDはこれらすべてをシームレスに行き来しますが、多くのセキュリティスタックはそうではありません。可視性は依然として断片化されており、攻撃者が検知されずに活動できる隙間が生じています。
一見、異常が見当たらないからといって、セキュリティが確保されているとは限りません。単に、何が起きているのかが見えないだけかもしれません。このギャップは、AIが主導する環境においてさらに広がります。AIエージェントや自動化パイプラインが絶えずシステムにアクセスするにつれ、ID関連のアクティビティは指数関数的に増加し、正常な動作と悪意のある動作を見分けることがますます困難になります。マシンの処理速度が上がるにつれ、死角も拡大していくのです。
ログイン後にIDの不正利用が判明する
セキュリティ対策は長い間、パスワードや多要素認証(MFA)、認証フローといったアクセス制御に重点が置かれてきました。しかし、攻撃者もその手口を進化させています。一度システム内に侵入すると、彼らは正当なユーザーのように振る舞うのです。
重要なのはログインそのものではなく、その後に何が起こるかです。
多くのケースにおいて、最初に目につく兆候は認証そのものではありません。それは、ユーザーが不慣れなシステムにクエリを送信したり、管理者用APIにアクセスしたり、複数のホスト間でKerberosチケットを要求したりするといった行動です。これらの行動は、それぞれ単独で見れば正当なものです。しかし、それらが組み合わさることで、横方向の移動が明らかになります。
異常なアクセスパターン、予期せぬシステム間の相互作用、そして突発的なデータアクセス。これらは重要な指標であるにもかかわらず、従来の管理対象から外れてしまうことが少なくありません。
悪意のある活動が正当なものに見えてしまう
攻撃者はシステムに侵入するのではなく、ログインするのです。
最近のSaaSサービスにおけるセキュリティ侵害では、攻撃者はパスワードを盗んだわけではありません。彼らはサードパーティ製連携サービスから認証トークンを盗み出し、それを再利用したのです。ログイン画面は表示されず、多要素認証(MFA)も bypass され、有効なセッションが維持されたままだったのです。システムから見れば、すべてが正当な操作のように見えたのです。
攻撃者は有効な認証情報を使用することで、通常の業務に溶け込み、既存の権限を活用し、信頼された経路を通って移動し、アラートの発動を回避します。これは特に、高い権限を持ちながら振る舞い がほとんど行われていない非人間型IDにおいて顕著です。こうしたIDは多要素認証(MFA)を使用せず、継続的に稼働しており、その正当性を確認することも難しいため、悪用されやすくなっています。AIの導入が進むにつれ、この攻撃対象領域も拡大しています。
よくある手口として、攻撃者はデータパイプラインに関連付けられた、有効期間が長いAPIキーやサービスアカウントを入手します。このアカウントは、データの取得、ストレージへのアクセス、APIの呼び出しなど、期待通りの動作を見せますが、データセットやタイミング、送信先などがわずかに異なるといった微妙な違いが見られます。ログインに関する異常は見られず、振る舞い のみが確認されます。
「普通」こそが、完璧な偽装となる。
予防は発見と同じではない
当社はMFAやEDRといったセキュリティ対策に大きく依存しています。これらは不可欠ですが、特にAIを活用した攻撃において、IDの侵害を検知するようには設計されていません。
攻撃者は、以下の方法を通じてMFAを回避することができる フィッシング、ソーシャルエンジニアリング、または侵害されたデバイスを利用してMFAを迂回し、正当なアクセス権限を用いてエンドポイントの監視範囲外で活動することが可能です。
中間者攻撃 フィッシング キットは現在、リアルタイムでプロキシ認証を行います。ユーザーがMFAを完了すると、攻撃者はセッショントークンをキャプチャし、即座にそれを再利用します。その時点から、攻撃者は完全に認証されたユーザーとして動作します。ログイン失敗も、ブルートフォース攻撃もありません。ただ有効なセッションがあるだけです
「制御機能があれば侵害が明らかになる」という考え方には誤りがある。実際には、制御機能は目立たない形で機能不全に陥っている。攻撃者がAIを活用してIDの悪用を自動化するにつれ、予防と検知の間のギャップはますます広がり続けている。
信号はある……けれど、つながっていない
個人情報の漏洩を示す兆候は確かに存在します。しかし、それらは散在しています。
あるツールでは認証の異常が検出され、別のツールでは不審なネットワーク活動が確認され、さらに別のツールではクラウドへのアクセスパターンが確認される。これらを相互に関連付けなければ、これらのシグナルは孤立したまま不確かなものとなり、明確な洞察をもたらすどころか、かえってノイズを生み出すことになる。
この断片化は、AI主導の環境においてさらに深刻化します。そこでは、アイデンティティがより多くのシステムにまたがり、より高速に変化し、アナリストが現実的に相関付けられる量を超えるデータが生成されるからです。
例えば、ユーザーが新しい場所からログインしたとします。数分後、そのアカウントから通常とは異なるSMBトラフィックが発生します。その直後、そのアカウントは見慣れないクラウドストレージにアクセスします。個々のイベントや、別々のツールで見れば、それぞれはリスクが低いように見えます。しかし、アカウント、ネットワーク、クラウドの情報を相互に関連付けて初めて、攻撃の全容が明らかになるのです。
ID侵害の検知方法を見直す
問題は、個人情報の漏洩が起きているかどうかではない。問題なのは、それを把握できるかどうかだ。
AI分野では、IDの不正利用がより頻繁に発生し、検知が難しく、実行も迅速化しています。IDの数が増え、自動化が進み、スピードが向上するにつれ、攻撃者が人目につかないように潜伏する機会も増えています。
このギャップを埋めるためには、ID検出へのアプローチ方法を見直す必要があります:
- 侵害は避けられないと想定し、すでに内部に潜入している攻撃者の特定に注力する
- IDを単なる認証情報ではなく、振る舞い として扱う
- 認証上の異常だけでなく、不自然なパターンや動きにも注意を払う
- ID、ネットワーク、クラウドの各アクティビティを統合し、一元的なビューとして表示する
- 攻撃者の意図を示す信頼性の高いシグナルを優先する
最も危険な攻撃者は、侵入しようとしている者ではありません。すでに侵入に成功し、まるでその場に馴染んでいるかのように振る舞っている者なのです。
Vectra AIIDベースの攻撃への対策について詳しくはこちら:https://youtu.be/ytWOynLTAco