アイデンティティに基づく攻撃の状況的リスクトップ5

2024年3月20日
Vectra AIプロダクトチーム
アイデンティティに基づく攻撃の状況的リスクトップ5

IDベースの攻撃が増加し、大規模な情報漏えいの原因となっていることから、多要素認証 (MFA) は世界中の企業、組織、政府で広く採用されています。しかし、2023年には組織の約90%がIDベースの攻撃に耐えるようになるため、MFAを導入するだけでは十分ではありません。

ご存知のとおり、多要素認証には、ユーザーにデータ、ネットワーク、アカウント、またはアプリケーションへのアクセスを許可する前に、2 つ、多くの場合 3 つの要素で本人確認が行われます。 

3種類の認証

一要素認証は非常にシンプルです。ユーザーとして、電話メッセージやオンライン銀行口座などにアクセスするために、3桁または4桁のコード、つまり自分で知っている情報を入力します。しかし、一要素認証 (SFA) に頼っても、ほとんど保護されないことが判明しています。ハッカーはすぐに「秘密」であるはずのコードをコピーしたり、盗んだり、推測したりする方法を見つけ、個人アカウントにアクセスしたのです。 

二要素認証または二段階認証では、PINや秘密のコードなど、あなたが知っているものに加え、プッシュ通知やテキストメッセージを受信するために、個人のモバイルデバイスなどあなたが持っているものを追加します。この例では、2つの認証レイヤーがあります。ユーザーアクセスには、秘密コードを知っていることと、モバイルデバイスにすぐにアクセスできることが必要です。

2つの要素を超える多要素認証は、第3の要素、つまり、指紋、音声、顔認識など、あなたに固有の物理的属性を追加します。MFAは通常、ユーザーが求めるアクセスを得るために3つすべてを要求します。

MFAセキュリティの現状とAI主導の攻撃 

実際のところ、MFA を効果的なアイデンティティ セキュリティ手順として使用するリスクは、今後も増加し続ける可能性があります。 その主な理由は、2023 年に 激化した人工知能または AI を活用したサイバー攻撃の出現です。AI と機械学習は強力な威力を発揮することが証明されており、サイバー犯罪者は通常の MFA をバイパスまたは圧倒する非常に複雑で自動化された攻撃を開始できるようになります。 

たとえば、AI を利用した攻撃では、スピア フィッシング攻撃をカスタマイズして、特に 1 人の個人に焦点を当て、ユーザーをだまして攻撃者がその人であると信じ込ませることができます。 AI 主導の攻撃は、公的情報源、ソーシャル メディアの投稿、オンライン行動から数千のデータ ポイントを取り込み、信頼できるユーザーになりすまし、そのユーザーの特定の好みや特徴を評価して、ディープフェイクではあるが非常に説得力のあるメッセージングとオンライン プレゼンスを作成します。 2024 年には、これらおよびその他の種類の AI を活用した攻撃がより一般的になるでしょう。

Oktaの個人情報流出事件とMFA

しかし、ID 攻撃の増加を加速させているのは AI による攻撃だけではありません。 現実には、たとえすべてを正しく行ったとしても、攻撃者は依然として予防制御を回避することができます。 実際、いくつかの一般的な状況脅威リスクが、非常に成功した非常に公開された ID ベースの攻撃につながっています。 

たとえば、2023年11月の Okta侵害はAIによる攻撃ではなく、ユーザー、そのアカウント アクセス、資格情報の追跡を十分に把握できていないIDアクセス管理 (IAM) プログラムの結果でした。 ハッカーは、システムに保存されているサービス アカウントの認証情報を盗んでネットワークに不正にアクセスし、すべてのOktaアカウント所有者のすべての個人情報にアクセスしました。 

この侵害は、MFAが時間内に阻止または検出できなかった単純な IDベースの攻撃によって達成されました。Oktaの侵害は、人材は最も貴重な資産であると同時に、状況によっては最も準備が整った組織にとっても最大のリスクとなる可能性があるという格言を裏付けるものです。

Okta攻撃には確かに多くの革新性はありませんでしたが、機能しました。

状況脅威リスク

理解する上で重要なのは、Oktaの侵害は状況に応じた脅威リスクによるものであり、検知機能が適切であれば、AI主導の脅威よりもはるかに制御可能であるということです。もちろん、Oktaの侵害には、IDベースの攻撃を防ぐために特別に設計された多要素認証 (MFA) の業界リーダーであるという皮肉があります。ただし、状況による脅威リスクは依然としてIDベースの攻撃の一般的な原因です。 

幸いなことに、これらは頻繁に使用されますが、適切なID脅威の検出と対応ソリューションが導入されていれば、かなり防ぐことが可能です。これを理解した上で、最初に行うべきことは、自分の環境内の状況による脅威のリスクを評価することです。リスクはあなたが思っているほど明らかではないかもしれません。しかし、よく見てみると、IDアクセス管理 (IAM) や特権アクセス管理 (PIM) の実践や手順でさえもカバーできない、または発見できない可能性のある状況リスクが見つかるでしょう。 

以下は、ID ベースの攻撃の急増に寄与しており、適切なソリューションを使用すれば簡単に防止できる、制御可能な状況的リスクの上位 5 つの脅威です。

1. M&A関連活動

合併・買収 (M&A) 活動は増加しており、プライベートエクイティと企業取引は 2024年に12%~13%増加すると予想されています。組織がM&A活動に従事している、または参加する計画がある場合は、組織のリスク許容度が以下であることに注意してください。M&Aプロセス中は最低です。 

これにはいくつかの理由があります。 まず、最高レベルの分析では、M&A活動の各段階で、組織の日常生活に新しい行動、新しい人材、新しいプロセス、新しい目的、新しいイベントが導入されます。 これらの変更は、初級レベルの従業員から経営幹部に至るまで、組織のあらゆるレベルに影響を与えます。 つまり、新たな現実には新たなリスクが伴うのです。 

業務レベルでは、M&Aプロセスには、新しい戦略、新しい人材の選別、差別化されたデューデリジェンスの実践の調和、日常業務の中断、データ共有、新しいシステム統合プロセス、新しい取引、その他の状況および行動の変化が伴います。 それぞれが新たな課題と新たなリスクをもたらします。 リスクの中には明らかなものもあれば、そうでないものもあります。 

文化および人事レベルでは、日々のビジネス慣行、従業員の行動、リスク管理への期待、従業員統合の課題を調整することで、新たな未知の状況リスクが生じる可能性もあります。 さらに、その性質上、M&Aは通常、人員削減を意味します。これは、従業員の不満、従業員間の縄張り争い、その他のアイデンティティに基づくリスクを引き起こす可能性のある行動パターンを意味する可能性があります。

これらすべての要因に加えて、混乱やビジネス上の損失をできる限り最小限に抑えて取引を完了させようという取締役会および経営幹部レベルの意欲が加わります。これは、一部の経営幹部が、取引をより早く終わらせるために、あまりにも多くのデータをすぐに共有したり、不必要なときに高レベルのアクセスを許可したりするなど、手順やリスク管理のベストプラクティスをショートカットしていることを意味する可能性があります。 

こうしたリスクやその他の状況的リスクは、M&Aにはつきものです。

2.機密データや重要インフラを保有する組織は高価値の標的である

状況リスクのもう 1 つの形態は、高価値のデータやインフラストラクチャを使用または所有する企業や組織です。これにより、ID 攻撃の標的になる可能性が高くなります。 

たとえば、Oktaは重要なインフラストラクチャを備えているため、ID攻撃者の標的になる可能性が高くなります。 数十億ドルの資産を有する金融サービス会社は、ID攻撃の状況リスクがより高い確率で発生する企業のもう 1 つの例となります。原子力インフラを持つエネルギー会社、医療会社、通信会社、法律事務所、特定の製造会社も、個人情報攻撃に対する状況リスクが高まっています。 

3. 第三者アクセスリスク

組織によるアプリケーション、サードパーティ請負業者、外部サービスの使用と依存が増加するにつれて、IDベースの攻撃のリスクも増加します。 使用するサードパーティパートナー、請負業者、サプライヤーが増えるにつれて、機密性の高いネットワーク、サービス、アプリケーションへの厳格なアクセス制御を維持することがより困難になります。 

たとえば、攻撃者は Microsoft IDを使用して、接続された Microsoft アプリケーションやフェデレーション SaaS アプリケーションにアクセスする可能性があります。これらの環境での攻撃は、脆弱性自体を悪用することによってではなく、Microsoft のネイティブ機能を悪用することによって発生します。SolarWinds攻撃に関連した攻撃者グループ Nobeliumは、Microsoftテナントへの中断のないアクセスを取得するためにFederated Trust の作成などのネイティブ機能を使用していることが文書化されています。

また、複数のパートナーに依存している組織やサードパーティが、適切なリスクとアクセスの管理手順が遵守され、施行されていることを確認するためにパートナーを監視するのに時間がかかることも問題です。専門知識のレベルの違い、地理的に分散したビジネスパートナー、文化的に多様な習慣や行動上の期待はすべて、組織にアイデンティティベースの侵害のリスクをもたらします。 

4. インサイダー脅威と人員削減/解雇リスク 

従業員はアイデンティティ リスクの主な原因となる可能性があります。 サイバー脅威の危険性がよく知られている今日でも、ほとんどの人は、アイデンティティを保護するための最も基本的なセキュリティプロトコルさえ遵守していません。 

たとえば、専門家の62% が複数のアカウントに 1 つのパスワードを使用しているため、ID ベースの攻撃が非常に簡単になってしまいます。これは、調査対象の組織の31% が、過去 1 年間にブルートフォース攻撃またはパスワードスプレー攻撃を経験したと回答した理由の説明になります。VPN はリモートのサードパーティアクセスを確認して許可するのに役立ちますが、可視性は限られています。 

従業員の削減や一時解雇も、アイデンティティに基づく内部関係者による脅威の重大な原因となる可能性があります。 たとえば、元従業員のほぼ 3 人に 1 人が今でも会社の SaaS アクセス権を持っています。Microsoft 365 のような多数のアクセス ポイントを備えたクラウドベースのプラットフォームを使用すると、サイバー犯罪者は、十分に保護されていない個人用デバイス、共有アプリケーション、またはその他の方法を介して、元従業員の資格情報にアクセスできます。

5.従業員の過剰なアクセス

もう 1 つの非常に一般的な状況リスクは、従業員が業務を遂行するために必要以上のデータ、アプリケーション、ネットワークへのアクセスを許可されていることです。 過剰なアクセスは、新入社員に社内ネットワーク、システム、およびアプリケーションへの役割に必要なレベルを超える固定または標準化されたアクセス レベルが付与された場合に発生する可能性があります。 

過剰なアクセスは、低レベルで責任の低い従業員に扉を開き、フォブ、ラップトップ、または認証要素を適切に保護せず、知らず知らずのうちにアイデンティティ ベースの攻撃の媒介となる可能性があります。 このような場合、過剰なアクセスが許可されているため IAM ツールは効果がなく、悪用は認識されません。

これは、従業員が特定のプロジェクトまたは目的のために、より高いレベルの承認されたアクセスを許可されている場合にも発生します。 タスクまたはプロジェクトが完了した後、昇格されたアクセスは取り消されないため、ID が悪用される可能性があります。

IAM ツールや PAM ツールでは軽減できないアクセス リスクを引き起こすのは、低レベルのアクセス権を持つ従業員だけではありません。特権ID、特にサービス アカウントは、アクセス許可を監視および制御することが困難です。その結果、セキュリティ チームは、特権を持つ従業員がどのような機密データや資産にアクセスしているのか、あるいはその理由をほとんど把握できていないことがよくあります。 

過剰アクセスのもう 1 つの一般的なシナリオは、従業員が別の部門に異動したり、会社または組織内で別の役割を引き受けたりした場合です。以前のアクセス レベルが不必要に開いたままになったり、ラップトップから以前のアクセスが消去されなかったり、フォブが回収されなかったり、非アクティブ化されたりする可能性があります。 これらはそれぞれ、ID ベースの攻撃のリスクを高める可能性がある一般的な状況リスクです。

ユーザーアクセスと行動の可視性の欠如がIDベースのリスクを高める

ユーザーアクセス、ユーザー ID、および行動に対する可視性の欠如は、この投稿にリストされている 5 つを含む、ほとんどの状況リスクの共通点です。さらに、SOC チームは今後、アイデンティティベースのリスクから組織を守る上で、より困難な課題に直面することになるでしょう。

理由はいくつかあります。

SaaSアプリケーションの急増により、ITセキュリティ チームが SaaSアプリケーション、ユーザーのID、ネットワーク内での動作にアクセスして可視化することが非常に困難になっています。 

リモートワークの拡大により、ネットワークにアクセスする第三者従業員の身元と必要性を判断することが難しくなっています。この傾向は今後も続くことでしょう。

アイデンティティの数の急増は、アイデンティティに基づくリスクの脅威を高めています。統計は驚異的である。組織の約98%でIDが増加している (ISDA)。さらに、人間のID1つにつき、45のマシン/サービスのIDが存在し、62%の組織は、機密データや資産にアクセスする従業員やマシンを可視化できていません。

これらの要因により、IAMプログラムの効果が必要以上に低下し、未認証のユーザーが未承認のIPアドレスからアクセスしたり、制限されたデータにアクセスしたり、さらに悪いことにアクセスしたりする可能性があります。可視性がなければ、従業員がアカウントを共有するためのルールを適用したり、個人の雇用状況やネットワーク内での振る舞いを詳細なレベルで判断したりすることは、不可能ではないにしても困難になる可能性があります。

AIを活用してユーザーのアイデンティティと行動を可視化し、状況を把握する

アイデンティティベースのリスクを理解し、阻止するための鍵は、主要な状況リスク要因に関して形勢を逆転できることです。 これらの要因には、ユーザー ID の可視性の欠如、ネットワークへのユーザー アクセスのレベルが適切であることの確認、ユーザーの行動の状況を迅速に把握する機能が含まれます。 SOC チームは、ユーザーがどこにいても、ユーザーを自動的に検証し、ネットワークやクラウド内でのユーザーの行動を即座に可視化し、ユーザーのアクセス レベルや職務と即座に関連付けることができなければなりません。 

たとえば、ネットワークやクラウドにアクセスするサードパーティの従業員 の身元と必要性を判断することは、一般的な課題です。 ただし、組織のハイブリッド環境を詳細に可視化する適切なソリューションを使用すれば、この問題を解決できます。 しかし、可視性がなければ、従業員がアカウントを共有するためのルールを強制したり、個人の雇用状況やハイブリッド環境内での行動を詳細なレベルで判断したりすることは、不可能ではないにしても困難になる可能性があります。

さらに、IDベースの攻撃のリスクを最小限に抑えるためには、自動化された適切な対応によって組織を保護することも必要です。 AI を活用した即時修復により、チームは数か月ではなく数分以内に、不正行為を阻止し、アクセスを排除し、侵害、アプリケーションの悪用、流出、その他の損害を防ぐことができます。 

これはとても重要なことである 

Vectra ITDR は、AI主導のAttack Signal Intelligence TMを活用し、ステルス管理者、不正使用されたサービスアカウント、複数のアタックサーフェスにわたる悪意のあるサインインなど、能動的かつ隠密なアイデンティティの振る舞いを通知します。インシデントへの完全なコンテキストと攻撃者の振る舞いに関する知識により、他のツールよりも80%以上少ないアラートノイズで、アイデンティティベースの攻撃を360度確実に把握します。 

Vectra AI は、比類のないシグナルの明瞭さ、カバレッジ、制御を実現し、組織が不正なサインイン、スクリプト エンジン アクセス、信頼できるアプリケーションの悪用、ドメインフェデレーションの変更、広範なネットワークおよびクラウド権限の悪用を即座に確認し、理解してシャットダウンできるようにします。 ランサムウェアとデータ侵害の始まり。 

今すぐ無料の個人情報漏えいギャップ分析をご予約いただき、個人情報漏えいの可能性を測る保護レベルを確認してください。

よくあるご質問(FAQ)