パスワード。それは、他のサイバーセキュリティ企業と同様に、当社が常に話題にしている題材です。
そこには明確な理由があります。2017年度版のベライゾン社のデータ漏洩/侵害調査報告書(英語)によると、ハッキングに関連する侵害の81%が盗まれたパスワードや脆弱なパスワードの悪用によるものでした。同年のGoogle社の調査(英語)によると、搾取された資格情報の約20億件が闇市場で売買されています。「Have I Been Pwned」というサイト(英語)では、あなたのパスワードが漏えいしているかどうかを簡単にチェックできます。
これらの無味乾燥な統計数字を現実世界に当てはめて考えたい場合には、エフセキュアのサイバーセキュリティ専門家であるJanne Kauhanen(ヤンネ・カウハネン)がお手伝いをします。レッドチーム演習や侵害調査の分野で経験が豊かなJanneは、多くの企業のパスワードの衛生状態の悪さを目の当たりにしてきました。
「私たちが調査したデータ侵害事件のほとんどは、攻撃者が2つの手口を使って侵入しています。1つは、フィッシングを通じた資格情報の不正入手、2つ目は、脆弱または再利用された、パスワード、あるいはその両方に該当するユーザパスワードを解読して利用されています。」
最初の手口は、ITコミュニティにとってなじみのある脅威シナリオであり、標準的な企業ユーザにとっても認識度は高まっています。しかし、2番目の手口は、ハッカーによる、必殺技のようなものとして片付けられることがよくあります。
「この攻撃は、レッドチーム演習の中で何度も見てきましたが、パスワードクラッキングは現実的であるだけでなく、非常に実用的かつ効果的であることは確かです。」とJanneは語っています。
このビデオを見て、最も一般的な2つのパスワードクラッキング手法が実際に動作している様子を確認してください。
これが、あなたが直面しているものです。ある程度熟練した攻撃者なら全員が同じことを実行することができます。
以上のことを念頭に置いて、3つのパスワード神話(間違った認識)について取り上げたいと思います。また、すでに内部に侵入している攻撃者をネットワーク上で捕捉するためのヒントもいくつか紹介します。
パスワード神話その1:「強力なパスワードを使っていて記憶することもできる」
これは矛盾しています。あるいは逆説とも言えます。要するに不可能だということです。
「パスワードルールシステムやアルゴリズムは、特にそれが人間の頭の中に保存されているものであればなおさらなのですが、毎秒何万ものパスワードの組み合わせを生み出すソフトウェアには歯が立ちません。」とJanneは述べています。「これは経験則ですが、もしパスワードを記憶している言われるなら、そのパスワードは脆弱です。」
覚えられるようなパスワードは脆弱です。
この問題に対する唯一の実行可能なソリューションは、F-Secure Keyのような信頼できるパスワードマネージャを利用することです。これにより、使用するサービスやアプリケーションごとに、ランダムに生成された固有の64文字のパスワードを手に入れることができます。
そして、あなたは2つのマスター資格情報を覚えているだけでよいのです。1つはパスワードマネージャ用、もう1つはドメインログイン用です。
そして安全性を確保するために、この2つは攻撃者に解読されることのないよう巧妙に設定する必要があります。手始めに、パスフレーズを考えるのがよいでしょう。つまり、それ自身に特に意味を持たない一連の単語です。
たとえば「effecttradedbuysdowntownreally」や「waitingopencarapplebowling」などです。
パスワード神話その2:「自分は重要人物ではないので誰もパスワードを知ろうとはしないはず」
まず自己評価をしてみてください。
この世には、あなたに価値を見出しているグループが少なくともひとつは存在していることを認識してください。それがサイバー犯罪者です。
あなたは社会の一員であり、会社の同僚から信頼され好かれています。あなたはEメールを送り、ファイルにアクセスし、そしてデジタルフットプリントを残しています。あなたのアイデンティティはそれ自体に価値があるのです。
「攻撃者は目標を達成するためは手段をいといません。そして、ほとんどの場合、彼らには攻撃に費やす時間が十分にあります。」
誰かがあなたのアカウントを侵害して他の誰かにアクセスした場合はどうなるのでしょうか?親しい同僚からのEメールにWebサイトへのリンクや奇妙なファイルであったとしたら、クリックしてしまいませんか?
「攻撃者は目標を達成するためは手段をいといません。そして、ほとんどの場合、彼らには攻撃に費やす時間が十分にあります。」とJanneは語っています。「たったひとりの若手社員のアカウントが搾取されたことから侵害が始まる可能性があります。そして、病気のように内部から感染が拡大し、さらに多くの人々に蔓延していきます。」
これらの攻撃チェーンは非常に複雑化していくことがありますが、その多くは怠慢や不注意などのちょっとした行為が原因で発生します。とても何百万ドルも失うほどの重大な過失からではないのです。
パスワード神話その3:「2要素認証を使用しているので侵害は防御できる」
この神話は少々面倒です。2要素認証は、考えられるほとんどすべてのシナリオにおいて有効ですが、残念ながら侵害から逃れられるわけではありません。
真の2要素プロトコルは常に2つの異なる通信チャネルを必要とします。たとえば、オンラインバンキングシステムでは、メインのサービスコンポーネントから完全に分離された追加のアプリケーションにパスコードを入力する必要があります。
これらのタイプのシステムは、エンドユーザにとって面倒な多くのサービスを利用することになるだけでなく、プロバイダーにとっても非常にコストがかかるため、めったに見かけることはありません。
その代わりに、ほとんどの企業では、パスワードと同じログイン画面に入力するコードをテキストメッセージで受け取る、より単純な代替手段に依存しています。
「2要素認証は常に使用すべきですが、それが迂回されるケースも散見されます。資格情報と同じログインページに入力されたテキストメッセージコードは、そのWebサイトを偽装することによって搾取することができてしまいます。攻撃者があなたの正当なセッションを継続している間、あなたには偽のエラーメッセージで、サービスが一時的に利用不可であることを通知するでしょう。」とJanneは説明します。「2要素認証は決して特効薬ではありません。」
パスワード侵害に対するリアクティブ(事後対応型)保護
パスワードセキュリティに関して、あなたはすべてのプロアクティブ(予防的)な手順を考慮してきたと思います。いずれにしろ今後は、誰かがあなたの会社のアカウントを侵害しようとする不測の事態に備えなければなりません。
エンドポイントでの侵害検知と対応(EDR)製品に投資することをお勧めします。これは、既存のエンドポイント保護対策(EPP)をさらに強化できる高度なセキュリティソリューション です。
EDRのリアルタイム行動データ分析により、IT環境を具体的に表示できる優れた可視性を得ることができます。標準的プログラム、未確認アプリケーション、予期せぬスクリプトによる異常な動作、およびシステムツールの不審な実行などを検出することができます。
つまり、高度なAIに「正当な」振舞いがどのように見えるかを教えることで、その姿に合わないものすべてに効果的にフラグを立てることができます。これを「非定型モデリング」と呼びます。
普段使っていないアプリケーションを誰かが使っている場合にはフラグが立ちます。
深夜にネットワークへの不審なログインがある場合にはフラグが立ちます。
機密データがサーバから搾取されている場合にはフラグが立ちます。
EDRについてもっと知りたい場合は、ここ(英語)から始めるのがお勧めです。
結 論
パスワードセキュリティを真剣に受け止めること、それがあなたとあなたの同僚にとって有意義なことです。必要に応じて、まずはあなたの職場から啓蒙活動を始めてください。
攻撃者が社内へ侵入する道を見つけたとき(彼らは必ず見つけます)、すでに準備ができていなければなりません。そのため、次世代のアンチウィルスソリューションだけを検討するのではなく、侵害後のセキュリティ対策に対しても注意を向けてください。
よく言われるように「世の中には2種類の会社があります。侵害された会社と、侵害されたことに気付いていない会社です。」
これこそ教訓とすべき言葉です。
カテゴリ