昨年、世界の組織の半数以上がパスワード関連攻撃の被害に遭っています。そして、新たなデータが公開され、フィッシング攻撃の脅威とパスワードベースの認証のリスクが浮き彫りになりました。
認証情報がサイバー攻撃の重要な原因の1つとなっていることについては、昨年の7月に掲載したブログ記事「ダークウェブで販売されている認証情報は150億件」を参照してください。この記事を掲載してから約半年が経過した今、サイバーセキュリティベンダーのAxianは、2023 State of Authentication Survey(認証の実態調査2023年版)を公開し、企業の認証情報の保護対策に対する変化や、取り組むべき対策などについて解説しています。問題を多くの企業が認識している割には、具体的な準備を行っている企業は多くはありません。
本レポートの要点は以下の通りです。
- 39%の企業や組織が、最も危険なサイバー攻撃としてフィッシングを挙げた。
- 49%が、最も被害を受ける可能性が高い攻撃手法にフィッシングと回答した。
- 89%が、発生する可能性が最も高いサイバー攻撃から自社を守る準備ができていると考えている。
- 88%が、パスワード関連の攻撃に対する防御対策を整備していると考えている。
この結果からすれば、調査対象の組織はフィッシング攻撃の脅威や、サイバー犯罪者にパスワードが狙われていることを正しく理解しており、その対策ができている、と考えていることになります。
しかし、本当にそうでしょうか?
以前に、認証情報はサイバー攻撃を成功させる重要な要素の一つであることを説明しましたが、Axianのデータを見る限り、企業はまだ十分に現状を把握していないようです。Axianのデータによると、いまだに93%もの組織が認証にパスワードを使用しています。従業員や職員の認証情報は誰のものであっても、攻撃者にとって極めて魅力的な標的であり、フィッシング攻撃は騙し取るための常套手段です。
また、現在、フィッシング攻撃を防ぐために何かしらの多要素認証(MFA)を導入している組織は22%に過ぎません。そして、「フィッシング攻撃に強いMFA」と言われているMFAでも、多要素認証プロンプトボム攻撃などを防ぐための手段を講じているだけである可能性があります。実際、52%の企業と組織が過去1年間にパスワード関連の攻撃により、被害を受けたと認めています。
サイバー攻撃やその被害に関するニュースでは脆弱性が悪用されてランサムウェアの被害にあったものが多く取り上げられ、侵入されることを前提とした対策としてのEDRや、脆弱性監視に目が奪われがちです。しかし、サイバー攻撃者に認証情報が広く悪用されていることは明らかな事実です。この現状を認識すれば、認証方法を保護するための方法を変えていく必要があることは十分理解できるはずです。多要素認証、あるいは完全なパスワードレス環境の導入、そして、新しいスタイルの先進的なセキュリティ意識向上トレーニングによって従業員を教育し、攻撃の起点となるフィッシング攻撃を侮らず対策をしっかりと行なってください。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの醸成につなげています。
原典:Stu Sjouwerman著2024年1月5日発信 https://blog.knowbe4.com/phishing-most-feared-cyber-attack
