昨年、世界の組織の半数以上がパスワード関連攻撃の被害に遭っています。そして、新たなデータが公開され、フィッシング攻撃の脅威とパスワードベースの認証のリスクが浮き彫りになりました。
本レポートの要点は以下の通りです。
この結果からすれば、調査対象の組織はフィッシング攻撃の脅威や、サイバー犯罪者にパスワードが狙われていることを正しく理解しており、その対策ができている、と考えていることになります。
しかし、本当にそうでしょうか?
以前に、認証情報はサイバー攻撃を成功させる重要な要素の一つであることを説明しましたが、Axianのデータを見る限り、企業はまだ十分に現状を把握していないようです。Axianのデータによると、いまだに93%もの組織が認証にパスワードを使用しています。従業員や職員の認証情報は誰のものであっても、攻撃者にとって極めて魅力的な標的であり、フィッシング攻撃は騙し取るための常套手段です。
また、現在、フィッシング攻撃を防ぐために何かしらの多要素認証(MFA)を導入している組織は22%に過ぎません。そして、「フィッシング攻撃に強いMFA」と言われているMFAでも、多要素認証プロンプトボム攻撃などを防ぐための手段を講じているだけである可能性があります。実際、52%の企業と組織が過去1年間にパスワード関連の攻撃により、被害を受けたと認めています。
サイバー攻撃やその被害に関するニュースでは脆弱性が悪用されてランサムウェアの被害にあったものが多く取り上げられ、侵入されることを前提とした対策としてのEDRや、脆弱性監視に目が奪われがちです。しかし、サイバー攻撃者に認証情報が広く悪用されていることは明らかな事実です。この現状を認識すれば、認証方法を保護するための方法を変えていく必要があることは十分理解できるはずです。多要素認証、あるいは完全なパスワードレス環境の導入、そして、新しいスタイルの先進的なセキュリティ意識向上トレーニングによって従業員を教育し、攻撃の起点となるフィッシング攻撃を侮らず対策をしっかりと行なってください。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの醸成につなげています。
原典:Stu Sjouwerman著2024年1月5日発信 https://blog.knowbe4.com/phishing-most-feared-cyber-attack