パスワード流出による「なりすまし」が増加、リモートワークに必要な意識改革と有効策とは？

ありがとうございます！
いいね！した記事一覧をみる

会員になると、いいね！でマイページに保存できます。

新型コロナウイルス対策としてテレワークが広がる中、2020年7月上旬に通信会社社員のBYOD端末から社内サーバーに対して正当なアカウントとパスワードを使った侵入が明らかになった。8月下旬には、大規模なVPNのパスワード漏えい事件が大きく取り上げられた。これらは第三者が社内ネットワークに自由に侵入できたことを意味する深刻な事態だ。こうした事件・事故は今後も続くだろう。もはや、こうした事態に対処するには、発想の大転換が求められる。それは「IDとパスワードは漏れている」という前提に立つことだ。この前提に立ったとき、考えられるセキュリティー対策は何か。その具体的な姿を考えたい。

「なりすまし」の脅威はもはや無視することはできない

（Photo/Getty Images）

IDとパスワードの流出による「なりすまし」の脅威が増えている

　IDとパスワードの流出による、なりすましの脅威は群を抜いて増えている。IBM X-Force 脅威インテリジェンス・インデックス・レポート 2020によれば、2019年における上位の攻撃初期の手口として、フィッシング、資格情報の不正利用といった、なりすましログインに起因する割合が60%を占めていた。これは、スキャンと脆弱点を突く攻撃の2倍であった。

　また2020年8月下旬には、情報処理推進機構（IPA）が「情報セキュリティ10大脅威 2020」を発表した。その個人編の1位は「スマホ決済の不正利用」、2位は「フィッシングによる個人情報の詐取」だった。トップ10の実に7つの項目が、不正に取得されたIDとパスワードによるなりすましの脅威に絡んでいるのである。組織編でも、1位の「標的型攻撃による機密情報の窃取」が強く関わっている。攻撃者が組織内部への侵入手段として、奪取した正規のID・パスワードを利用してくるケースもあるためだ。

IPAの情報セキュリティ10大脅威 2020（個人編）。ピンク色の脅威は不正に入手されたIDとパスワードによるなりすましが原因となっている脅威である

　こうした脅威に対する国の危機感も強い。たとえば金融庁は、金融機関を対象とするガイドラインで「不正なログイン・異常な取引等を検知し、速やかに利用者に連絡する体制の整備」を明記している。同様のガイドラインは、経済産業省や総務省からも出されている。

　では、こうした事態に企業がとるべきセキュリティー対策は何か。最も重要なことは「IDとパスワードは漏れている」という前提に立つことだ。

　具体的にはID・パスワードを使った認証が正規ユーザーのものであるのかどうかを監視していくということである。これは、ゼロトラストを構成する重要な要素の1つである Identity にも通じる事項であるし、認証における DX（デジタルトランスフォーメーション）にも関与する事項ともなるのだ。どうすれば実現できるのだろうか。

この記事の続き＞＞

・「IDとパスワードは漏えいしている」という前提でのセキュリティー対策

・ユーザーの利便性はそのままで、高い「不正検知率」と低い「アラート率」を実現

・奪取された正規アカウントによる社内深部への侵入やゼロトラストを構成する要素の1つであるIdentityにも有効