MailData

個人情報に基づく攻撃とその阻止方法

個人情報に基づく攻撃とその阻止方法

個人情報に基づく攻撃を防ぐための実践的ガイド

2023年11月29日
著者: Ahona Rudra
翻訳: 竹洞 陽一郎

この記事はPowerDMARCのブログ記事 What are Identity-based Attacks and How to Stop Them? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

バーチャル世界がますます個人情報に基づく認証に依存するようになる中、個人情報に基づくサイバー攻撃が増大する脅威となっています。
Identity Defined Security Alliance (IDSA) が最近発表した「2023年のデジタル個人情報保護のトレンド」レポートによると、驚くべきことに、90%の組織が過去1年以内にデジタル個人情報に関連する少なくとも1つの侵害を経験したことが明らかになりました。

個人情報に基づく攻撃は、個人、組織、またはエンティティのデジタル個人情報を特定して侵害することを目的としています。
サイバー犯罪者によって使用される様々な技術や方法を包含し、これらの攻撃は個人情報とアクセス管理に関連する脆弱性を悪用します。

「個人情報に基づく攻撃」とは何か?

個人情報に基づく攻撃は、ユーザ名、ドメイン名、メールアドレス、パスワード、個人データ、デジタル証明書などの身元に関連する情報を盗む、操作する、または不正利用することを目的としています。
主な目的は、システム、データ、またはリソースへの不正アクセスを得ること、詐欺を行うこと、または合法的なユーザやエンティティになりすまして悪意のある活動を行うことです。
これらの攻撃は、コンピューターやネットワーク環境で身元がどのように管理、確認、または認証されているかに関連する脆弱性を悪用することに焦点を当てています。

個人情報に基づく攻撃の種類

これらの攻撃は様々な形態を取り、サイバーセキュリティ、プライバシー、オンラインシステムやサービスの完全性に対して重大な脅威をもたらします。
最も一般的なタイプは以下の通りです。

個人情報に基づくフィッシング攻撃
フィッシング攻撃は、合法的な組織や個人など、信頼されるエンティティになりすまして、ユーザにユーザ名、パスワード、銀行情報などの機密情報を明かさせることが多いです。
フィッシングメール、Webサイト、またはメッセージがこれらの認証情報を盗むために使用されます。
クレデンシャルスタッフィング
クレデンシャルスタッフィングまたはクレデンシャルフィッシングは、複数のプラットフォームに同じセットのパスワードを使用するという人間心理を利用します。
これは、複数のパスワードを覚える必要がなくなるためです。
この攻撃の有名な例は、2013年の悪名高いターゲット社のデータ侵害で、この悪質な方法に基づいています。
この侵害は、攻撃者が盗んだログイン情報を利用してターゲットのネットワークに接続されたベンダーのシステムに侵入し、4100万人以上の消費者の個人および財務データを危険にさらした歴史上最も重要な個人情報に基づく攻撃の一つです。
その後、ターゲットのPOSシステムに悪意のあるソフトウェアがインストールされ、調査、サイバーセキュリティ強化、法的和解などの費用が合計1,850万ドルに上る大きな金銭的損失が発生しました。
中間者攻撃(MitM攻撃)
MitM攻撃は、二者間の通信を傍受し、攻撃者が送受信されているデータを盗聴または改竄することを可能にします。
これには、機密情報にアクセスするために通信する一方の当事者を偽装することが含まれます。
ソーシャルエンジニアリング
ソーシャルエンジニアリング攻撃は、技術的な悪用よりも人間心理の操作に大きく依存し、身元の危険につながることで知られています。
ソーシャルエンジニアは、悪意のある目的を達成するために、人間の行動、信頼、社会規範を悪用するような偽装攻撃などの方法を使用します。
この人間の要素を技術だけでコントロールすることは大きな挑戦です。そのため、従業員のトレーニングや意識向上プログラムが重要となりますが、それらは万能ではありません。

個人情報に基づく攻撃はなぜ脅威なのか?

個人情報に基づく攻撃は様々な形態を取り、いくつかの理由から重大な脅威と見なされています。

盗まれた身元の価値

サイバー犯罪者は、盗んだ身元を利用して金融詐欺、税金詐欺、または身元盗用などの様々な悪意のある活動で利益を得ることができます。
盗まれた身元は、機密データやリソースへのアクセスを提供することもしばしばです。
たとえば、侵害された従業員の身元は、会社の内部システム、機密データ、または営業秘密への不正アクセスを得るために使用されることがあります。

個人情報に基づく攻撃の被害者となった個人は、不正な取引、銀行口座への不正アクセス、または信用枠の不正使用によって重大な金銭的損失を被ることがあります。
組織にとっては、盗まれた身元を含む侵害が発生すると、その評判に深刻なダメージを与える可能性があります。
顧客やパートナーは、組織が機密情報を保護する能力に対する信頼を失うかもしれません。

その結果、企業はこの脅威から自身を守るために積極的に対策を講じています。
2023年のIDSA調査によると、60%以上の企業がデジタル身元の管理とセキュリティを最優先事項のトップ3に挙げています。
さらに、これらの企業の約半数が身元関連インシデントに対する保護としてサイバー保険に投資しています。

個人情報に基づく攻撃の進化する性質

個人情報に基づく攻撃は、その洗練度を常に進化させています。
攻撃者は、合法的なコミュニケーションを密接に模倣するフィッシングメールや、個人の資格情報を明らかにするよう人々を操作するソーシャルエンジニアリングの戦術を利用するなどの高度な技術を使って身元を盗みます。

加害者はしばしばターゲットを特定した攻撃に従事し、特定の個人や組織に焦点を合わせます。
より発見が困難な、巧妙な攻撃を作り出すために、彼らは情報収集に時間を費やし、選ばれたターゲットに対する戦術を調整します。
これらの攻撃者は、自分たちの活動を隠蔽するために、多くのサーバを介して行動をルーティングし、Torのような匿名化技術を利用するなど、様々な手法やツールを使用します。

盗まれたデータはしばしばダークWebで金銭化され、配布および共有チェーンを中断する上で重要な障害となり、攻撃を特定の個人やグループに帰属させることを複雑にします。

個人情報に基づく攻撃を緩和した後でも、後続の攻撃のリスクが残ります。
攻撃者は初回の侵害中に得た貴重な情報を将来の攻撃で悪用する可能性があります。

顧客データベースの保護に失敗したための訴訟

EU(ヨーロッパ連合)の一般データ保護規則(GDPR)カリフォルニア消費者プライバシー法(CCPA)などの法律は、個人データの保護に関して組織に厳格な要件を課しています。
違反すると、重大な罰金や法的措置を受けることになります。
法的な罰金に加えて、組織は訴訟に関連する費用、弁護士料金や和解金なども負担することになります。

重大な事件の一つとして、エクイファックスはデータ侵害のために、被害を受けた消費者へ最大5億7500万ドルの補償と、州に対して1億7500万ドルの民事罰金を支払う必要がありました。
この侵害は、同社がシステムの既知の脆弱性を迅速に対処しなかったことが原因で発生しました。

個人情報に基づく攻撃を防ぐ方法

個人情報に基づく攻撃を防ぐには、技術的な対策とユーザ教育を含む包括的かつ積極的なセキュリティアプローチが必要です。
以下にいくつかの対策を示します。

強力なパスワードの実践

パスワードの複雑さを強調
ユーザに大文字と小文字の文字、数字、特殊文字を組み合わせた強力なパスワードを作成するよう促します。
「password123」のような容易に推測可能なパスワードは避けましょう。
パスワードマネージャーの利用
信頼できるパスワードマネージャーを使用して、複雑なパスワードを安全に生成・保管することを推奨します。
多要素認証(MFA)
MFAは、ユーザに2つ以上の認証要素を提供するよう求めることで、攻撃者が不正アクセスを得ることを大幅に難しくします。
標準的なユーザ名とパスワードの実践に加えて一般的なMFA方法には、OTP、生体認証、個人の質問への回答があります。

DMARCの実装

DMARCの展開は、メールのなりすましやフィッシング攻撃の蔓延する脅威に対するメールセキュリティを強化するための重要なステップです。
DMARCは、デジタル領域でのドメインの完全性と評判を保護するために設計された堅牢なメール認証プロトコルとして機能します。

DMARCの中核は、SPFやDKIMなどの認証チェックに失敗するメールをどのように扱うかを明確に述べた厳格なメールポリシーを組織が定義することにより機能します。
このポリシーはDMARCレコードに体現され、ドメインネームシステム(DNS)で検証のために公開されます。
DMARCは、承認されていないメールに遭遇した場合の対処方法を指定することで、ドメイン名を使用してメールを送信できるのは正当なソースのみであることを保証するのに役立ちます。

私たちの無料のDMARCジェネレーターを使用して、あなたのドメインのためのレコードを作成してください。

定期的なソフトウェアの更新とパッチ管理

攻撃者が悪用する可能性のある既知の脆弱性に対処するために、オペレーティングシステムやアプリケーションを含むすべてのソフトウェアを最新のセキュリティパッチで更新してください。

セキュリティソリューションの利用

データの暗号化

転送中および休止中の機密データを暗号化します。
暗号化は、データが間違った手に渡っても保護され、攻撃者が意味のある情報にアクセスすることが難しくなります。

ゼロトラストセキュリティモデル

信頼を決して仮定せず、継続的な認証と認可に基づいて厳格なアクセス制御を適用するゼロトラストセキュリティアプローチを採用してください。
このモデルは攻撃対象領域を最小限に抑え、個人情報に基づく攻撃のリスクを減らします。

レガシーシステムの廃止

未修正の脆弱性や弱いセキュリティコントロールを持つ可能性のある古いレガシーシステムを段階的に廃止し、置き換えてください。
レガシーシステムは攻撃者にとって魅力的なターゲットになることがあります。

まとめ

これらの予防策を実施し、組織内にサイバーセキュリティに対する意識を高めることにより、個人情報に基づく攻撃のリスクを大幅に減らし、全体的なセキュリティ態勢を向上させることができます。
新たに出現する脅威に適応し、従業員や関係者に進化するサイバーセキュリティ環境について継続的に教育することで、警戒を怠らないことが重要です。

私たちのDMARCアナライザーを使用して、今日からあなたのメールの防御を強化しましょう。
詳細を知りたい場合は、私たちに連絡してください!