アカウント乗っ取り攻撃は、個人にも組織にも壊滅的な被害をもたらす可能性があります。企業や個人のアカウントにアクセスすることで、サイバー犯罪者は被害者になりすまし、金銭を盗んだり機密情報を入手したりする可能性があります。木曜日に発表されたレポートで、詐欺対策会社SEONは、アカウント乗っ取りの増加について考察し、企業と個人にアカウントを保護するためのアドバイスを提供しています。
アカウント乗っ取り攻撃はどの程度蔓延しているのでしょうか?
SEONが引用したSecurity.orgの2021年の調査によると、米国の成人の22%がアカウント乗っ取りの被害に遭っており、その数は約2,400万世帯に上ります。こうしたアカウント乗っ取りによる金銭的損失の平均額は12,000ドルでした。
本調査で分析されたインシデントのうち、侵害されたアカウントの51%はソーシャルメディアサイト、32%は銀行口座でした。さらに、被害者の60%が複数のアカウントに同じパスワードを使用していたことから、アカウントごとに異なるパスワードを設定し、パスワード管理ソフトウェアを使用して固有のパスワードを管理することの重要性が示されました。
サイバー犯罪者がアカウントを乗っ取る方法
巧妙なサイバー犯罪者は、侵入先のアカウントを探す際に、いつ攻撃を仕掛けるべきかを熟知しています。2021年のホリデーシーズン中、ログイン試行の140件に1件はアカウント乗っ取りを狙ったものでした。犯罪者はまた、消費者市場におけるアクティビティの急増を、気づかれずに攻撃を仕掛ける合図として捉えています。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
アカウントを乗っ取るために、攻撃者はダークウェブで盗んだ認証情報を購入することがよくあります。あるいは、ブルートフォース攻撃やソーシャルエンジニアリングの手法を使ってアカウントに侵入することもあります。アカウントを乗っ取った後、犯罪者は通常、パスワードや通知設定などのアカウント情報を変更し、本来のユーザーとのつながりを断ち切ります。
アカウント乗っ取りから会社を守る方法
アカウント乗っ取りから守ることは企業にとって重要な課題です。SEONは、そのためのアドバイスを提供します。
従業員の意識を高める
従業員が、アカウント認証情報を入手しようとするフィッシングメールやマルウェアの兆候を認識できるよう、トレーニングを実施してください。少なくとも、不審なメールやその他のコンテンツを報告できるヘルプデスクまたはIT担当者に従業員を誘導してください。
フィッシングやスピアフィッシングの手口に注意する
CEO 詐欺は、攻撃者が会社の CEO になりすましてアカウント情報を入手したり、ネットワーク リソースにアクセスしようとする特定の戦術です。
パスワードマネージャーを使用する
各アカウントに異なるパスワードを作成し、維持することは、適切なツールがなければ事実上不可能です。パスワードマネージャーは、各アカウントに固有の複雑なパスワードを作成し、保存し、適用するという困難な作業を代行します。パスワードマネージャーは、固有かつ複雑なマスターパスワードで保護されていることを確認してください。多くのパスワードマネージャーは、組織向けにビジネスエディションを提供しており、IT担当者は従業員によるパスワードの使用状況を管理・監視できます。
疑わしいIPアドレスとデバイスをブロックする
セキュリティ対策により、ネットワークへのアクセスを試みる不審なIPアドレスやデバイスを即座にブロックするようにしてください。犯罪者は、デバイスや位置情報を偽装することで、自身の正体を隠そうとすることがよくあります。こうした試みを阻止するには、詳細なデバイスフィンガープリンティングを基盤とした強力な不正防止・情報収集ツールを活用しましょう。
ボット攻撃を防ぐためにCAPTCHAセキュリティを設定する
犯罪者はボットを使って、異なる認証情報を使ってウェブサイトやアカウントへのログインを試みることがありますが、こうしたボットを阻止するには、認証に何度か失敗した後にCAPTCHAセキュリティが作動する実装を検討してください。また、特定の操作を実行する際に、ユーザーごとに試行回数を制限することも有効です。例えば、間違ったパスワードを何回入力するとロックアウトされるかなどです。
アカウント乗っ取り攻撃から消費者を保護する
SEON はまた、消費者がこうした攻撃から身を守る方法について次のようなアドバイスも提供しました。
強力で一意のパスワードを作成するには、パスワード マネージャーを使用します。
各アカウントに複雑で固有のパスワードを設定するには、パスワードマネージャーが依然として最善の選択肢です。ただし、パスワードマネージャー自体が強力なマスターパスワードで保護されていることを確認してください。
多要素認証を使用する
MFAは、サポートされているすべてのアカウントとウェブサイトに設定する必要がある、もう一つのセキュリティ対策です。たとえパスワードが漏洩したとしても、この2つ目の認証方法がなければ攻撃者はアカウントにログインできません。多くのアカウントとウェブサイトは、Microsoft AuthenticatorやGoogle Authenticatorなどの認証アプリの使用をサポートしています。また、物理的なセキュリティキーを使用できるものもあります。その場合は、これらの方法のいずれかを使用してください。これらはMFAの中で最も安全な方法です。
アカウント情報のリクエストを確認する
アカウント情報を要求するメールやテキストメッセージには、決して直接返信しないでください。代わりに、連絡を取ろうとしている個人または企業の電話番号またはメールアドレスを調べ、それが正当なものかどうかを確認してください。
