“ソースコード流出”のDropboxが強化するフィッシング対策は?フィッシング攻撃を受けたDropbox【後編】

全てのフィッシング詐欺を検知することはほとんど不可能だ。Dropboxへのフィッシング攻撃から学べる教訓とは。

2023年01月06日 05時00分 公開
[Alex ScroxtonTechTarget]

 オンラインストレージサービスを手掛けるDropboxは、2022年10月にフィッシング攻撃の被害を受けた。攻撃では、同社がソースコード共有サービス「GitHub」で管理するソースコードの一部に不正アクセスがあった。同社は「全てのフィッシング攻撃を検知することは不可能だ」と語る。フィッシング攻撃への対策では何を重視すればよいのか。

フィッシング攻撃に有効な対策は?

 Dropboxのセキュリティチームは、「攻撃者がアクセスした情報は限定的なものだったが、今回の件を受けて従来よりも高いセキュリティ基準を設けた」と説明する。

 今回の攻撃を受けて、Dropboxは多要素認証(MFA)の仕組みにパスワード不要の認証技術「WebAuthn」(Web Authentication)を採用することを前倒しするとみられる。同社は今回の攻撃よりも前にWebAuthnの導入を始めており、希望する顧客にはWebAuthnの機能を提供している。

 セキュリティベンダーCybereasonのCSOサム・カリー氏は、Dropboxがさまざまな企業のデータを保管する企業である点を指摘し、「Dropboxは攻撃者にとって魅力的な標的だ。攻撃を防ぐための対策を実施する責任がある」と述べる。一方で同氏は、「Dropboxは自社の弱点を把握している。同社は認証や認可を強化するための計画を加速させ、セキュリティを向上させている」と評価する。

 セキュリティ企業Outpost24 ABでCSO(最高セキュリティ責任者)を務めるマーティン・ジャーテリウス氏は、「フィッシング詐欺は効果的かつ安価で実施可能な攻撃手法であるため、ハッカーの間で人気を集め続けている」と話す。フィッシング攻撃を回避するための対策として、ジャーテリウス氏は以下を推奨する。

  • ドメインが一致しない場合にパスワードを提出しない、ブラウザ統合型のパスワード管理ツールの使用
  • ワンタイムパスワードを使用する多要素認証デバイス「YubiKey」の使用

 カリー氏は「企業が攻撃の被害を受けないためには、自社の規模や売上高から考える平均的なレベルよりも優れたセキュリティ対策を施さなければならない」とアドバイスする。具体的には、以下を実行し継続することが有効だ。

  • 単一障害点を探すこと
  • インシデントの発生後は、できる限り透明性を保つこと
  • リスク評価を更新すること
  • インシデントから教訓を得ること
  • 顧客とパートナー企業を第一に考えて行動し続けること

 「歴史は、攻撃の被害者を犠牲者としてではなく、英雄か悪者かのどちらかで捉える。企業は英雄になるための決断をするべきだ」とカリー氏は言う。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

鬮ォ�エ�ス�ス�ス�ス�ス�ー鬯ィ�セ�ス�ケ�ス縺、ツ€鬩幢ス「隴取得�ス�ク陷エ�・�ス�。鬩幢ス「�ス�ァ�ス�ス�ス�、鬩幢ス「隴主�讓滂ソス�ス�ス�ス鬩幢ス「隴趣ス「�ス�ス�ス�シ鬩幢ス「隴乗��ス�サ�ス�」�ス�ス�ス�ス

製品資料 パロアルトネットワークス株式会社

セキュリティ運用を変革、人手に頼ったSOCモデルから脱却する方法とは?

従来のSOCは、AIや機械学習を用いた高度な攻撃に対処できなくなりつつあり、可視性とコンテキストの欠如や検証の複雑化など、さまざまな課題が山積している。この状況を改善するには、人手に頼ったSOCモデルから脱却する必要がある。

技術文書・技術解説 株式会社インターネットイニシアティブ

“次世代SD-WAN”とは何なのか? 「SASE」との関係は

比較的新しい製品分野である「SD-WAN」にも、早くも変化が起こり始めている。SD-WANは今後、どう進化するのか。「SASE」といった関連技術との関係性を踏まえながら、“次世代SD-WAN”の方向性を探る。

製品資料 ServiceNow Japan合同会社

脅威はランサムウェアだけではない、重大なセキュリティインシデントをどう防ぐ

ランサムウェア以外にもさまざまなサイバー攻撃が企業を襲い続けているが、重大なセキュリティインシデントへの対策を適切に行えている企業は今も少ない。その理由や、状況を改善するための4つのステップを詳しく解説する。

製品資料 株式会社AGEST

経営上のリスクに備える、脆弱性診断の目的や実践方法

サイバー攻撃による被害は、金銭的な損失だけでなく、信用の失墜や業務継続への支障といった経営上のリスクに直結する。このようなリスクへの備えとして有効なのが、「脆弱性診断」だ。脆弱性診断の目的や実践方法について解説する。

製品資料 東京エレクトロン デバイス株式会社

高度なエンドポイントセキュリティを実現、EDRの課題を解消するアプローチとは

昨今、組織のネットワーク外に分散したエンドポイントが、攻撃者にとって格好の標的になっている。このような中でエンドポイント保護の新たな形として期待を寄せられているのがEDRだ。しかし、運用が難しいなどの課題も多い。

アイティメディアからのお知らせ

驛「譎冗函�趣スヲ驛「謨鳴€驛「譎「�ス�シ驛「�ァ�ス�ウ驛「譎「�ス�ウ驛「譎「�ソ�ス�趣スヲ驛「譎「�ソ�スPR

From Informa TechTarget

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。

“ソースコード流出”のDropboxが強化するフィッシング対策は?:フィッシング攻撃を受けたDropbox【後編】 - TechTargetジャパン セキュリティ 髫エ�ス�ス�ー鬨セ�ケ�つ€鬮ォ�ェ陋滂ソス�ス�コ�ス�ス

TechTarget驛「�ァ�ス�ク驛「譎「�ス�」驛「譏懶スサ�」�趣スヲ 髫エ�ス�ス�ー鬨セ�ケ�つ€鬮ォ�ェ陋滂ソス�ス�コ�ス�ス

鬩幢ス「隴取得�ス�ク陷エ�・�ス�。鬩幢ス「�ス�ァ�ス�ス�ス�、鬩幢ス「隴主�讓滂ソス�ス�ス�ス鬩幢ス「隴趣ス「�ス�ス�ス�シ鬩幢ス「隴乗��ス�サ�ス�」�ス�ス�ス�ス鬩幢ス「隴趣ス「�ス�ス�ス�ゥ鬩幢ス「隴趣ス「�ス�ス�ス�ウ鬩幢ス「�ス�ァ�ス�ス�ス�ュ鬩幢ス「隴趣ス「�ス�ス�ス�ウ鬩幢ス「�ス�ァ�ス�ス�ス�ー

2025/07/15 UPDATE

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...