従業員の認証情報が流出すれば、重大な攻撃につながる恐れがある。特に人工知能(AI)技術の悪用が広がる中、認証の安全性を高めるには。
サイバー攻撃で利用される手口の一つが、エンドユーザーの認証情報の盗難だ。認証情報の流出は、特に多要素認証(MFA)を導入していない組織に深刻な被害をもたらす恐れがある。2024年、Snowflakeが提供する同名クラウドデータウェアハウス(DWH)への不正アクセスによって同社の顧客情報が漏えいし、さまざまな組織に影響が及んだ。認証のセキュリティを強化するには、どうすればいいのか。
認証情報を盗む手口として、フィッシングやクレデンシャルスタッフィング攻撃がある。クレデンシャルスタッフィング攻撃は、流出したログイン情報を使ってアプリケーションへの自動ログインを試みる手口だ。これらの手口が成功するのは、攻撃者がエンドユーザーの心理を巧みに利用しているからだ。ある程度セキュリティの教育を受けたエンドユーザーでも、だまされて認証情報を渡したり、不正リンクをクリックしたりする場合がある。
人工知能(AI)技術のビジネス利用が広がりつつある中、システムやIoT(モノのインターネット)デバイスといったモノにAI技術が導入され、「非人間アイデンティティー」(Non-Human Identity:NHI)が付与されている。NHIも攻撃の対象になり得るため、エンドユーザーのIDと同様、保護策を講じることが欠かせない。
新型コロナウイルス感染症(COVID-19)のパンデミック(世界的大流行)以降、テレワークが普及するとともに、クラウドサービスの利用が拡大している。複数のクラウドサービスで利用するアプリケーションが増えるほど、IDの管理は煩雑になり、攻撃に悪用される脆弱(ぜいじゃく)性が生まれる可能性がある。IBMの調査レポート「IBM X-Force 2025 Threat Intelligence Index」によると、2024年のサイバー攻撃の大半は従業員IDを使った侵入から始まっている。
安全な認証の仕組みを構築するには、パスワードを使わない「パスワードレス認証」が有用だ。パスワードレス認証は、認証関連の業界団体FIDO Allianceが推し進めているパスワードレス認証技術「FIDO2」をベースとしている。パスワードの代わりに、顔や指紋などの生体情報や、専用のハードウェアを利用する。パスワードレス認証を使えば、パスワードの流出による不正アクセスを防げる。
デジタル認証情報の利用も攻撃リスクを減らすための手段だ。デジタル認証情報とは、運転免許証や社員証など物理的な身分証明書をデジタル化した情報を指す。デジタル認証情報を利用することで、個人情報や機密情報を不用意に公開せずにログイン時の本人確認を進めることが可能だ。
AI技術の進展によって、フィッシング攻撃は巧妙化しつつある。AI技術を活用して、人間が作成する精度に近い文法や表現の文章を作成できるようになれば、受信したメールが問題のないメールかどうか、フィッシングメールかどうかを見破ることは難しくなる。組織は、フィッシング攻撃によって認証情報が流出した場合に備えて、攻撃を防止するための仕組みを作るのが喫緊の課題だ。
TechTarget.AI編集部は生成AIなどのサービスを利用し、米国Informa TechTargetの記事を翻訳して国内向けにお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
