アカウントの認証情報を盗むマルウェア「インフォスティーラー」が脅威となる中、NISTは2025年にガイドラインを改訂し「フィッシング耐性のある認証」への移行を推奨している。では、これまでの認証をどう見直せばよいのか、ヒントを探る。
多くの組織で不正アクセス被害が相次いでいる。特に脅威となっているのが「インフォスティーラー」(情報窃取マルウェア)だ。パスワードのみならず、認証後のトークンやCookie情報をリアルタイムで盗み取り、正規のユーザーになりすましてMFA(多要素認証)を突破するケースもあるという。
こうした最新の脅威動向を踏まえ、サイバーセキュリティにおける実質的なグローバル標準を策定する米国立標準技術研究所(NIST)は、2025年7月にガイドラインを改訂。「パスワードの定期変更を不要」とした従来方針から一歩踏み込み、「フィッシングに強い認証方式」への移行を推奨している。
企業の間では、MFAを採用する動きは広まりつつあるものの、「MFAは銀の弾丸ではなく、フィッシングに強く、偽の誘導にだまされない仕組みへアップデートが必要だ」と、有識者は指摘する。
では、新たな認証の姿とはどのようなものなのか。本稿では「ITmedia Security Week 2025」のセッション「『通す』時代から『見抜く』時代へ、ゼロトラスト志向でアップデートする認証のこれから」を通じて、これまでの認証を見直すためのヒントを探る。
提供:SB C&S株式会社、シスコシステムズ合同会社
アイティメディア営業企画/制作:アイティメディア編集局
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。