見出し画像

第27話 従業員のアカウントとパスワードはすでに闇市場で売られていると考えた方がいい理由

中央省庁1万7000件の漏洩事件が示すこと

標的型フィッシング攻撃でも解説したが、もう日本でも社員のアカウントとパスワードは既に漏洩しているという前提でセキュリティ対策を考える時代に入ってきている。

中央省庁の情報漏えい件数、「このままなら21年は過去2番目の被害規模」 テレワーク推進が背景か
 
2008年7月1日から21年5月31日の期間に、中央省庁が使うメールアドレスとパスワードのセット約1万7000件が漏えいした――こんな調査結果を、情報漏えい検知サービスを手掛けるソースポッド(東京都新宿区)が7月8日に公開した。(略)
 調査ではメールアドレスとパスワードの両方がダークウェブを含むインターネット上で閲覧できる状態のものを漏えいと判断。調査対象は中央省庁と外局組織が使う末尾が「go.jp」のドメインと、中央省庁の所管法人のうち同社が把握しているドメインのメールアドレス。重複した場合は除外している。[*01]

今回は、もしあなたの会社が同様の被害があることが判明したらあなたの会社はどう対応するべきだろうか。

漏洩が発覚したらまず全社員のパスワードを変更

まず最初に行うことは緊急止血だ。今回漏洩が発覚しているアカウントはもちろん、全社員のパスワードをただちに変更することだ。

今回発覚した漏洩はたまたまであり、まだ発覚していな漏洩認証情報はありえる。このためまず全社員のパスワードを一斉に変更する。

次に被害の調査。でも難しいかも

次にもしそのシステムのログを解析することが可能であれば、不審なアクセスがなかったかを調べることは必要であろう。
もし情報が盗取されていたとしたら、どの情報が盗取されていたかを知ることで漏洩後の対策がとれるからだ。

しかし不正アクセスならともかく、正規認証権限で侵入してきた場合は、ログによる被害の解析は難しいだろう。

推定される盗取ルート

次に行うことは同じ被害が発生しない対策だ。

今回の中央省庁の漏洩事件のルートはまだよくわかっていない。がまず以下の3点の盗取ルートが考えられる。

画像1

・個人の端末がトロイの木馬などの情報窃取型マルウェアに感染した。
・個人ユーザが標的型フィッシング攻撃に騙されてアカウント情報を漏らしてしまった。
・サーバやネットワーク機器の脆弱性攻撃によって認証情報が盗取された。

企業「そう簡単に多要素認証導入できないよ」

アカウントとパスワードの情報漏洩に対して、最も効果的な対策が多要素認証だ。たとえアカウントとパスワードが漏洩しても、もう一つ独立した認証要素を持つことで、不正アクセスをかなり防ぐことが出来る。

ただし既存のシステムにこの多要素認証を組み込むことは大きなカスタマイズが必要になることが多い。SaaS含む業務システムの認証に多要素認証をなかなか導入できない企業が多い理由である。

既存システムを改変せず多要素認証対応にする方法

手前味噌の話で恐縮だが、弊社が提供しているDoCANというセキュアブラウザクラウドサービスは、既存のシステムに簡単に多要素認証(端末ID認証)を追加することができる。

既存システムの接続許可にDoCANのIPアドレスを追加するだけ。または社内システムとDoCANゲートウェイを拠点間VPNで接続するだけだ。

名称未設定

とにかくこれからは、社員のアカウントとパスワード情報はハッカーに漏洩していることを前提にセキュリティ対策を実施する時代だ。システム認証の多要素化は今後セキュリティ対策の必須条件となる・

既存のシステムに多要素認証を導入が難しい場合は、せめてDoCANのようなセキュリティをラッピング実装するサービスを検討して欲しい。

再発防止として脆弱性の見直し

多要素認証を導入したからといってそれだけではまだ不十分だ。どこからアカウントとパスワードが漏洩したかは不明であったとしても、ネットワークやサーバのハードウェアやソフトウェアの脆弱性は定期的に実施することは「情報漏洩対策全般」として必須である。

・ハードウェアやソフトウェアのセキュリティパッチは常に最新にする。
・第三者による脆弱性診断を定期的に行う。

という対策は忘れてはならないだろう。


まとめ
・社員のアカウントとパスワードは漏洩している前提がこれからは必要。
・そのためには業務システム認証の多要素化は必須。

【2021年版】ゼロトラストFTAガイドブック(無料)はこちらからダウンロード出来ます。本ガイドブックが、一社でも多くの企業のセキュリティ対策に役立つことを願っています。

参考文献
*01 ITmediaNews「中央省庁の情報漏えい件数『このままなら21年は過去2番目の被害規模』テレワーク推進が背景か
https://www.itmedia.co.jp/news/articles/2107/08/news150.html?utm_source=pocket_mylist

*02 総務省「情報セキュリティに係る利用者の意識について」私用PCへの情報セキュリティ対策
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h26/html/nc143220.html

この記事が気に入ったらサポートをしてみませんか?