ほとんどのデータ侵害の主な原因は、パスワード攻撃の場合が多いです。そしてサイバー犯罪者は、組織のデバイス、システム、ネットワークにアクセスするために、パスワードの脆弱性を常に探しています。
一度でも企業のネットワークに侵入されてしまうと、その侵入者を排除するのは極めて難しく、場合によっては、彼らをネットワークから完全に排除するのに数ヶ月かかることもあります。
そこで、パスワードマネージャーを使えば、企業はパスワード攻撃の大部分を防ぐことができます。パスワードマネージャーで、企業は暗号化されたプラットフォームに認証情報を保存することができ、それによって、ハッカーが侵入してパスワードにアクセスしたり盗んだりするのを防ぎます。
TeamPassword は、中小企業やスタートアップ企業向けに、同僚と安全にパスワードを保存および共有できるようデザインされたものであり、最先端の暗号化技術を使ってデータを保護する最もお手頃なパスワードマネージャーです。
TeamPassword がパスワード攻撃を防ぐ方法
パスワード攻撃は、大抵の場合、認証情報管理の不備や従業員の教育不足が原因で発生しますが、TeamPassword は以下の機能で企業のパスワードのセキュリティを上げ、それによって後ほど挙げる5つのよくあるパスワード攻撃を軽減します。
2FA(二要素認証)
2FA で、TeamPassword アカウントに追加の認証ステップが上乗せされることから、サイバー犯罪者がパスワード攻撃を成功させて認証情報を盗んだとしても、2FA で完全な侵害は防ぐことができます。
TeamPassword は、iOS および Android デバイスで利用可能な Google Authenticator を使用しており、アカウントにログインするのに、パスワードと6桁のコードを入力する必要があります。
また、バックアップコードも作成できるため、Google Authenticator のデバイスを紛失しても TeamPassword アカウントからロックアウトされることはありません。
全アカウントに安全なパスワードを設定する
脆弱なパスワードや使い回されたパスワードは、企業に多くのパスワードの脆弱性をもたらしますが、TeamPassword の 内蔵パスワードジェネレータを活用することで、アカウント全てに対して強固な認証情報の作成と、同じパスワードが使い回されないことが保証されます。
パスワードジェネレータを使うと、文字(大文字/小文字)、記号、数字を使った12~32文字のパスワードを作成できます。また、パスワードジェネレータを使ってユニークなユーザー名を作成し、認証情報の強度を高めるのもいいでしょう。
ちなみに、認証情報は全て TeamPassword 内に保存されるため、ユーザー名やパスワードを覚えておく必要はありません!
アクティビティログとメール通知
TeamPassword のアクティビティログは、チームメンバーがパスワードマネージャー内で実行したアクションを全て記録します。また、機密性の高いタスクやアカウントに対するメール通知を設定することで、不審な行動を事前に察知することも可能です。
パスワードの安全な共有
パスワード攻撃は多くの場合、人為的なミスや不注意な認証情報管理によって起こります。
TeamPassword を使えば、パスワードマネージャーを通してチームで安全にパスワードを共有することができるため、メールやチャットアプリ、スプレッドシートなどの安全でない方法で認証情報が晒される心配がありません。
その際、チームはユーザー名とパスワードを入力する代わりに、TeamPassword のブラウザ拡張機能(Firefox、Chrome、Safari)を使って、会社のツール、アプリケーション、その他のアカウントにログインします。
また、TeamPassword には、モバイル専用アプリにログインするためのモバイルアプリもあり、従業員は必要な認証情報をコピー/ペーストするだけでログインできます。
14日間の無料トライアルを始めて、TeamPassword の強固なパスワードマネージャーで企業のデジタル資産を保護しましょう。
よくあるパスワード攻撃5つ
以下は、従業員の認証情報を盗むために最もよく使われる5つのパスワード攻撃ですが、パスワードマネージャーを使うことで、このような攻撃を最小限に抑えたり、排除したりすることができます。
1.ソーシャルエンジニアリング(フィッシング)
ソーシャルエンジニアリングは、人間の心理的な隙間や行動のミスを利用してパスワード、個人情報など重要な情報を盗用する手法の総称です。 基本的にソーシャルエンジニアリング攻撃は、チームメンバーが機密情報を共有したり、悪意のあるソフトウェアをインストールしたりするよう誘導します。
また、ソーシャルエンジニアリングは従業員が識別しにくい場合が多く、政府機関や多国籍企業の優秀な専門家も、このような詐欺にだまされることが多いです。
サーバー犯罪者は、メールを使ってフィッシング攻撃を仕掛けることが多いですが、SMS(スミッシング)、SNS、電話(ビッシング)などの通信手段を使うこともあります。また、攻撃者は誰かになりすまして従業員を騙し、機密データを漏えいさせることもあり、2020年に17歳の少年がツイッター社のネットワークに侵入したのは、この方法によるものでした。
フィッシング以外にも、ソーシャルエンジニアリング攻撃には以下のようなものがあります。
- スピアフィッシング - サイバー犯罪者が特定グループや個人に対する標的型攻撃で、送られてくる内容の信頼度が高く見えるため、被害者が非常に簡単に騙されやすいのが大きな特徴です。
- ウォーターリングホール攻撃 ‐ サイバー犯罪者は、たとえば会計士のチャットルームのように特定の専門家グループがよく利用するウェブサイトやプラットフォームを攻撃対象とします。 攻撃者は、マルウェアをインストールするためにウェブサイトの脆弱性を探します。 被害者が感染したウェブサイトを訪問すると、マルウェアとトロイの木馬が同時にダウンロードされ、攻撃者がデバイスや会社のネットワークにリモートでアクセスできるようになります。
- ベイティング - ハッカーは、感染したストレージ・デバイス(USBドライブ、CD、外付けハードディスク・ドライブ)をターゲットの近くに置いておき、被害者がドライブに何が入っているのかを確認するために、それを PC に挿入すると、すぐにマルウェアがインストールされ、ハッカーは遠隔でアクセスできるようになります。
ソーシャルエンジニアリングを防止するために、企業は従業員を教育し、効果的なパスワード管理戦略を立てる必要があります。
2.MITM(Man-in-the-Middle:中間者)攻撃
MITM(中間者)攻撃とは、ハッカーがあるシステムから別のシステムへ送信される(パスワードを含んだ)データを傍受することです。ハッカーはこの情報を途切れさせることなく中継し、データを盗んだり操作したりする可能性があるため、受信者は偽の情報を得ることになります。
MITM 攻撃は、データがネットワークを通過する場所や、あるシステムから別のシステムに移動する場所であればどこでも起こり得ます。例えば、暗号化されていない公衆の WiFi ネットワークを従業員が使った場合、ハッカーは送受信するデータを傍受し、パスワードやその他の機密情報を盗むことができます。
また、MITM 攻撃は、Webサイトやサーバーに安全な HTTPS 暗号化が使われていない場合によく起こります。攻撃者はそのようなWebサイトに、マルウェアをインストールし、それによってユーザー名やパスワードなど、フォームを介して渡されるデータを全て傍受できるようになります!
2017年、Equifax社 は HTTPS サーバーではなくHTTP サーバーを通過するトラフィックで、MITM 攻撃に脆弱なセキュリティ上の欠陥があったことから、モバイルアプリを Apple App Store と Google Play から撤退させなければなりませんでした。
TeamPassword は、パスワードがサーバーにアップロードされる前に、コンピュータ上でローカルにハッシュ化、塩付け、暗号化されることにより、MITM 攻撃を防ぎます。なので、攻撃者がデータを傍受することに成功しても、それを確認したり解読したりすることはできません!
3.ブルートフォース攻撃
ハッカーは自動化されたツールを使って Web サイトをクロールし、ユーザー名とパスワードの組み合わせを一致するまで試します。Google reCaptcha や二段階認証のようなツールにより、このような総当たり攻撃は10年前に比べたら成功しにくくなっていますが、ハッカーたちは挑戦し続けています!
例えば会社が WordFence WordPress プラグインを使用している場合、ボット(コンピュータを外部から遠隔操作するためのコンピュータウイルス)が毎日のように、この種のブルートフォース攻撃で Web サイトを攻撃していることがわかるでしょう。
ブルートフォース攻撃は、弱いユーザー名とパスワードの組み合わせが使われているアカウントをハッキングするのに非常に効果的です。例えば、会社名や従業員の名前を使うと、攻撃者に認証情報の半分を与えているも同然です。
そこで、ユニークでランダムなユーザー名と強力なパスワードを組み合わせることにより、ブルートフォース攻撃の犠牲になる可能性を最小限に抑えることができます。
4.クレデンシャルスタッフィング攻撃
クレデンシャルスタッフィング攻撃は、ブルートフォース攻撃と似ており、データ侵害のよくある落とし穴です。ハッカーは、データ侵害時に盗んだ認証情報を使って、同じユーザー名とパスワードの組み合わせが使われている可能性のある他のWeb サイトやアプリケーションにアクセスします。
このような盗まれた認証情報をはダークウェブで競売にかけられ、多くの場合、同じデータベースが複数の買い手に売られ、その結果、多くの悪事を働く人達から攻撃を受けることになります。
クレデンシャルスタッフィングは完全に自動化された攻撃システムで、犯罪者はボットを使って Web サイトやプラットフォームを訪れて、一致するものを見つけます。
また、クレデンシャルスタッフィング攻撃は比較的よくある攻撃で、Superdrug(ドラッグストア)や Uber のような大企業もこの攻撃の被害を受けています。
2016年、以前のデータ侵害で盗まれた認証情報を使った、Uber のイギリスとヨーロッパ向けの非公開の GitHub レポジトリの1つへのアクセスがありました。Uber の従業員12名の2FAが有効になっていなかったため、簡単にログインされてしまい、Uber の AWS データストアにもアクセスされ、3200万人以上の Uber ドライバーの記録が持ち去さられるなんてこともありました。
クレデンシャルスタッフィングのリスクを排除する簡単な解決策は、同じパスワードを決して使いまわさないことです。また、ユーザーはブルートフォース攻撃とクレデンシャルスタッフィング攻撃の両方を防ぐ2FAも使うべきです。
TeamPassword のパスワードマネージャーは、2FA を使うことで、認証情報が盗まれとしてもアカウントにアクセスされないようにすることができます。また、バックアップコードを作成できるので、ユーザーが TeamPassword アカウントから閉め出されることはありません。
5.辞書攻撃
辞書攻撃はブルートフォース攻撃と似ていますが、サイバー犯罪者が単語やフレーズを予測してパスワードの候補を絞り込む点が異なり、その単語やフレーズには、個人のペットや子供の名前、住所、会社情報、生年月日、その他よく使われるパスワードなどが含まれます。
サイバー犯罪者は、一致する単語を見つけるまで、この「辞書単語」を循環させるアルゴリズムを作成します。では、ハッカーはどうやってこの情報を入手するのでしょうか?
会社や個人のWebサイト、SNSなど情報はどこでも無料で手に入れることができます。ハッカーは1時間もかからずに、自身のペットや家族の名前、誕生日、居住地、職場、通っているジムなどを知ることができます。そしてそのキーワードをすべてアルゴリズムに入力し、あとはボットにやらせればいいだけです。
そこで TeamPassword のパスワードジェネレータを使えば、使い慣れたパスワードや簡単に解読できるパスワードを使用せずに済むため、それによって辞書攻撃の被害に遭うリスクがなくなります。
TeamPasswordでパスワードを保護しよう
以下は、この記事で一番お伝えしたかったことです:
- パスワードを使い回さない
- 脆弱なパスワードを作成したり、使い慣れたフレーズを使わない
- 2FA が利用可能な場合は、常に使用する
TeamPassword の安全なパスワード管理ソリューションで、パスワード攻撃から会社を守りましょう。チームでの安全なパスワード共有を試すべく、TeamPassword をぜひ14日間お試しください。
