パスワードはフィッシングの諸悪の根源
2021年1月25日、Mike Vizard
従業員が、コロナウィルス(COVID-19)パンデミックに対処するために、在宅勤務を開始してから、企業に対するフィッシング攻撃が急増していることは誰もが知っています。HYPR(コムキャスト、サムスン、およびマスターカードがパスワードをなくすために設立したジョイントベンチャー)とCybersecurity Insidersが425人のITプロフェッショナルを対象に実施した調査によると、回答した企業の90%は2020年にフィッシング攻撃を受けています。
回答した企業の約3分の1(29%)はクレデンシャルスタッフィング攻撃を受けています。このため、攻撃者が、盗み出された多くのユーザIDとパスワードを悪用して、アプリケーションとシステムを侵害しようとしていることは明らかです。
しかし、このような攻撃にもかかわらず、回答した企業の約半数(48%)はパスワードレスソリューションをまだ導入していません。導入している企業のうち、91%はMFA(多要素認証)に投資した主な理由がフィッシング攻撃を防止するためであると述べており、61%はUX(ユーザエクスペリエンス)を向上するためであると述べています。
パスワードレスソリューションの導入
パスワードレスMFAの導入へのアプローチについては、回答した企業の36%はスマートフォンをFIDO(Fast IDentity Online)トークンとして使用しており、17%はYubico YubiKey、Google Titanなどのハードウェアセキュリティキーを使用しています。また、17%は、Windows Helloなど、組み込みの認証ツールを使用しています。
残念ながら、パスワードレス認証は、まだ広く導入されておらず、使用されている場合も、パスワードレスの正確な定義には解釈の余地があります。MFAを導入している企業のうち、73%はエンドユーザの主な認証方法がスマートフォンへのメッセージの送信であると述べています。多くの企業は、依然として、ユーザを認証するために、2段階のMFAに依存しています。61%は、依然として、パスワードレスソリューションへのアプローチには、基本的なパスワード、OTP(ワンタイムパスワード)、またはSMS(ショートメッセージサービス)コードが共有秘密鍵として必要であると述べています。
一方、回答した企業の90%は、認証のための共有秘密鍵をなくすことが不可欠であるか、ある程度重要であると考えています。しかし、3分の2以上(67%)は、適切なスキルと部門がないため、広く導入できません。
全般的には、回答した企業の約4分の3(73%)はパスワードレスMFAを導入するための最も便利な方法がスマートフォンであると述べています。また、約3分の2(65%)は複数のIDサービスプロバイダ間の相互運用性が重要であると述べています。
パスワードをなくす
フィッシング攻撃が拡散していることを考えると、現在のパスワードへの依存が時代遅れであることは明らかです。フィッシングは以前から問題になっていますが、在宅勤務する従業員が増加するにつれて、従業員のパスワードを盗み出す攻撃も増加しています。この結果、他人になりすます攻撃者による内部攻撃が大きな問題になっています。この問題をデジタルビジネスプロセスへの依存が増大していることと合わせて考えると、攻撃者が及ぼす可能性がある損害は圧倒的です。
このような攻撃をなくす唯一の方法は、パスワードを完全になくすことです。パスワードがあるかぎり、フィッシング攻撃は実行されます。攻撃者の行動を変えることはできません。企業が管理できる唯一のものはエンドユーザの認証方法です。この方法が何らかのパスワードに依存している場合、パスワードが盗み出されることは時間の問題です。ある時点で、企業はパスワードがソリューションというよりフィッシングの問題の一部であるという事実を認める必要があります。
原文はこちら:
Passwords are the root of all phishing evil
January 25, 2021 Mike Vizard
https://blog.barracuda.com/2021/01/25/passwords-are-the-root-of-all-phishing-evil/
