企業のパスワードがさらに盗まれやすく、悪用されやすくなっている

企業のパスワードは、盗まれやすくなり、一度漏洩すると悪用を止めるのがますます困難になっています。

Picus Securityの最新年次Blue Reportによると、1億6千万件以上の実際の攻撃シミュレーションに基づき、テストされた環境の46%で少なくとも1つのパスワードハッシュがクラックされました（2024年の25%から増加）。

この増加は、弱いまたは時代遅れのパスワードポリシーへの継続的な依存を示していると、Picusは結論付けています。

Picus SecurityのセキュリティリサーチエンジニアであるSıla Özeren氏は、CSOに対し、攻撃者はますます速く、賢くなっている一方で、多くの組織がパスワードセキュリティの実践を改善できていないと語ります。

「弱い、あるいは古いパスワードを許容している環境が依然として多すぎます。特権アカウントでさえ、ローテーションや複雑性の強制がありません」とÖzeren氏は言います。「強力なポリシーがあっても、それが非常に古かったり、断続的にしか適用されていない場合もあります。」

何年にもわたる啓発キャンペーンにもかかわらず、ユーザーは弱い、再利用された、推測しやすいパスワードに依存し続けています。この課題は、現代の企業のアーキテクチャが複雑化していることでさらに深刻化しています。

「アイデンティティは多くのオンプレミスシステム、クラウドアプリケーション、サービスに分散しています」と、クラウドセキュリティベンダーQualysのEMEA担当リスクテクノロジー副社長Ivan Milenkovic氏は説明します。「この分散化により、可視性や一貫したポリシーの適用が非常に困難となり、攻撃対象領域が拡大します。」

企業防御の亀裂

攻撃者は、GPUを活用したブルートフォース攻撃、レインボーテーブル、情報窃取型マルウェアなどを使って大規模に認証情報を収集し、パスワードスプレーなどの手法でアカウントロックアウトを回避しています。これらの手法は、弱いまたは再利用されたパスワードや、ハッシュの保存方法の欠陥を突き、正規のログインを得やすくしています。

「MD5やSHA-1などの古い方法でパスワードを保存するのは、もはや十分ではありません」とPicus SecurityのÖzeren氏は言います。「bcrypt、Argon2、scryptなどの新しい標準は、ブルートフォース攻撃を遅らせます。」

強力なハッシュ化は、各パスワードごとに一意なランダム値であるソルトや、パスワードとは別に保管されるシークレットキーであるペッパーと組み合わせるべきです。「これらがなければ、攻撃者はレインボーテーブルや他のショートカットを使って大量のハッシュをクラックできます」と彼は言います。

サイバーセキュリティおよびソフトウェア開発会社Cyber Protection Groupの創設者Matthew Bell氏は次のように付け加えます。「多くの組織が依然として弱い複雑性ルール、時代遅れのハッシュ化手法、静的なパスワードポリシーに頼っています。これでは、認証情報ベースの攻撃に対して無防備であり、これは最も成功率の高い初期侵入手段の一つです。」

CSOが取材した独立専門家も、パスワードクラック技術の進歩が問題であると認めつつ、盗まれた認証情報に基づく攻撃の方がさらに大きな脅威であると指摘しています。

「ブルートフォースクラックは確かに懸念事項ですが、特に古いシステムや安全性の低い方法でハッシュを保存している場合に当てはまります。しかし、今日の多くの侵害は、フィッシングやソーシャルエンジニアリングによって収集された盗まれた認証情報から始まり、その後クレデンシャルスタッフィングで悪用されます」と、デジタルアイデンティティとセキュリティ企業DaonのEMEAおよびAPAC担当カスタマーサクセス副社長Paul Kenny氏は述べています。

「攻撃者は、誰かにパスワードを渡させることができれば、実際にはパスワードを『クラック』する必要はありません」と彼は付け加えます。

MSPと連携してセキュリティサービスを提供するベンダーSherwebのサイバーセキュリティテクニカルフェローRoddy Bergeron氏は、攻撃者はパスワードクラックが上手くなったというよりも、フィッシングやソーシャルエンジニアリングが巧妙になっていると考えています。

「また、顧客データベースが平文パスワードを保存していたり、認証情報がアプリケーションにハードコーディングされていたりといった不適切なセキュリティ慣行により、大量の認証情報が漏洩し続けているのも現状です」とBergeron氏は言います。「これらの攻撃に対する防御策は存在しますが、適切に投資されていなかったり、正しい手順を守ることに依存していたりします。」

盗まれた認証情報による脅威の拡大

攻撃者は、ターゲット組織のネットワークに最も直接的に侵入できる手段として、ユーザー認証情報を積極的に狙っています。一度侵入すると、攻撃者はシステム間を横断し、他のユーザーアカウントを探して侵害したり、権限昇格を試みて管理者権限を得ようとします。

この認証情報の探索は、ユーザーアカウントだけでなく、開発者がアプリケーションのソースコードにアクセスキーやその他のシークレットをハードコーディングしているコードリポジトリにも及びます。

有効な認証情報を使った攻撃は、98%の確率で成功したとPicus Securityは報告しています。

Picus SecurityのBlue Reportでは、データ流出の試みが阻止されたのはわずか3%であり、2024年の9%から減少しています。この統計は、ランサムウェアオペレーターが、漏洩情報の公開を脅しに使った二重脅迫攻撃を強化している今、特に悪いニュースです。これらの攻撃では、侵害された企業がハッキングされたシステムへのアクセスを取り戻すために支払いを要求されるだけでなく、情報漏洩の脅しも加わります。

「これは、攻撃者が検知された場合でも、対応メカニズムが遅すぎる、統合が不十分、または単に被害を止めるのに効果がないことを示唆しています」とCyber Protection GroupのBell氏は述べています。

QualysのMilenkovic氏は、組織はデジタルアイデンティティを守るために多様な防御戦略を導入すべきだと主張します。

「多要素認証（MFA）は現在、基本的なコントロールと見なされており、単なるパスワード以上の重要な検証レイヤーを追加します」とMilenkovic氏はCSOに語ります。「これはしばしばユーザー行動分析と組み合わされ、侵害されたアカウントを示す異常な活動を検知できます。」

ゼロトラストパスワード管理および暗号化ベンダーKeeper SecurityのCEO兼共同創設者Darren Guccione氏は、定期的なパスワード変更や小さな文字置換を強制するような従来の複雑性ルールは、現代のブルートフォースや辞書攻撃に対して「ほとんど抵抗力がない」と述べています。

「防御策は、包括的な認証情報ライフサイクル管理、特権アクセスコントロール、リアルタイム異常検知を含むよう進化しなければなりません」とGuccione氏は言います。「パスキーのようなフィッシング耐性のある認証手法の導入も、認証情報の悪用リスクを大幅に減らし、侵害時の横展開を防ぐことができます。」

Kevin Curran氏（IEEE上級会員、アルスター大学サイバーセキュリティ教授）は、あまりにも多くの組織が依然としてレガシーシステム、不統一なパスワードポリシー、不完全なMFA適用に頼っていると指摘します。

「CISOやセキュリティチームは、強力でユニークなパスワードの徹底、MFAの全社的な利用、特権アカウントの厳格な管理、アイデンティティコントロールの定期的なテストに注力すべきです」とCurran氏は述べます。「これらを、適切に調整されたDLP（データ損失防止）や、異常なパターンを迅速に検知できる継続的モニタリングと組み合わせることで、盗まれたまたはクラックされた認証情報の影響を抑えることができます。」

Picus Securityの最新の調査結果は、セキュリティツールの想定される保護と実際のパフォーマンスの間に懸念すべきギャップがあることを明らかにしています。全体の保護効果スコアが62%であるのに対し、データ流出の防止率は驚くほど低い3%にとどまっています。

「検知ルールの設定ミス、ログの抜け、システム統合の問題が、セキュリティ運用全体の可視性を損ない続けています」とPicus Securityは述べています。

効果的な対策には継続的な検証が必要

QualysのMilenkovic氏は、これらの調査結果はセキュリティ対策自体の限界を示すものではなく、継続的な検証と管理の欠如によってツールの効果が大きく損なわれていることを示していると主張します。

「主な原因は『設定したら放置』という考え方です」とMilenkovic氏は言います。「セキュリティコントロールは導入時は強力ですが、設定のずれ、環境の変化、攻撃者の手法の進化によって、その効果は時間とともに低下します。」

Milenkovic氏はさらにこう付け加えます。「現代のCISOにとって重要なのは、脅威に基づいた防御への転換の必要性です。これは、コンプライアンス重視のチェックリスト的な対応を超え、継続的なセキュリティコントロールの検証という積極的な戦略を採用することを意味します。」