英国の詐欺防止非営利団体Cifasが最近発表した調査は、事業を運営している人、または事業から購入している人なら誰もが懸念すべき内容です。大企業で働く8人に1人の従業員は、会社のログイン認証情報を売却したか、その人を知っています。
インターネットは従業員が会社システムにアクセスするために使用する侵害された認証情報に満ちています。脅威インテリジェンス企業KELAは、2025年に世界中で約29億の侵害された認証情報を追跡しました。これらのほとんどはフィッシング攻撃とインフォステーラーから発生しています。しかし、従業員が早い金を稼ぎたいという理由から、サイバー犯罪者は単に人々に提案することができます。
誰も監視していないインサイダー
Cifasは少なくとも1,000人のスタッフを持つ企業の2,000人の従業員にインタビューしました。このうち、13%は過去12ヶ月間に企業アクセス認証情報を売却したか、その人を知っていることを認めました。驚くべきことに、レポートが述べているように、売却者は「多くの場合、それが無害だという信念の下で」そうしました。
ニュース速報:アカウント認証情報を売却することは無害ではありません。犯罪者はアカウントを乗っ取り、それで悪いことをするために認証情報を欲しがっています。米国のアカウント乗っ取りは昨年6%増加し、78,000件以上に達しました、Verizonによると。
多くのハイジャックされたアカウントはソーシャルメディアからオンラインストリーミングサイト、もちろん銀行口座まで、様々なサービスの個人アカウントです。しかし、その他の多くはMicrosoft 365、Salesforce、および機密企業データを保有するその他のプラットフォームなどのビジネスシステムのアカウントです。これらの秘密は犯罪者にとって価値のある商品であり、公開市場で取引することができます。
あなたのボスはあなたより売却する可能性が高い
理想的には、「最小権限アクセス」と呼ばれる一般的な技術がここで機能すべきです。
企業のオンラインアカウントは必要なものにのみアクセスできるべきという考え方です。つまり、食堂のジムは食事注文システムにアクセスできる必要がありますが、顧客データベース全体にはアクセスできません。そうすれば、ジムのアカウントが侵害されても、攻撃者ができる最悪のことは明日のソーセージを奪うことです。
問題は、レポートによると、上級管理職は下級従業員よりもアカウント認証情報を売却することにより快適であるということです。上級管理職の32%、取締役の36%、経営幹部の43%、そして驚くべきことに、5人に4人の事業主がそれを正当であると考えています。彼らの役割は、最小権限アクセスがあっても、彼らのアカウントが依然として機密システム機能とデータへのルートを開く可能性があることを意味しています。
これはイギリスだけの問題ではありません
Cifasの調査はイギリス固有のものですが、それがすべてではない可能性があります。複数の企業の従業員が会社のアカウントまたは記録へのアクセスを売却しているのを見ています。例えば、暗号通貨企業Coinbaseは昨年、バングラデシュを拠点とするアウトソーシング企業の従業員が顧客記録をハッカーに売却したことを明かしました。
侵害された認証情報は広く普及しています。当社独自の調査では、単一の30日間のウィンドウで、111のフォーチュン500企業が従業員の認証情報を漏らしたことが判明しました。長期的には、これらの企業363社(つまり73%)が少なくとも1人の従業員認証情報の制御を失っています。
従業員がアクセス認証情報を売却することは、彼らを雇用している企業に悪いだけではありません。顧客にとっても悪いです。
取締役のパスワードが販売に供された場合、顧客ファイルは遠くない可能性がありますが、おそらく取締役が売却するわけではありません。Malwarebytesは、フォーチュン500企業の91%が顧客の認証情報を漏らしたことを発見し、ハイジャックされたアカウントはそれらにアクセスするための優れた方法です。
したがって、インサイダーリスクは単なる企業の問題ではありません。これは消費者の問題でもあります。これにより、大企業に個人情報を提供する可能性が低くなり、なぜそれが必要なのかについて疑問を持つようになります。
あなたの名前、住所、電話番号はおそらくすでに販売中です。
データブローカーはあなたの個人情報を収集し、支払い意思のある者に売却します。Malwarebytes Personal Data Removerはそれらを見つけ、あなたの情報を削除してから、それがそのままであることを確認するために監視を継続します。
