現代の組織は、クラウドサービス、SaaS(Software as a Service)アプリケーション、エンドポイント、リモート環境にわたって、数千もの人間・非人間のアイデンティティを管理しています。ハイブリッドワーク、BYOD(Bring Your Own Device)、サードパーティアクセスの拡大が続く中、セキュリティチームは「誰が何にアクセスできるのか」「そのアクセスは信頼できるのか」を把握しきれなくなっています。
攻撃者はこの複雑さを巧みに利用しています。インフラの脆弱性を直接突くよりも、アカウントを侵害する方が素早く、しかも静かに行動できるからです。防御側にとって、正規のアイデンティティに紐づいた悪意ある活動を検出することは、現在のセキュリティ上の最大の課題の一つとなっています。
では、アカウント乗っ取り攻撃が増加している背景は何か、そして組織はどのようにアイデンティティを守ればよいのでしょうか。
パスワードではなく「セッション」を狙うフィッシング
認証情報の悪用は、攻撃者が組織への侵入口を確保する手段として依然として高い信頼性を持ちます。2025年の侵害の22%を占めているという実態がその証拠です。攻撃者はインフォスティーラーマルウェアやフィッシングキャンペーン、過去の侵害に伴うクレデンシャルダンプを通じて、ユーザー名とパスワードを入手しています。
多要素認証(MFA)は、アカウント侵害に対する最も重要な防御手段の一つであることに変わりはありませんが、攻撃者は認証プロセスそのものを標的にする戦術へと適応しています。
代表的な手口の一つが「MFA疲労攻撃」、別名プロンプトボンビングです。これは、MFAの承認リクエストをユーザーが根負けして承認するまで繰り返し送り続けるというものです。大量の通知に嫌気が差したユーザーが、ついリクエストを承認してしまうケースが後を絶ちません。
よく知られた事例として、2022年にUberの従業員がMFAプロンプトを繰り返し送り付けられ、最終的に承認してしまった攻撃があります。
この初期アクセスを足がかりに、攻撃者は権限を昇格させてUberの環境深くへと侵入し、クラウドインフラの大部分を侵害して従業員データを露出させました。
さらに攻撃者は、Adversary-in-the-Middleフレームワークやセッションハイジャックツールを使い、ログイン後に認証済みセッショントークンを盗むことでMFAを完全に回避する手口も用いています。
従来の防御を突破するクレデンシャルフィッシング攻撃
認証情報の窃取を目的としたフィッシングは依然として主流の手口であり、最新の攻撃はかつてない高度さに達しています。攻撃者は正規のホスティングサービス、信頼されたドメイン、リバースプロキシ、AIが生成したコンテンツを駆使して、本物のログインポータルと見分けがつかないほど精巧なフィッシングページを作成しています。
Specopsの親会社であるOutpost24の脅威リサーチャーは最近、正規のCiscoドメインを悪用した多段階リダイレクト攻撃によるフィッシングキャンペーンを発見しました。この攻撃は、検出を回避しながら信頼性を高めるよう設計されていました。
このようなキャンペーンは、セキュリティ意識の高いユーザーでさえフィッシング攻撃を見抜くことがいかに難しいかを示しています。
攻撃対象領域を広げるデバイスの多様化
現代の従業員は、個人のノートパソコン、管理されていないモバイルデバイス、従来のセキュリティ管理外のシステムから日常的に業務アプリケーションにアクセスしています。
そのため、IT部門はセキュリティアップデートが適用されていないデバイスやマルウェアに感染したデバイスから社内ネットワークへの接続が行われていないか、十分に把握できていない状況です。
侵害されたエンドポイントは、信頼された環境への侵入経路としても価値があります。特にインフォスティーラーマルウェアは、ユーザーデバイスから認証情報、ブラウザに保存されたパスワード、認証済みセッションクッキーを直接収集することで、アカウント乗っ取りの主要な要因となっています。
こうした課題に対応するのが、Specops Device Trustのような専門ソリューションです。Specops Device Trustはセッション全体を通じて継続的にスキャンを行い、セキュリティ機能の無効化やソフトウェアの陳腐化といったアクティブな脅威を検出します。
既存のIDプロバイダー、VPN、SSOツールとの統合により、セキュリティチームは現在の環境を置き換えることなく拡張できます。ユーザーに余分な手間をかけることなく、アクセス判断をより強固なものにできます。
アイデンティティベース攻撃の防御が難しい理由
アカウント乗っ取り攻撃が成功し続ける主な理由の一つは、多くのセキュリティ管理が「認証成功」のみを信頼の証明として扱っている点にあります。従来のアイデンティティ・アクセス管理ツールは、認証情報と認証フローを検証するよう設計されており、その背後にいる人物が実際に信頼できるかどうかを検証するものではありません。
この課題は、組織がハイブリッドワークモデル、クラウドファーストなインフラ、BYODポリシーを採用するにつれて、ますます深刻化しています。セキュリティチームは、強固なアクセス制御と使いやすさ・生産性の要件をいかに両立させるかという難題に直面しています。
これは難しいトレードオフです。セキュリティ基準を満たしていないデバイスからのアクセスをブロックすればユーザーの業務を妨げるリスクがあり、かといってアクセスを許可すればすでに侵害されているデバイスが存在する可能性を受け入れることになります。多くの組織はその中間点に落ち着いており、根本的な信頼の問題には完全には対処できていません。
CloroxやMarks & Spencerといった企業での大規模インシデントは、同じ教訓を改めて示しています。アイデンティティだけでは、もはや信頼の十分な指標にはならないのです。
現代のアカウント乗っ取り攻撃を防ぐには、ユーザー名とパスワードの検証だけでは不十分です。アクセスライフサイクル全体を通じて、デバイスの状態、セッションリスク、行動シグナルを可視化することが必要です。
こうした変化が、ログイン時だけでなくセッション全体を通じて信頼を評価する「継続的検証モデル」への関心を高めています。
Specopsでアカウント乗っ取りリスクに対処する
Specops Device Trustは、ゼロトラストのアイデンティティセキュリティが求める進化を実現します。デバイストラストを方程式に組み込むことで、セキュリティチームはリソースにアクセスしている人物をより明確に把握できます。
- デバイス認証:ユーザーを信頼済みデバイスに紐付けることで、承認されたデバイスのみが機密リソースにアクセスできるよう保証します。
- 継続的なデバイス検証:ログイン時だけでなくセッション全体を通じて、OSアップデート、ブラウザバージョン、セキュリティツールの導入状況などの観点からデバイスの状態を確認します。
- 柔軟なデバイスカバレッジ:企業デバイスと個人デバイスの両方にポリシーを適用でき、リスクとコンテキストに応じてアクセスを柔軟に調整できます。
- アクセス時のリメディエーション:ユーザーの業務を不必要に中断させることなく、問題が発生した時点で対処します。パスワードリセットの強制やアクセス完全ブロックの代わりに、ユーザーが問題を解決して安全に作業を継続できるよう誘導できます。堅牢なアイデンティティセキュリティとは、強力な認証とスムーズなユーザー体験を両立させるものです。
Specopsによってデバイストラストを組み込むことで、チームの速度を落とすことなくアカウント乗っ取りのリスクを低減できます。
