デジタル金庫およびパスワードマネージャーの1Passwordは、フィッシングURLに対する組み込み保護を追加し、ユーザーが悪意のあるページを識別して、脅威アクターにアカウント認証情報を共有してしまうのを防げるようにしました。
サブスクリプション型のパスワード管理サービスは、多くの著名な組織により、企業環境で広く利用されています。最近では、Windowsが1Passwordを介したネイティブのパスキー管理に対応しました。
この種のツールと同様に、1Passwordは、保管庫に保存されているものと一致しないURLのウェブサイトを訪問した場合、ユーザーのログインデータを自動入力しません。
これはフィッシングの試みに対する内在的な保護となる一方で、何かがおかしいことに気づけず、危険なページでアカウント認証情報を入力しようとしてしまうユーザーもいるかもしれません。
1Passwordが認めているように、この保護レイヤーだけに依存するのはセキュリティの観点から不十分です。というのも、脅威アクターがスペルミスや見た目が似たドメイン名を登録する「タイポスクワッティング」ドメインに、ユーザーが引っかかる可能性があるためです。
ユーザーは正しいサイトにアクセスしたと思い込んだまま、パスワードマネージャーが不具合を起こした、あるいは保管庫がまだロックされているのだと考え、認証情報を手動で入力してしまうことがあります。
このセキュリティ上のギャップに対処するため、1Passwordユーザーは、潜在的なフィッシングリスクを知らせるポップアップという形で、追加の保護レイヤーの恩恵を受けられるようになります。
「URLに余分な『o』が1文字入っていることは、特にページの他の部分がもっともらしく見える場合、ユーザーが見落としやすいのです」と、Facebookドメインのタイポスクワッティング例を挙げて同社は説明しています。
出典: 1Password
同社は「このポップアップは、[ユーザー]に立ち止まって、先に進む前にもう少し注意深く確認するよう促します」と述べています。
この新機能は「個人」および「ファミリープラン」ユーザーには自動的に有効化され、管理者は1Password管理コンソールの認証ポリシーから、企業の従業員向けに手動で有効化できます。
発表の中で同社は、攻撃者がAIツールを利用して、より説得力のある詐欺をより大量に実行できるようになったことで、フィッシングの脅威が増大していると強調しています。
米国で1Passwordが実施した2,000人規模の調査では、61%がフィッシングに成功された経験があり、75%がリンクをクリックする前にURLを確認しないことが示されました。
単一アカウントの侵害だけで外部の攻撃者がネットワークやシステム内を横方向に移動できてしまう企業環境では、従業員の3分の1が業務アカウントでパスワードを使い回しており、そのうち約半数がフィッシング攻撃の被害に遭っていることが1Passwordの調査で分かりました。
調査参加者のほぼ半数は、フィッシング対策は自分ではなくIT部門の責任だと回答し、72%は不審なリンクをクリックしたことがあると認めました。
最後に、回答者の50%以上が、不審なメッセージは報告するより削除したほうが便利だと答えました。
