デジタル保管庫およびパスワードマネージャーである1Passwordは、フィッシングURLに対する組み込み保護を追加し、ユーザーが悪意のあるページを識別し、脅威アクターにアカウント認証情報を共有してしまうのを防げるようにしました。
サブスクリプション型のパスワード管理サービスは、企業環境で多くの著名な組織に広く利用されています。最近では、Windowsが1Passwordを介したネイティブのパスキー管理に対応しました。
この種のツールと同様に、1Passwordは、保管庫に保存されているものと一致しないURLのウェブサイトを訪問した場合、ユーザーのログインデータを自動入力しません。
これはフィッシングの試みに対する本質的な保護を提供しますが、それでも一部のユーザーは何かがおかしいことに気づけず、危険なページにアカウント認証情報を入力しようとしてしまう可能性があります。
1Passwordが認めているように、この保護レイヤーだけに依存するのはセキュリティの観点から不十分です。というのも、脅威アクターがスペルミスや見た目が似たドメイン名を登録する「タイポスクワッティング」されたドメインに、ユーザーが引っかかる可能性があるためです。
ユーザーは正しいサイトに到達したと思い込み、パスワードマネージャーが不具合を起こしたのだとか、保管庫がまだロックされているのだと考えて、認証情報を手動で入力してしまうことがあります。
このセキュリティ上のギャップに対処するため、1Passwordユーザーは、潜在的なフィッシングリスクを知らせるポップアップという形で、追加の保護レイヤーの恩恵を受けられるようになります。
「URLに余分な『o』が入っていることをユーザーが見落とすのは簡単です。特に、ページの他の部分がもっともらしく見える場合はなおさらです」と、ベンダーは説明しています。これはFacebookのドメインをタイポスクワッティングした例の文脈で述べられています。
出典: 1Password
ベンダーによれば、「このポップアップは、[ユーザー]に立ち止まって、先に進む前により注意深く確認するよう促します」。
この新機能は「個人」および「ファミリープラン」のユーザーには自動的に有効化され、管理者は1Password管理コンソールの認証ポリシーを通じて、会社の従業員向けに手動で有効化できます。
発表の中で同社は、攻撃者がより説得力のある詐欺をより大量に実行するのを助けるAIツールの普及により、フィッシングの脅威が増大していることを強調しています。
米国で1Passwordが実施した2,000人規模の調査では、61%がフィッシングに成功してしまった経験があり、75%がリンクをクリックする前にURLを確認しないことが示されました。
単一のアカウント侵害だけで外部の攻撃者がネットワークやシステム内を横方向に移動できてしまう企業環境では、従業員の3分の1が業務アカウントでパスワードを使い回しており、そのうち約半数がフィッシング攻撃の被害に遭ったことがあると1Passwordは明らかにしています。
調査参加者のほぼ半数は、フィッシング対策は自分ではなくIT部門の責任だと回答し、72%は不審なリンクをクリックしたことがあると認めました。
最後に、回答者の50%以上は、不審なメッセージは報告するよりも削除してしまう方が便利だと述べました。
