サイバー攻撃者による正当な企業アカウントとアイデンティティシステムの悪用がこれほど蔓延し、「大量流通型なりすまし危機」となっていると、SentinelOneのセキュリティアナリストが警告しています。
これが問題である理由は、正当な認証情報を使用する攻撃者は侵入者には見えず、通常の従業員に見えるためです。そのため、従来のサイバーセキュリティ対策の多くが異常を検知できず、組織はサイバー脅威に対して脆弱のままとなります。
多くの場合、悪意のある脅威は、機密企業データの盗難や、システムがランサムウェアで暗号化されるなど、何らかの事象が発生した後にのみ特定されます。
3月24日に発表されたSentinelOne『2026年度年次脅威レポート』では、過去1年間に脅威アクターがこれらのアイデンティティベースの攻撃に「産業規模で」シフトしていることが警告されています。
一般的に、アカウントはソーシャルエンジニアリングキャンペーンによって侵害され、ClickFixのような攻撃技術が悪用されます。これらは被害者が自分のアカウントが侵害されたことに完全に気付かないようにするために設計されています。
多要素認証(MFA)で保護されたアカウントであっても、攻撃者はこの追加のセキュリティ障壁を回避または破壊する方法を持っています。
MFAバイパスキットはサイバー犯罪者に容易に入手可能であり、一部の攻撃はブルートフォースを使用して、ターゲットに認証要求を大量に送りつけ、辟易した相手が「はい」と答えるまで続けます。
レポートは、攻撃者が高レベルのアカウントを侵害し、そのアカウントの管理者特権を使用して関心のある他のアカウントへのアクセスを提供するケースがあったと警告しています。
「高レベルのセキュリティ管理者アカウントを侵害した脅威アクターが管理ポータルにアクセスし、組織全体のグループのMFA要件を無効にした事例を我々は文書化しています」とSentinelOneは述べています。
「これらは極度のリスクを示しており、攻撃者が単一セッションにおける一時的な不正占拠者から、ネットワーク全体のアクセスルールを決定できるポリシーメーカーへと移行するためです。」
偽装従業員と新たなインサイダー脅威
攻撃者がリモートジョブに応募するために使用する偽のペルソナに基づくキャンペーンは、組織に対する増大する脅威となっています。採用に成功した場合、多くはAIディープフェイク技術を使用した面接の後に、攻撃者は社内から悪意のある行為を実行するために会社システムへの正当なアクセス権を手に入れることができます。
国家支援を受けた北朝鮮のハッカーがこのような攻撃を活用することで知られています。
SentinelOneは、西側のテック企業でのリモート雇用を確保しようとした北朝鮮の作戦に関連する1000件以上の求人応募と約360の偽ペルソナを追跡していると述べています。これらのキャンペーンの最終目標は、金銭、知的財産、またはデータの盗難であることがほとんどです。
「攻撃者が信頼できる状態を継承または作成するため、大量データエクスポートや不正な権限変更などの、ユーザーの通常の役割外のアクションをアカウントが実行開始するまで、侵入は事実上見えないままです」とレポートは警告しています。
アイデンティティベースの攻撃の増加に対抗するため、SentinelOneは、組織が一見正当なアカウントによって実行される悪意のある行動を識別および防止する能力を持つ必要があると推奨しています。
「これに対抗するには、単純なログイン検証から継続的な認証後の行動監視へと焦点をシフトさせる必要があります」と同社は述べています。
翻訳元: https://www.infosecurity-magazine.com/news/hackers-exploit-id-industrial-scale/
