Webz.ioとCEOのRan Gevaによる執筆 & Lunarcyber.com
2026年、盗まれた認証情報は最優先のセキュリティ課題です。同時にそれはパラドックスでもあります。重大なリスクと考えられているにもかかわらず、企業はこの問題を軽減するためにチェックボックス的なソリューションと汎用ツールを選択しているからです。
Lunarが委託した最近の調査によると、Webz.ioが支援するダークウェブ監視プラットフォームによれば、85%の組織が盗まれた認証情報を高いまたは非常に高いリスクとして評価しており、62%がトップ3のセキュリティ優先事項に挙げています。
同時に、Lunarのコミュニティプラットフォームを使用している多くの組織と話した中で、「MFAは全系統に導入しているから対策済み」「EDRとゼロトラストスタックで従業員を保護している」といった話を何度も聞きました。
彼らは気づいていませんが、従業員が管理されていないホームデバイスから重要なSaaSサービスにログインする場合、EDRとゼロトラスト対策は全く保護を提供しません。
盗まれた認証情報を時間内に検出できなかった場合の結果は壊滅的です。IBMのデータ侵害コスト報告書によると、認証情報の侵害を伴うブリーチは410~488百万ドルのコストがかかります。
2025年だけで41億7,000万件のセキュリティが侵害された認証情報が観察されたことを考えると、これらの攻撃の潜在的な世界的コストは莫大です。これはすべて、シンプルなブリーチ監視がもはや不十分であることを意味しています。
情報盗用マルウェアの進化する脅威に対処するための計画的な防御戦略を作成するために、エンタープライズレベルでの考え方の転換が必要です。
チェックボックス監視と汎用ソリューション使用の危険性
組織と話すときは、Lunarを導入する前にどのように情報盗用マルウェアの脅威を軽減したかをいつも聞きます。得られる答えは同じパターンに従います。露出した認証情報は深刻な問題であり、脅威を軽減するためのソリューションにリソースを割いた、というものです。
彼らが気づかなかったのは、それらのソリューションが不十分であり、主に以下で構成されていたということです。
-
情報盗用マルウェアではなくデータブリーチに焦点を当てている
-
ULPとフォレンジックではない情報盗用マルウェアデータ
-
高レイテンシと陳腐化したデータソース
-
自動化、統合、または調査機能がない
私たちの調査は、その問題がいかに深刻であるかを示しています。調査対象のエンタープライズの32%のみが専用の認証情報監視ソリューションを使用しており、17%は全くツールを持っていません。
一方、60%以上の組織は月単位で、まれにしか、またはまったく露出した認証情報をチェックしていません。
私たちはこれらのソリューションがどのように機能しているかを直接目撃しています。新しい組織がLunarをオンボーディングする場合、以前のツールはブリーチが発生したことを通知したが、それがどのように発生したかを適切に調査するためのツールをまったく提供されていなかったことに気づいて衝撃を受けることがよくあります。
侵害されたアカウント、感染したデバイス、影響を受ける可能性があるSaaSアプリ、そして盗まれたセッションクッキーを含むフォレンジック詳細は、単に存在していませんでした。
チェックボックスアプローチは何もセキュリティがないより良いですが、企業が情報盗用マルウェアの脅威を成功裏に軽減するために必要なフォレンジック詳細をめったに提供しません。では、運用をスケーリングするのは何が彼らを妨げているのでしょうか?
情報盗用マルウェアの脅威は企業が考えているより遥かに大きい
ここで情報盗用マルウェアのパラドックスが私たちの会話に入ります。露出した認証情報の危険性についてみんなが知っていますが、彼らは予算を優先化することに失敗するか、どのような種類のソリューションが問題を効果的に軽減するかを知りません。
さらに、認証情報盗用がどれほど蔓延しているか、彼らがターゲットにしている環境、そしてアクセスできる情報を常に理解しているわけではありません。
2025年に収集した41億7,000万件の侵害された認証情報レコードから、私たちは情報盗用マルウェアログ、盗用者派生コンボリスト、マーケットプレイス、Telegramチャネルを分析しました。LummaC2、Rhadamanthys、Vidar、Acreedなどの情報盗用マルウェアは、自分たちを成熟していると考えていた環境でさえ、エンタープライズ監視をすり抜けて一貫してすり抜けました。
そして多くの新しいLunarユーザーはmacOSがWindowsより安全だと思っていましたが、Atomic macOS Stealer(AMOS)、Odyssey、MacSync、MioLab、Atlasのようなファミリーについて聞いて衝撃を受けました。
情報盗用マルウェアが流出するデータに関するも認識の問題があり、これは単純なユーザー名/パスワードペアをはるかに超えています。最新の情報盗用マルウェアが現在、サブスクリプション層、ダッシュボード、およびクッキー、セッショントークン、SaaSアクセスを大規模に収集するようにチューニングされたドキュメントを備えた本格的な製品として販売されているため、組織は今、ネットワークを保護するために急いで追いつく必要があります。
脅威アクターにとって、セッションクッキーはアクセスを提供するだけではありません。それらは事実上フロントドアを開け、ログインページを完全にスキップさせます。パスワードプロンプト、MFAチャレンジ、そして多くの場合、標準認証ログで明らかな痕跡がありません。
これは多くの組織が今ちょうど内在化しているパズルのピースです。
典型的な情報盗用マルウェア攻撃はどのようなものですか?
情報盗用マルウェア攻撃の様子と、チェックボックスセキュリティが無効である理由について話すとき、私たちはそれを以下のプロセスに分解することがよくあります。
-
ターゲットが感染:被害者のデバイスは、ゼロデイエクスプロイト、ClickFixキャンペーン、不正なブラウザ拡張機能、未検証またはパイレーツソフトウェア、ゲームモッド、または悪意のあるオープンソースプロジェクトなどのベクトルを通じて配信される情報盗用マルウェアによって危険にさらされます。
-
認証情報が流出:情報盗用マルウェアはブラウザからログインとクッキーを抽出します。これには第三者ポータルのクッキーも含まれ、マルウェア操作者に送り返されます。
-
認証情報がバンドルされ販売:盗まれた認証情報はログにバンドルされ、地下市場とプライベートチャネルで販売されます。
-
攻撃者がエンタープライズネットワークにアクセス:ログを購入した攻撃者は、有効なセッショントークンを使用してターゲットネットワーク(第三者ポータルを含む)にアクセスします。
このイベントの全チェーンは数時間で完了できます。一方、私たちが話す多くの組織は月に1回の認証情報チェックを実行するか、古いデータに依存しています。
レガシー監視ツールに何かが表示される時点で、攻撃者は必要なデータを探索し流出するのに十分な時間を持っていました。
成熟したブリーチ監視プログラムの開発
成熟したブリーチ監視プログラムに切り替える組織には、盗用者ログ、Telegramグループ、マーケットプレイスなどのチャネルから情報を収集するために必要なツールがあります。アドホックなチェックに依存する代わりに、3つの実用的な機能に焦点を当てます。
-
主要ソース(ブリーチ、盗用者ログ、コンボリスト、マーケットプレイス、関連チャネル)の継続的な監視と正規化により、セキュリティチームはブリーチ露出の明確で重複排除されたビューを持っています。
-
誤検知とノイズを削減するターゲット自動化により、アナリストが実際に重要なアイデンティティとセッションに時間を費やすようにします。
-
既存のセキュリティおよびアイデンティティスタック(SIEM、SOAR、IDP)への統合により、露出が確認されるとすぐにエンドツーエンドでプレイブックを実行し、認証情報をリセットし、セッションを無効にし、アカウントをブロックします。
Lunarユーザーの中には、これが正しく行われたら明確な考え方の転換を見ています。彼らは、無関係のツールを使用してブリーチ監視を管理する代わりに、情報盗用マルウェアの脅威を独自のドメインとして扱い、所有権、メトリクス、プレイブックが含まれています。
これはすべてLunarのコア使命に戻ります。それは、予算に関係なく、危険にさらされた認証情報、情報盗用マルウェア、セッションクッキーのエンタープライズグレードカバレッジを提供する無料のブリーチ監視ソリューションを任意の組織に提供することです。
私たちの哲学は、組織が真の可視性と復元力を取り戻すことを可能にする、濃縮された危険にさらされた認証情報インテリジェンスをオープンに提供することです。
2026年のブリーチ監視の再定義
経験豊富で知識のあるセキュリティチームでさえ、脅威を知っているが、月次チェック、MFA、EDRで十分だと動作するブリーチ監視のパラドックスに陥る可能性があります。しかし2026年では、情報盗用マルウェアはチェックボックス監視ソリューションが設計されたことのない速度とスケールで移動しています。
ワンオフ製品ではなく、必須プログラムとしてブリーチ監視を扱うことで、どこに表示されても危険にさらされた認証情報を表示するために必要な可視性、それらの露出が何を意味するかを理解するコンテキスト、および攻撃が検出されたときに自動的に反応するプレイブックが企業に提供されます。
Lunarが組織の危険にさらされた認証情報を見つけるのを支援する方法を確認するには、無料アクセスにサインアップしてください。
翻訳元: https://www.bleepingcomputer.com/news/security/why-simple-breach-monitoring-is-no-longer-enough/
