Forresterの調査によると、パスワードリセットには約70ドルのコストがかかると推定されています。最も一般的なヘルプデスクリクエストの1つとして、多くの組織は負荷を軽減するためにセルフサービスパスワードリセット(SSPR)ツールを導入しています。しかし、これらのツールがあっても、ヘルプデスクチームはSSPR登録のサポートや特殊なケースの対応など、かなりの数のパスワードリセットを処理しています。
パスワードリセットは攻撃者の自然な標的です。なぜなら、攻撃者はエージェントをだましてパスワードをリセットさせることができれば、多要素認証(MFA)をバイパスしてアカウントに直接アクセスできることを知っているからです。そのため、パスワードリセットプロセスを安全にするには、どこで問題が発生する可能性があるかを理解することから始まります。
1つのリセットがいかにして完全な侵害につながるか
2025年4月の英国小売企業Marks & Spencer (M&S)への攻撃により、全国で業務が混乱し、オンライン販売が5日間停止され、1日平均£380万(510万ドル)の損失が発生しました。
ハッキンググループのScattered Spiderに関連した攻撃者は、M&Sの従業員になりすまし、サードパーティのサービスデスクに連絡することで初期アクセスを獲得したと考えられています。パスワードリセットが実行され、彼らに正当な認証情報が与えられたため、技術的な脆弱性を悪用する必要がありませんでした。
その後、攻撃者はActive Directoryを悪用してNTDS.ditファイル(すべてのドメインユーザーのパスワードハッシュを保存するデータベース)を抽出しました。Scattered Spiderは、オフラインでそれらのハッシュをクラックして追加の認証情報を回復することができました。
有効なアカウントと昇格された特権を持つ攻撃者は、標準的なツールと通常のログイン活動を使用して横方向に移動し、数週間にわたってアクセスを拡張しました。十分な特権を獲得すると、彼らは支払い、電子商取引、ロジスティクスをサポートするシステムを暗号化してランサムウェアを展開しました。M&Sはサービスをオフラインにすることを余儀なくされ、業務と顧客トランザクションが混乱しました。
サービスデスクの保護
M&S侵害のようなソーシャルエンジニアリング攻撃の課題は、疑わしく見えないことです。ヘルプデスクの観点からは、それは単に別のユーザーがパスワードリセットを要求しているだけです。
これがサービスデスクがそのような標的となる理由であり、基本的なチェックに依存するだけではリセットプロセスを保護するのに十分ではない理由です。電話の相手が誰であるかを確認する信頼できる方法がなければ、日常的なリクエストはアクセスポイントになりやすいのです。
Specops Secure Service Deskのようなソリューションにより、ヘルプデスクチームはリセットが実行される前にユーザーの身元を確認できます。見つかったり推測されたりする可能性のある情報に依存する代わりに、エージェントは信頼できるデバイスにワンタイムコードをトリガーするか、DuoやOktaなどの既存のIDプロバイダーを使用できます。
すべてのリクエストは同じステップに従い、検証はオプションではなく、呼び出しを処理する個人に依存しません。これは、攻撃者がM&S事件で使用されたのと同じ手法に依存できないことを意味します。彼らが説得力のある背景情報を持っていたとしても、ユーザーの登録されたデバイスまたはIDファクターへのアクセスが必要です。これはは電話を通じて偽造するのははるかに難しいのです。
パスワードリセットのベストプラクティス
Specops Secure Service Deskなどのソリューションをすでに導入している組織では、次のベストプラクティスがこれらの標準を確実に実装するのに役立ちます。
1. 可能な限りセルフサービスを推奨する
すべてのパスワードリセットがヘルプデスクを通過する必要はありません。実際、その依存関係を減らすことは、コストとリスクの両方を低下させる最も簡単な方法の1つです。
セルフサービスパスワードリセットソリューションをすでに導入している場合は、採用を推進することに焦点を当てるべきです。ユーザーが登録方法を知り、それがどのように機能するかを理解し、必要なときにそれを使用することに自信を持つようにしてください。これは、新規ユーザーの明確なオンボーディング手順で簡単なガイドを作成するのと同じくらい簡単です。
2. 安全で一時的な認証情報を使用する
検証されたリセットでも、引き渡しが弱い場合はリスクです。音声通話を通じて一時的なパスワードを配信したり、暗号化されていないメールを通じて送信したりすると、傍受者の機会が生じます。一時的な認証情報は強力で、ワンタイムで、暗号化されたチャネルを通じて配信する必要があります。リセットが数分以上アクティブのままの場合、それは継続的な脆弱性です。
3. パスワードリセット活動を監視する
リセットがどのように、いつ発生するかを追跡すると、セキュリティリスクとプロセスギャップの両方を特定できます。頻繁なリセット、繰り返されるヘルプデスクリクエスト、またはユーザーがセルフサービスでトラブルを経験しているなどのパターンに注意してください。これらは、ユーザーエクスペリエンスの低さから潜在的な誤用まで、すべてを指す可能性があります。
定期的な監視はまた、良い習慣を強化するのに役立ちます。ユーザーがセルフサービスを採用していない場合、または何度も問題に直面している場合は、より明確なガイダンスで介入する機会です。時間をかけて、この可視性はヘルプデスク負荷を減らし、リセットをより予測可能にして、重要なことに、より安全にします。
4. ヘルプデスクに装備と訓練を提供する
ヘルプデスクは、標準的なパスに従わないとき、またはユーザーが追加のサポートが必要なときに、いつでも介入します。それは、彼らが正しいツールと明確なガイダンスを持っている場合にのみ機能します。身元確認は判断に左右されず、一貫性が必要です。
エージェントは、リセット活動への可視性とすべてのときに従うべき異常のためのポリシーも必要です。正しいセットアップがあれば、ヘルプデスクは不正アクセスを防止するための重要な制御ポイントになります。
Specopsでパスワードリセットを保護する
攻撃者がアクセスを尋ねるだけで侵入できれば、侵入する必要はないので、パスワードリセットリクエスト中に身元を確認することは必須です。正しいツールと堅牢なプロセスがあれば、ヘルプデスクは強力な防御線になります。それがなければ、それは簡単なエントリーポイントです。
パスワードリセットを強化するためにお探しの方は、Specopsはあなたが正しいコントロールを実装するのに役立つことができます。
今日私たちに連絡するか、デモを予約して実装中のソリューションを確認してください。
翻訳元: https://www.bleepingcomputer.com/news/security/regular-password-resets-arent-as-safe-as-you-think/
