ブログ記事

クレデンシャルの危殆化とは?情報漏洩の兆候とベストプラクティス

目次

  1. 危殆化(きたいか)とは

  2. クレデンシャルはどのようにして流出するのか

  3. クレデンシャルの危殆化に関連する実際のインシデント

  4. クレデンシャルの危殆化を検知するツールと手法

  5. クレデンシャルの危殆化を防止するベスト プラクティス

  6. まとめ

危殆化(きたいか)とは

危殆化とは、ユーザーのログイン情報が、ネットワーク、アプリケーション、資産、またはアカウントに不正アクセスする目的で盗まれることを指します。サイバーセキュリティの分野で用いられる用語で、対象が危険に直面する状態を指し、「危」「殆」というどちらも「あやうい」の意味を持つ漢字で構成されています。

こうしたログイン情報が危殆化されると、機密情報の漏洩や損失、財務的損失、そして深刻な評判の低下につながる恐れがあります。

多くのデータ侵害の原因となっているのが、このクレデンシャルの危殆化です。クレデンシャルの危殆化を利用した攻撃は非常に広がっており、アイデンティティ(ID)がもっとも危険なアタック サーフェス(攻撃対象領域)の一つになっています。

多くのシステムやソフトウェア、アプリケーションにアクセスする際にはクレデンシャルが使用されるため、攻撃者はクレデンシャルの危殆化を優先的に狙います。サイバー犯罪者がクレデンシャルの危殆化を悪用してアクセス情報を獲得すると、個人や企業の機密情報の窃取、ランサムウェアやマルウェアのインストール、アカウントの乗っ取り、APT攻撃の実行といった、悪意のあるさまざまな活動が可能になります。

クレデンシャルの危殆化を疑う10個の兆候

セキュリティ対策を講じることが理想的な戦略とはいえ、組織は認証情報の危殆化という問題に直面しています。影響を最小限に抑えるには、早期の検知が極めて重要になります。

以下は、クレデンシャルが窃取または漏洩された可能性を示唆する、パスワードが漏洩した際によく見られる兆候です。

アカウントのロックアウトやパスワードのリセット

アカウントのロックアウトや予期せぬパスワードのリセットは、危殆化を進んでいる兆候です。攻撃者はブルート フォース アタックやパスワード スプレー攻撃を試み、ログイン試行に複数回失敗してロックアウトを引き起こすことがあります。

また、攻撃者はパスワードをリセットして独占的なアクセスを取得して、正規のユーザーを締め出すこともあります。そのためユーザーは、自分で操作していないパスワードリセットの通知に注意する必要があります。

複数のサービスでログイン試行回数が増加

複数のサービスでログイン試行回数が増加している状況は、クレデンシャルのスタッフィング攻撃や再利用攻撃の兆候を示している場合が多いです。攻撃者は1回の侵害から、例えばオンライン ショッピング サイトからクレデンシャルを盗み、それを悪用して銀行システムへのアクセスを試みるなどして、他のプラットフォームへのアクセスを試みます。

新しいデバイスや場所からのログイン

新しいデバイスや知らない場所からのログイン通知も、クレデンシャルが危殆化された可能性を示す兆候です。攻撃者は、仮想プライベート ネットワーク(VPN)や身に覚えのないデバイスを悪用して、自分の身元や場所を隠すことがよくあります。ユーザーがこうした警告を受け取った場合、その活動に心当たりがなければ、クレデンシャルの危殆化を示している可能性があります。

同じデバイスやIPから複数のアカウントにアクセスされている

同じデバイスやインターネット プロトコル(IP)アドレスから複数のアカウントにアクセスされている状況、特に、その行動が普段行われているユーザー行動と一致しない状況は、クレデンシャルの危殆化を示している可能性があります。こうした状況は単に、複数のユーザーがデバイスを共有しているだけかもしれませんが、攻撃者が異なるアカウントにログインする際、自分のデバイスを偽装または隠蔽しないことが多いです。

外部の侵害監視サービスからの通知

外部の侵害監視サービスからの通知も、クレデンシャルの危殆化を示している可能性が高い兆候です。こうした第三者のセキュリティ サービスでは、クレデンシャルがデータ侵害によって漏洩された際に警告を提供しています。

セキュリティ警告や不審な活動の報告

セキュリティ警告や不審な活動の報告では誤検知を引き起こすことがありますが、これらのシステムではAIや機械学習を活用することで、より精度の高い結果が得られるようになってきています。こうした通知は、ログイン試行の失敗、異常なログイン パターン、見に覚えのないデバイスやIPからのアクセス、アカウント設定の変更などを検知することから、クレデンシャルの危殆化を示す信頼性の高い指標とみなすことができます。

ユーザーのアカウントから送信されたスパムやフィッシング メール

スパムやフィッシング メールがユーザーのメール アカウントから送信された場合、そのユーザーのクレデンシャルが漏洩している可能性が高いです。攻撃者は、漏洩したアカウントを悪用して組織内の他の人物やそのユーザーの連絡先にメッセージを送り、「信頼できる」送信者からのメッセージに見せかけた悪意のあるリンクや添付ファイルを開かせるように仕向けます。

不審なVPNプロキシ

不審なVPNプロキシも、クレデンシャルが漏洩した可能性を示す兆候になる場合があります。攻撃者がIPアドレスや場所を隠蔽する際には、こうしたツールを悪用することが多いからです。知らないVPNサービスからの異常なログイン試行、特に身に覚えのない地域やデバイスからのログイン試行は、不正アクセスを示す兆候となります。

アカウント設定に対する不可解な変更

アカウント設定の変更、たとえば、ユーザーが変更していない復旧用メールアドレス、セキュリティ質問、またはパスワード リセットのオプションの変更などは、危殆化を強く示す兆候です。管理者レベルで行われた可能性もありますが、アカウントの乗っ取りを狙っている攻撃者の仕業である可能性が高いです。

エミュレーターや仮想マシンの使用

エミュレーターや仮想マシン(VM)の使用も、クレデンシャルの危殆化を示す兆候となることがあります。これは、攻撃者がこれらのツールを悪用してセキュリティ対策を回避したり、正規の環境を模倣したりできるからです。エミュレーターはデバイスの指紋認証や多要素認証(MFA)の制限を回避でき、仮想マシンは偵察やラテラル ムーブメントを実行したり、検知されずにクレデンシャルをテストしたりできます。

クレデンシャルはどのようにして流出するのか

攻撃者は、クレデンシャルの危殆化を行う際にさまざまな手法を使用します。こうした攻撃ベクトルが悪用される際によく使われているアプローチには、以下のようなものがあります。

  • ブルート フォース アタック:自動生成されたパスワードと試行錯誤でクレデンシャルの推測を試みる攻撃です。
  • クレデンシャル スタッフィング攻撃:複数のシステムで同じクレデンシャルが使われていることを悪用して、攻撃者が知り得たクレデンシャルを複数のシステムで試みる攻撃です。
  • ダークウェブ のマーケット:クラックされたパスワードや流出したパスワードを販売できる場所です。
  • 内部の脅威:認証済みの特権を悪用して不正にクレデンシャルを盗むことから生じます。
  • マルウェア(キーロガーやスパイウェアなど):組織に気付かれることなく、クレデンシャルを取得できる悪質なコード。
  • フィッシング キャンペーン:ユーザーを騙してクレデンシャルを共有させる手法です。

クレデンシャルの危殆化に関連する実際のインシデント

以下は、クレデンシャルの危殆化を悪用した攻撃の実例です。これらの実例はこの数十年の間に発生したものですが、危殆化を悪用した攻撃が発生する仕組みと、その攻撃による被害を確認できます。

発生年会社名攻撃の範囲
202323andMeクレデンシャルスタッフィングで個人情報流出
2022Uber契約社員クレデンシャル漏洩とMFA疲労攻撃で社内システム侵害
2021Colonial Pipeline再利用VPNクレデンシャル悪用でランサムウェア、操業停止
2020任天堂流出クレデンシャルでネットワークIDを侵害し請求情報窃取
2020Twitter(X)従業員クレデンシャル窃取による社内ツール侵害と著名人アカウント乗っ取り
2019Canva漏洩クレデンシャルで1億3900万ユーザーデータベースに不正アクセス
2018Marriott International従業員クレデンシャル悪用でStarwood予約システムから個人情報流出
2012LinkedIn650万パスワード流出、後のクレデンシャルスタッフィング被害
2011RSA SecurIDフィッシングで従業員クレデンシャル窃取しSecurIDトークン情報流出

以下、それぞれ解説します。

23andMe(2023年)

23andMeでは、数百万件の顧客情報がクレデンシャル スタッフィング攻撃で盗まれました。この攻撃では、名前、性別、プロフィール写真、誕生日、住所、遺伝子解析結果など、個人を特定できる情報(PII)が盗まれました。

23andMeでは、この漏洩で悪用されたクレデンシャルは、他のオンライン プラットフォームを狙った別の攻撃によって収集されたクレデンシャルであると考えていました。攻撃を可能にしたクレデンシャルは「再利用」されていました(つまり、同じクレデンシャルが複数のプラットフォームで使用されていました)。

Uber(2022年)

契約社員のクレデンシャルが漏洩したことで、攻撃者はSlack、Amazon Web Services(AWS)、Google Workspaceを含む社内システムにアクセスできました。このクレデンシャルを漏洩させる攻撃により、重要な社内システムの停止と、従業員情報や社内財務データといった機密情報の流出が発生しました。この攻撃では多要素認証(MFA)疲労攻撃が使われており、契約社員が誤って通知を承認し、Uberのシステムへのアクセスを許可するまで、彼らにMFAプッシュ通知を繰り返し送信しました。

Colonial Pipeline(2021年)

ランサムウェア集団によって基幹システムが暗号化されたことで、米国東海岸の多くの地域に燃料を供給するパイプラインの操業停止を余儀なくされました。同社は操業を再開させるために440万ドルの身代金を支払いました。過去の情報漏洩で窃取されたクレデンシャルを再利用したVPNを攻撃者が悪用したと考えられています。

任天堂(2020年)

任天堂に対するクレデンシャル攻撃により、30万件以上のユーザー アカウントから、クレジットカードの種類、有効期限、先頭6桁と末尾4桁を含む請求情報とアカウント情報が盗まれました。この攻撃は、過去に発生した他の情報漏洩から流出したクレデンシャルを悪用して任天堂のネットワークID(NNID)にアクセスしたクレデンシャル スタッフィング攻撃でした。この情報漏洩によって、未認証の購入が行われました。

Twitter(2020年)

攻撃者は、ソーシャルエンジニアリングの手法を用いて従業員のクレデンシャルを盗み、Twitter社内のツールにアクセスしました。攻撃者はこのアクセスを悪用して、イーロン・マスク氏やバラク・オバマ氏、ジェフ・ベゾス氏などをはじめとした、数多くの著名人のアカウントを乗っ取り、偽の暗号通貨プレゼントを投稿しました。クレデンシャルを漏洩させたこの攻撃によって広範囲にわたる混乱が生じ、Twitterの評判が傷つきました。

Canva情報漏洩(2019年)

攻撃者は、漏洩したクレデンシャルを悪用してCanvaのユーザー データベースにアクセスし、ユーザー1億3,900万人分のデータを外部に流出させました。このデータには、ユーザー名、メールアドレス、ハッシュ化されたパスワードが含まれていました。パスワードはハッシュ化されていたものの、この情報漏洩によってCanvaのユーザーは、フィッシング攻撃やクレデンシャル スタッフィング攻撃のリスクにさらされることになりました。Canvaでは、攻撃者が第三者の漏洩ダンプや他のサービスから漏洩して再利用されたパスワードからクレデンシャルを取得した可能性が高いと考えていました。

Marriott International(2018年)

漏洩したクレデンシャルがMarriottのStarwoodゲスト予約システムへのアクセスに悪用されました。このインシデントにより、お客様数百万人分の個人を特定できる情報(PII)と機密情報(名前、クレジットカード情報、パスポート番号など)が流出しました。

攻撃者は、フィッシング攻撃とクレデンシャル スタッフィング攻撃を組み合わせることで入手したMarriott従業員のクレデンシャルを悪用したのです。この情報漏洩により、Marriottは規制当局からの罰金や訴訟を受けることになったのです。

LinkedIn(2012年)

650万件分のLinkedInユーザーのパスワードがオンライン上に流出したことで、同社は影響を受けたユーザーに対してパスワードのリセットを促す措置を講じざるを得ない状況になりました。流出されたパスワードを他のプラットフォームでも再利用していた多くのユーザーは、その後発生したクレデンシャル スタッフィング攻撃によってさらなる被害を受けました。

RSA SecurID(2011年)

攻撃者はフィッシング メールを通じて従業員のクレデンシャルを漏洩させ、幅広く使用されている二要素認証システムであるRSAのSecurIDトークンにアクセスしました。RSAは、漏洩されたトークンの交換や、自社セキュリティ製品に対する信頼回復のために数百万ドルを費やしました。

クレデンシャルの危殆化を検知するツールと手法

クレデンシャルの危殆化を最も効果的に検知する方法は、多層的なアプローチを取る方法です。さまざまなツールを組み合わせて使用することで、組織はリスクを最小限に抑えることが可能になります。クレデンシャル漏洩防止のために組み合わせて使用できる多くのソリューションの中には、以下のようなものがあります。

侵害監視とダークウェブ スキャンツール

これらのツールは、ダークウェブのフォーラム、データ ダンプ、違法なマーケットプレイスなどを監視し、クレデンシャルの流出を追跡します。組織はこれらのツールから取得できる通知を活用して、漏洩したクレデンシャルの修正を行うことができます。

EDR(エンドポイントの検知と対応)ツール

EDRツールを使用すると、エンドポイントの継続監視が可能になり、異常なプロセスとクレデンシャルの不正使用を検知できるようになります。EDRツールは、スパイウェアやキーロガーなどのマルウェアを検知することで、クレデンシャルの盗難を試みる攻撃を特定することができます。

アイデンティティ アクセス管理(IAM)ツール

IAMツールを使用すると、ログイン行動の監視、異常の検知、アクセス制御ポリシーの適用が可能になります。また、IAMツールの中には、ログインで想定されるリスクに基づいて認証リスクを動的に調整できるツールもあります。

多要素認証(MFA)回避検知ツール

このツールは、MFAプロトコルを適用してシステムの回避やユーザーの疲労を試みる攻撃を特定します。MFA回避検知ツールの機能には、繰り返し行われるMFAリクエストをブロックする機能や、窃取または再利用されたセッション トークンを監視する機能などがあります。

ネットワーク トラフィックの監視と異常検知ツール

クレデンシャルを狙った攻撃は、ネットワーク監視ツールと異常検知ツールで検知できます。これらのツールは、ネットワークを継続的に解析してログイン トラフィックを追跡することで、ブルート フォース アタックやラテラル ムーブメントなど、クレデンシャルを狙った攻撃を検知します。

特権アクセス管理(PAM)ツール

特権アクセス管理ツールは、特権アカウントへのアクセスを制御および監視して、クレデンシャルの不正使用を防止します。これらのツールは、特権ユーザーの活動を追跡して不正使用を検知することで、ジャストインタイムプロビジョニングを可能にし、過剰な特権付与を防ぎます。

Dimensional Researchによる調査レポートでは、ITセキュリティ・監査・コンプライアンス部門のリーダー300名以上を対象に実施したグローバル調査の結果をもとに、特権アクセス管理に関する現状と課題、そして解決策を詳しく分析しています。
特権アクセス管理におけるセキュリティの向上:自動化と監査対応の必要性

セキュリティ情報イベント管理(SIEM)ツール

SIEMツールは、アプリケーション、ファイアウォール、エンドポイントなどの複数のソールからデータを集約してログに記録し、クレデンシャルの不正使用や不審な活動を検知します。クレデンシャル漏洩の兆候が確認された場合、これらのツールはリアルタイムで警告を出し、迅速な封じ込めと修正を可能にします。

脅威インテリジェンスプラットフォーム

脅威インテリジェンスツールは、既知の脅威に関する情報(漏洩したクレデンシャルなど)を収集および共有します。これらのツールは、脅威インテリジェンスの情報をセキュリティのオペレーションに統合連携させることで、クレデンシャルの危殆化を検知できます。

ユーザーおよびエンティティ行動分析(UEBA)ツール

UEBAツールは、ユーザーやエンティティの行動を分析して、クレデンシャル漏洩の可能性を示す不審な活動を検知します。これらのツールは、ラテラル ムーブメント、ファイル アクセス権限の異常パターン、予期せぬデータ流出の試みなどの活動を特定できます。

組織のセキュリティ侵害の主な原因のひとつである「クレデンシャルの危殆化」。多くは、放置されたアカウントや不適切なアクセス権限など、基本的なIAM(アイデンティティ・アクセス管理)の不備=“IAMハイジーン”の欠如に起因しています。
アイデンティティ ファーストの セキュリティ強化は、「IAMの健全性(ハイジーン)」から

クレデンシャルの危殆化を防止するベスト プラクティス

上記で紹介したツールを活用するだけでなく、以下にあるオペレーション上のベスト プラクティスを実践することで、危殆化リスクを軽減させることも可能になります。以下は、クレデンシャル漏洩攻撃に対する対策として実績のあるベスト プラクティスです。

  • 定期的なサイバー セキュリティキュリティ監査を実施する
  • 過去に漏洩したパスワードの使用を禁止する
  • セキュリティリスクとその回避方法に関する従業員向けトレーニングを実施する
  • 強力なパスワードの使用を義務付ける
  • ソフトウェアおよびシステムの更新やセキュリティ パッチを迅速にインストールする
  • 多要素認証(MFA)の使用を義務付ける
  • IPアドレスのブロックリストを使用する

また、危殆化が検知された場合における迅速な対応は非常に重要です。脅威を封じ込め、潜在的な被害を低減させるために講じる緊急措置の一部を以下で紹介します。

  • 漏洩したアカウントを凍結する
  • すべてのセッションを無効にし、ユーザーに再認証を要求する
  • 漏洩したパスワードを直ちに変更する
  • パスワード復旧用のメールアドレスやセキュリティ質問が変更されていないことを確認する
  • 不審なメール転送ルールを無効にする
  • 漏洩したアカウントに対するパスワード強制リセットを直ちに行う
  • 不審なログインやアクセスの試みがないかを確認する
  • 正規のアカウント所有者に通知する
  • インシデントをIT部門またはセキュリティ チームに報告する
  • コンプライアンス要件に従い、関連する規制当局にインシデントを報告する
  • 漏洩によって重大な金銭的損失やデータ盗難が生じている場合は、警察当局に通知する
  • 従業員、顧客、パートナーのデータが危険にさらされている場合は、影響を受けている対象者に通知する
  • 多要素認証(MFA)を有効化または強化する
  • 強力なパスワード ポリシーを適用する
  • 影響を受けたデバイスに対して、マルウェアのフルスキャンを実行する

まとめ

クレデンシャル危殆化は、今後もサイバー脅威の対象であり続けると予想されます。サイバー犯罪者にとって、クレデンシャルを確実に入手できれば大きなメリットとなることから、この攻撃ベクトルが優先される要因となっています。

しかし、組織はこれらの脅威を効果的に防ぐことができます。SailPointが提供する豊富なセキュリティ ソリューションを活用し、ベスト プラクティスに従うことで、クレデンシャルの危殆化リスクを軽減することが可能になります。

公開日: 2025年6月2日読了目安時間: 7 分
セキュリティ

お問い合わせ

SailPoint Identity Security Cloudの
詳細をご希望ですか?

DX時代の先進的な企業が、アプリケーションやデータの安全な利用を、スピードと拡張性を持って管理・保護するという課題に、SailPointのソリューションがどのように対応できるのかご紹介します。

お問い合わせ