企業を危機に陥れるアカウント情報漏えいの実態と対策

近年、サイバーセキュリティ事故のニュースは後を絶たず、多くの企業が対策を講じているにも関わらず情報漏えいの被害に遭っています。いかなる種類の情報漏えいも、それ自体が企業の信頼低下やブランドイメージの毀損につながりますが、中でも「メールアドレス」や「ログインIDとパスワード」のようなアカウント情報の漏えいは、不正アクセスやランサムウェア攻撃など、さらなる重大なインシデントの引き金となるケースが少なくありません。

従業員の認証情報が流出すると、攻撃者は正規のアカウントを利用して内部ネットワークに侵入し、企業の重要情報にアクセスするリスクが高まります。従来のセキュリティ対策だけでは防ぎきれないこの問題に対し、企業はどのようなアプローチを取るべきなのでしょうか。

今回は、アカウント情報の漏えい状況を可視化し、セキュリティ対策の第一歩となる「漏えいアカウント診断」について、株式会社ソリトンシステムズの松本様にお話を伺いました。

ー 近年、企業を取り巻くサイバー脅威はますます多様化しています。その中でも、特に深刻な問題のひとつが「アカウント情報の漏えい」です。認証情報の窃取や悪用は、不正アクセスをはじめとするインシデントの主要な要因の一つとされています。実際、サイバーインシデント全体の中で、アカウント情報の漏えいがどれほどの割合を占めているのでしょうか？

IPA（情報処理推進機構）の「中小企業等実態調査 2024年版」によれば、2023年度にサイバーインシデントの被害を受けた企業のうち「不正アクセス被害を受けた」と回答した企業（n=419）について、サイバー攻撃の手口を聞いたところ、「脆弱性を突かれた」との回答が48.0%で最も多く、次いで、「ID・パスワードをだまし取られた」との回答が36.8%でした。海外のセキュリティベンダーの調査でも、あらゆるサイバー攻撃のおよそ40％において窃取された認証情報が使われているとの報告もあり、アカウント（認証）情報の漏えいが不正アクセスの原因の１つとなっていることがわかります。

 ーこれまで様々な企業様の事例を見てきた中で、意外なところから情報が漏れていたというケースはありましたか？

ここにきて目立つのは、ブラウザに保存された情報を窃取するマルウェア「インフォスティーラー」による認証情報の漏えいです。

例えば Google のブラウザ「 Chrome 」には、よく閲覧するサイトのログインIDやパスワードを保存する便利な機能があります。 Google アカウントで Chrome を使用すると、保存されたID／パスワードを複数のデバイスで同期することができます。ここで、もし Google アカウントを仕事用とプライベート用で使い分けていない場合、会社PCの Chrome で保存したID／パスワードが自宅PCの Chrome と同期してしまいます。このような状況で、セキュリティ対策が脆弱な自宅PCがインフォスティーラーに感染すると、会社PCと同期したID／パスワードが容易に漏えいしてしまうのです。

社内PCは万全な対策をとっていても、企業の管理者が自宅PCまで守ることは困難です。情報漏えいは、このような意外な場所からも発生する可能性があるのです。

 ー 最近では、個人情報が秘密裏に取り扱われている場所として「ダークウェブ」という言葉をよく耳にします。実際に企業のデータがダークウェブで売買されていることはあるのでしょうか？

ダークウェブでは「A社のクレデンシャル情報（認証に用いられる識別情報）」といった様々な情報が売り出されており、一部にはサンプルも公開されています。また近年では、ダークウェブだけでなく、高い匿名性を持つメッセージアプリ「Telegram」でも、漏えいしたアカウントが公開されたり販売されたりするケースが増えています。弊社ではコンプライアンスの観点から有償で情報を入手することはしません。ただし、ダークウェブで扱われる情報も、早ければ数日以内にサーフェスウェブ上で発見されることがあります。

弊社では、OSINT（オープンソースインテリジェンス：公開されている情報を収集・分析すること）の手法を用いて、サーフェスウェブ上の情報を探索・解析しています。

 ー 漏えいしていることが判明した場合、再発防止のためにはどのような戦略が必要でしょうか？

アカウント情報の漏えいが判明した場合、パスワードの漏えいを伴うか否かに関わらず、当該ユーザーのパスワードのリセットを推奨します。その上で、漏えいアカウントによるクラウドサービスやVPNへの不正アクセス対策として多要素認証が有効となります。

ー 情報漏えい自体を深刻に受け止めず、危機感を持たれていない企業もあるかもしれません。何か漏えいが起きて、大きな問題になってしまった具体的な事例はありますか？

昨年発生し、連日報道された、大手出版・マルチメディア企業様の報告によると、フィッシングなどにより従業員のアカウント情報が窃取されたことが根本原因とされています。窃取されたアカウント情報（正規のアカウント情報）によって、社内ネットワークに侵入され、ランサムウェアが実行され、26万件におよぶ個人情報を含む大量の情報が流出してしまいました。被害の状況やその後の経緯は報道でご存知の事と思います。

一度、正規のアカウント情報が漏えいし不正アクセスに利用されれば、その検知は難しくなってしまいます。

ー アカウントの漏えいはその後に生じるかもしれないインシデントの重大なきっかけとなりうることがよく分かりました。最後に、ソリトンシステムズ様が保有している漏えいアカウント診断の特徴を簡単に教えていただけますか？

ソリトン Cyber Space Analytics は、8年ほど前からOSINT手法をつかってサーフェスウェブ上で入手できる漏えいアカウント情報を解析しDB化してきました。その数は既に250億件を超えており、国内はもとより世界的に見ても大規模なDBとなっています。先に紹介した「インフォスティーラー」によると考えられる漏えいアカウントも20億件以上、少し前に、各セキュリティ団体から警鐘が鳴らされたVPN機器の脆弱性により発生したインシデントのアカウント情報なども含まれており、なかでも国内のインシデントを多く解析してDB化している点が特徴です。

弊社では3,000ドメイン近くの企業ドメインの漏えいアカウント調査を行ってきましたが、そのほとんどで情報の漏えいが確認されています。

ご自身の企業のアカウント情報が漏えいしていないか？セキュリティ対策の第一歩として確認することをお勧めします。

ー 本日は貴重なお話をお聞かせいただきまして、誠にありがとうございました。