コンサルティングSaaSの販売と運用会社概要ブログ採用お問い合わせ
IT Admin Blog>NVIDIAの情報漏えいが物語る、従業員のパスワード保護の重要性
NVIDIAの情報漏えいが物語る、従業員のパスワード保護の重要性
#Keeper#翻訳記事
//images.ctfassets.net/soy4k0zl1vej/5XIbNZJ8B6xC4Lo534kt0P/172d9f9dfc8ef79dbdab6988d0a6f171/public
inagawa
2022/04/18
NVIDIAで発生した情報漏えいは、数万人の従業員のログイン情報がオンライン上に流出する結果となりました。また、コード署名証明書や同社のディープラーニング・スーパーサンプリング(DLSS)技術のソースコードと思われるものなど、大量のビジネス上の重要情報が盗み取られました。

社員の認証情報の不正取得で主要な手口の紹介

米国の大手通信事業者Verizonの調査によれば、情報流出の80%以上がIDやパスワードなどのログイン情報の漏えいに関係があると推定しています。
そもそも、攻撃者はどのようにしてこれらの認証情報を入手するのでしょうか。ここでは、主要な手口をいくつか紹介いたします。
Keeper の問い合わせはこちら

ブルートフォース・アタック(総当たり攻撃)

「ブルートフォース」(総当たり攻撃)とは、パスワードに関する自動化攻撃の総称です。ブルートフォース・アタックでは、攻撃者は過去に漏えいしたパスワードのリストをDarkNet(ダークネット)で購入するか、あるいはqwertyやpassword123などの一般的なパスワードのリストを無料でダウンロードします。そして、ボットを使って、できるだけ多くのサイトでこれらのパスワードを試してみるのです。ブルートフォース・アタックは、多くの人が複数のアカウントでパスワードを使い回していることを利用しています。

ターゲット・アタック/サージカル・アタック

ターゲット・アタック及びサージカル・アタックは、攻撃者が組織内の特定の個人をターゲットに選び、SNSを検索して、誕生日、お気に入りの旅行先、趣味、子供や配偶者、ペットの名前など、パスワードの要素となりうる情報を収集します。そして、これらの情報をもとに、各被害者のパスワードの解読を試みます。この種の攻撃は、多くの人が子供の誕生日や配偶者の名前など、ソーシャルメディア上で容易に入手できる個人情報を含むパスワードを使用していることを利用しています。

フィッシング / ソーシャル・エンジニアリング

フィッシングとは、攻撃者が被害者から直接情報を盗む方法です。多くの場合、悪質なリンクを含む電子メールやテキストメッセージを送り、被害者をフィッシングサイトに誘導してログイン情報を入力させたり、キーストロークを記録するマルウェアを、被害者に気づかれないように、被害者のデバイスにダウンロードさせます。

SIMスワップ攻撃

SIMスワップ攻撃は、SIMハイジャック、SIMジャッキング、SIMスプリッティングとも呼ばれ、回線契約者が保有するSIMカードを不正に再発行して攻撃者が盗み取るアカウント・テイクオーバー(ATO)攻撃の一種です。
訳者追記) SIMスワップ攻撃に関する解説記事を公開しております。こちらの記事をご覧ください。

パスワードに関連するサイバー攻撃を防ぐために

NVIDIAの不正アクセスは、たった1つのパスワードが盗まれただけで、何万ドル、何百万ドルものサイバーセキュリティ防御を崩壊させることができるということを物語っています。パスワードに関連するサイバー攻撃は、あらゆる規模の企業に対して今後も起こり続けるでしょう。なぜなら、サイバー犯罪者は、多くの組織がパスワードの管理体制が不十分であることを知っているからです。

組織におけるデータ漏えいを防ぐための防衛策

  • 従業員に(脆弱な)パスワードの作成を許さないようにしましょう。すべてのオンラインアカウントとアプリケーションに、強力でユニークなパスワードを使用することを義務づましょう。
  • 多要素認証(2FA)がサポートされている場合は、それを有効にすることを従業員に義務付けましょう。こうすれば、たとえサイバー犯罪者が従業員のパスワードを盗んだとしても、2つ目の認証要素がなければ意味がありません。
  • とはいえ、SIMスワッピング攻撃を防ぐためにも、電話やSMSベースの多要素認証(2FA)を使用しないようにしましょう。ワンタイムパスワード生成器 (アプリやトークン)、本人認証用のセキュリティデバイス (FIDO2キーやスマートカード)、プッシュ通知による本人確認(訳者追加)など、安全な認証手段を利用しましょう。
  • Keeperのような法人向けのパスワードセキュリティプラットフォームを導入することで、これらのポリシーを実施し、従業員が簡単に従うことができるようにします。
  • ゼロトラスト・アーキテクチャに移行しましょう。ロールベースのアクセス制御(RBAC)を採用し、真に必要な管理者権限だけをユーザーに割り当てるようにします
Keeperのゼロ知識技術を用いたパスワード管理やセキュリティプラットフォームは、情シス担当者が従業員のパスワードの使用状況についてちゃんと可視化し、またパスワードの使用を監視します。加えて、パスワードの複雑性に関する要件、多要素認証(2FA)、RBAC、その他のセキュリティポリシーを含むパスワードセキュリティのポリシーを組織全体に適用することを可能にします。
原文はこちら
NVIDIA Breach Illustrates the Importance of Securing Employee Passwords
NVIDIA Breach Highlights Employee Password Security. Keeper Security's Blog Expl...
favicon
www.keepersecurity.com
og:image
<<< Next Post
やってみよう!Keeperのデータ整理
Previous Post >>>
SIMスワップ攻撃を阻止する: 回線契約者と携帯電話会社のためのヒント
Keeper の関連記事
Related Posts
2024/07/24
#Keeper#ZUNDA
Keeper Password Manager を ShowNet に提供しました
今年も、Keeper Password Manager を ShowNet に提供しました。 このブログでは、ShowNet で Keeper を活用いただいた方からの感想や、様々な組織に所属するユー...
2024/04/30
#Keeper#ZUNDA
パスワードマネージャーの乗り換え成功のポイント!
Keeper への乗り換えを成功させるために、抑えるべきポイントをご案内します。
2024/01/19
#Keeper
Keeper Admin Console (管理者向け機能) v16.16.0 リリース
Keeper の管理者向け機能が v16.16.0 にアップデートされました。機能更新について簡単にまとめます。
Privacy Policy
Public Notice
© ZUNDA Inc.