攻撃者が漏えいした認証情報を悪用し正規ユーザーとして侵入すると、ランサムウェア被害、ビジネス電子メール詐欺などの大きな被害が生じます。ISSでは、お客様に代わって認証情報の漏えいを定常的に調査して報告し、それらの被害を回避するための予防的取り組みを支援します。
ランサム攻撃やビジネスメール詐欺など、昨今賑わす脅威の多くは漏えいした認証情報を使った攻撃がきっかけになっています。一度漏えいした認証情報は、アンダーグラウンド市場で売買され、更に拡散するリスクがあります。
このような現状において、策を打たずに只々攻撃を待つのではなく、自組織に関わる認証情報が漏えいしていないか能動的に調査する取り組みが必要で、日常的に行う重要なセキュリティ業務の一つと考えます。
認証情報の漏えい調査の方法は、様々なものがあります。主な手段としては、セキュリティベンダーの調査サービスや様々な脅威を調査可能な脅威インテリジェンスプラットフォームと呼ばれる専門ツールがあり、目的、運用方法、予算などに応じて自組織に適したサービスを選択します。他には無償で提供されている調査ツールもあり、その代表的なものとして「Have I Been Pwned(略称:HIBP)」が有名です。
漏えい情報の理想的な調査方法としては、様々な脅威情報を収集可能な脅威インテリジェンスプラットフォームと呼ばれる専門ツールを使用することだと言えますが、コストの高さや専門的なスキルを要する(場合によっては運用自体も外部に委託する必要がある)ことから、残念ながらなかなか普及しない現状があると感じています。
その点HIBPは、認証情報の漏えいに特化しているものの、無償で使用でき、170億件を超える漏えい情報をデータベースとして保有する大規模なプラットフォームで、誰もが活用できるツールになります。
HIBPはオーストラリアのTroy Hunt氏が立ち上げたサイトで、英国、オーストラリア、ルーマニアなどの政府とも協力してドメインでの侵害などを監視しており、サービスは透明性をもって運営されています。国内においては、IPA(独立行政法人情報処理推進機構)の情報セキュリティ10大脅威の解説書でも、共通対策(認証情報の適切な運用)の一つとして紹介されています。
ISSが提供する「クレデンシャル情報漏えい調査サービス(略称:クレモレ)」は、誰もが利用しやすいサービスとしてHIBPを法人向けにアレンジしたサービスです。サービス料金も非常に安価に設定しており、すべての方に手が届くサービスとしてインシデントを未然に防ぐ一助となることを目指しています。
標準的なHIBPは、無償で使用できるものの、法人で使用する場合は運用で面倒なところがあります。
上記課題を解決するため、ISSでは独自ツールとHIBPのプラットフォームを連携させ、ドメイン名(@以降の文字)で検索可能な環境を整備しています。これにより、同じドメインに属するすべてのメールアドレスを一括で検索可能であり、悪用されがちな退職者のアドレスや管理から漏れやすい共通アドレスなど含めて網羅的に調査できます。
認証情報の漏えいを調査できていないお客様にとっては、クレモレにより以下の効果が期待できます。
なお、HIBPに載っていない漏えいもあるため「載っていない=安全」とは言えません。ただし、「漏えいしたかもしれない」を低コスト・低リスク・短時間で事実ベースに近づけることができ、価値あるサービスと断言できます。
以下のような内容のメールを配信することで、予防措置や社員の意識向上に期待できます。
「X月X日に発生したXX社の大規模漏えい事故にて、当社社員の認証情報がX件含まれていることを確認しました。当事者には既にパスワード変更を指示していますが、他の社員についても同社のサービスを利用している場合はパスワードを変更してください。」
クレデンシャル情報漏えい調査サービスの資料送付やお見積をご希望されるお客さまは、下記フォームよりお送りください。
メール受付後、2、3日以内にサービス資料およびお見積に必要な確認事項をメールでご案内いたします。
また、弊社メールへの返信によるご質問、電話連絡、リモート形式によるご説明も可能です。
送信後、2、3日経っても弊社からのメールが届かない場合は、恐れ入りますが再度こちらのフォームよりメールをお送りいただけますようお願い申し上げます。
