アカウント管理の「あるある」にどう対処すればいい？ “ザル運用”を見直そう：半径300メートルのIT

毎日のようにランサムウェアなどによる不正アクセス被害のニュースが聞こえてくる昨今、もはや「被害に遭う」前提で企業は対策を進める必要があります。この際にまずやるべきことが「アカウント管理」です。

[宮田健，ITmedia]

　多くの企業で不正アクセスの被害が報じられています。もはやこれが日常と化しており、不正アクセス被害に遭ったというだけでは報道で大きく取り上げられることもなくなってきている気もします。

　こうした状況ですから、「iOS」のアップデートやVPN／ネットワーク機器の脆弱（ぜいじゃく）性対応など緊急性が高い基本的な対策はしっかりと講じてください。個人においては特に、スマートフォンのOS／アプリのアップデートは迅速に適用しましょう。「ITmedia エンタープライズ」の読者の方であればきっと対応していると思いますので、ぜひ家族や周りの皆さまにもアップデートをお勧めしてください。

　アップデートを適用することで、既知の脆弱性を狙ったサイバー攻撃を防御できるため、攻撃者側の侵入難易度は上がるはずです。しかし、これに加えてもう一つ対策を講じなければ、脆弱性とは別のルートでたやすく入り込まれる可能性があります。そちらの芽もつぶしておきましょう。

アカウント管理の“ザル運用”はNG　まず見直すべきは

　サイバー攻撃のきっかけとなるのは脆弱性だけではありません。あなたが日々利用しているIDやパスワードも対象になり得ます。最近、日本企業のサイバー攻撃に関する被害報告があまりにも多く挙がっているので、特に中堅・中小企業が今すぐやるべき対策とは何かを筆者も考えていたのですが、やはり真っ先にすべきはアカウント管理だろうと結論付けました。

　アカウント管理はなぜ重要なのでしょうか。IDとパスワードのペアがあれば、あなたの会社のシステムに不正侵入したサイバー攻撃者が「正規の利用者」として、さらに深部に潜ることが可能になります。VPNのIDとパスワードを知っていれば脆弱性を突くまでもなく内部に侵入できますし、データベースや「Active Directory」などのIDとパスワードであれば、管理者権限を持つアカウントを使って全てを掌握できるでしょう。そしてこれに対抗するには、入念なアカウント管理が必要不可欠です。もちろんこれに向けた有料のソリューションはたくさんありますが、それ以前に「今すぐ」「無料で」できることを考えてみましょう。

　まず見直してほしい第1のポイントは共有アカウントの廃止でしょう。もしあなたの部署でメンバー全員で共有しているアカウントが1つでもあるなら、その利用を止めて、個別のアカウントを用意するように今すぐ運用を見直してください。

　特にそれがファイルサーバのアカウントやサーバそのものの管理者アカウントだった場合、もはやその仕組み自体が無意味で、パスワードを付けている意味はほとんどないでしょう。共有アカウント、特に管理者権限を持つアカウントを共有することは絶対に避けてください。これはサイバー攻撃者への対抗策というだけでなく、何かしらの内部不正が実行されたときに、共有アカウントを知る従業員全員が「容疑者」にならないようにするという意味もあります。これは有事になる前に対処すべき、重要なポイントです。

　共有アカウントの廃止とともに、「退職者アカウント運用の明確化」も実施しておきましょう。退職者のアカウントを放置しているとそれが悪用される可能性があります。退職者が出た場合、該当アカウントの利用停止を徹底します。これは無線LANのパスワードも同様で、退職者のアカウントでネットワーク接続されないよう、アカウント作成や停止のフローを整理しておく必要があります。無線LANのルーターがコンシューマー向けの製品だとパスワードが共有されている場合もあるかもしれません。企業向けの個別に認証できるタイプのルーターを利用すべきです。

　不正アクセスにおいては、もはや「侵入される」前提で考えなければなりません。もちろん侵入されないように、ネットワーク機器の脆弱性対策を、クライアントでは一般的なマルウェア対策を講じることで、最低限侵入されない仕組みを整えることは必須です。それでも「侵入される」という前提で考えます。

　サイバー攻撃者が侵入後に「正規の利用者」になりすまさないために、ここまで書いたような対策が必要なのです。その他、過剰な権限を持つアカウントがないように管理の細分化も実施しておきます。これらに対応するには時間がかかるかもしれませんが、追加で何かソリューションを導入する必要はないはずです。マルウェアに感染する前に対応を終えておきましょう。そして継続的に運用を見直すようにしてください。

アカウント管理「あるある」にどう対処すべきか？

　もう一つ非常に重要なポイントをここで取り上げたいと思います。「パスワードが漏えいしている前提で対策を講じるべき」という考え方はさまざまなところでいわれるようになりました。使い回しを止められない以上、どこかで漏れればそれを使って、さまざまな場所でログインを試行される可能性があります。「パスワードリスト攻撃」は今も大変有効で、ログインを繰り返し試行できる“脆弱な”サービスを悪用し、有効なIDとパスワードの組み合わせの精度を高め、ブラックマーケットで販売しています。

　しかし実は、サイバー攻撃者は上記よりも簡単な方法で、あなたの組織のパスワードを盗み出すかもしれません。以前、アイティメディア主催のオンラインイベント「ITmedia Security Week 2022 冬」に登壇したトライコーダの上野 宣氏（代表取締役）は講演の中で「IDやパスワードを書いたテキストファイルがローカルに置かれていることも多い」と述べています。これはつまり、従業員が忘れないようにメモとしてファイルに置いたパスワードが盗まれる可能性がある、ということです。攻撃者視点でみれば、これ以上ありがたいことはありません。全部そこに書いてあるのですから。

　筆者が予想するに、そういったファイルの名前は恐らく「password.txt」ではないでしょうか。PCにそのような名前のファイルが存在していないかどうか、皆さんも検索してみてください。もし存在していたら、できる限りそういったファイルを置かないよう、気を付けて運用しましょう。

　「まさかそのようなファイルを置くわけない」と思った方も、次は「Gmail」などの電子メールの検索で、同じように「パスワード」や「password」と検索してみましょう。今度は幾つか引っ掛かってしまうのではないでしょうか。特にクラウドサービスは検索機能が非常に強力です。サイバー攻撃者が侵入し、電子メールなどのクラウドサービスにアクセスを許してしまえば、そこから新たなアカウント情報を得られるかもしれません。実は、そういったことも気を付けていく必要があるのです。電子メールに残るパスワードについては、一つ一つパスワードを変更することを強くお勧めします。

　アカウント管理はソリューションで強力に管理する方法もなくはないです。ただしシステム側で「パスワードは16文字以上」や「定期的に変更」などと強制したとしても、大抵の場合、ルールは形骸化し連番のパスワードを付けられ、それも忘れてしまい運用の負荷がとんでもないことになるでしょう。そのため従業員全員がアカウント管理の重要性を理解し、自らが強力なパスワードを使い、権限を見直すといったことができるようになるのが理想ではあります。その一歩として、上記のような「password.txt」を探してみて、実はサイバー攻撃者も同じことをしている、と実験してみるのが良いでしょう。

　小さな企業であれば、10分ほど時間を取り、実際にマンツーマンで教えることもできるのではないかと思います。最も有効なのは、社長自らそういうことを教えることかもしれません。やるべきことは他にもたくさんありますが、まずはアカウント管理を強化することから始めてみてはいかがでしょうか。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。