MFA回避は当然に？ Oktaが2025年のアイデンティティー攻撃に関する5つの予想を発表：セキュリティニュースアラート

Oktaは2025年のアイデンティティー攻撃に関する5つの予測と対策を発表した。フィッシング攻撃は巧妙化し、従来のリスクベースの認証を回避するような動きを見せる可能性がある。

[後藤大地，有限会社オングス]

　Oktaは2025年に予想されるアイデンティティー攻撃の傾向と、攻撃に備えるためのアドバイスを発表した。

　サイバー空間には常に新たな脅威が生まれている。攻撃者の進化は止まらず、検出を回避し、脆弱（ぜいじゃく）性を悪用する。Oktaによると、この流れを変えることは困難であり、攻撃手法を予測することも難しい実態があるが、アイデンティティー攻撃の傾向は特定可能だという。

認証回避を狙った攻撃が進化を遂げる　Oktaが予想する2025年の攻撃傾向

　アイデンティティー攻撃の代表格といえば、認証情報の窃取を目的としたフィッシング攻撃だ。Oktaは2025年の予測トップにフィッシングキットの巧妙化を挙げた。

　現在、フィッシングキットの中にはbotネット端末などを使用した住宅プロキシを提供するものが既に存在する。これはアクセス元の地域がユーザーの滞在地域と一致しているかどうかを検証するリスクベース認証を回避するために使用される。2025年はこの手法がさらに進み、フィッシング攻撃を検知することがますます困難になる可能性がある。

　この他、Oktaは2025年の予測として「デバイスベース攻撃の復活」「ビジネスプロセスの標的化」「ダウングレード攻撃の急増」「生成AIによる新たな課題」を挙げた。

　デバイスベース攻撃は、世界中の組織が積極的に導入を進めている多要素認証（MFA）を回避するための手法だ。標的が所有するPCやスマートフォンなどを侵害し、認証情報を窃取して企業ネットワークに侵入する。

　ビジネスプロセスの標的化は、組織が使用しているソフトウェアや作業手順などの情報の収集を目標にする。これはサイバー攻撃の準備活動に相当し、サプライチェーンの脆弱性を特定するなど侵入の可能性を探る。

　ダウングレード攻撃は標的組織のセキュリティを弱体化させ、後続の攻撃を容易にする。この攻撃が2025年には増加する見込みだ。

　生成AIによる新たな課題としては、ディープフェイクによる経営者のなりすまし攻撃がアップデートされる可能性があるという。企業も対策に乗り出しているが、2025年はリアルタイム生成を実現する可能性があり、脅威のレベルが一段階上昇すると思われる。

　いずれも既知の手法だが、2025年のアイデンティティー攻撃は既存のセキュリティ対策を回避するレベルにまで進化する可能性がある。Oktaは進化するサイバー攻撃への備えとして、さまざまな対策を提案している。具体例としてフィッシング耐性のある認証の導入や匿名化サービスからのリクエストのブロック、デバイスセキュリティの強化などを挙げている。

　アイデンティティーを狙った攻撃の世界は動的であり、絶え間ない革新と適応を必要とする継続的な戦いだ。ユーザーとデータを保護したい企業にとって、効果的な防御策を講じるにはテクノロジーやポリシー、ビジネスプロセスの進化が必要となる。