アカウント乗っ取り被害激増 危機が迫る今こそパスワード管理の最適解を探る：企業にとっても人ごとではない

オンライン証券サービスで多発しているユーザーアカウントの乗っ取り被害。この背景にはID／パスワードのずさんな管理、運用がある。サイバー攻撃が高度化する中、個人や企業はこれらの運用をどう再考すればいいのか。

PR／ITmedia

PR

　最近、国内大手のオンライン証券サービスにおけるユーザーアカウントの乗っ取りによる不正取引被害が相次いで報じられている。金融庁の調査によると、2025年の不正取引件数は3500件を超えており、不正取引額は延べ3000億円以上だ。

　不正取引被害は、ID／パスワードを奪われてアカウントが乗っ取られ、正規の取引に見せつつ株を勝手に売買することでもうけを出す手法が使われていた。この手法は見破ることが難しく、金融庁や証券会社の他、投資系のYouTuberなども注意喚起している。

　本稿では、個人や企業を標的にしたID／パスワードを窃取する攻撃が後を絶たない今、有効な防御策を考える。

激化する不正アクセス被害　その背景にあるのはAIを駆使した攻撃者の進化？

　不正取引被害増加の背景には、フィッシング攻撃やインフォスティーラーといった認証情報を狙ったマルウェアの増加、Webブラウザに保存したID／パスワードを窃取する攻撃などが関連している。

　フィッシングについては、以前から度々注意が呼び掛けられてきた。しかし近年は生成AIを使って自然な日本語で書かれた巧妙なフィッシングメールを作成できるようになった結果、見破るのが困難になっている。攻撃が巧妙化する今、いくらユーザーが注意を払っても偽のWebサイトでうっかりID／パスワードを入力してしまい、認証情報を窃取されてアカウントを乗っ取られるリスクがある。

　このような攻撃は企業にとっても人ごとではない。取引先や会社役員などを装ったフィッシングメールを受け取り、偽のログインページで認証情報を盗まれたり、添付ファイルやリンクを開いてマルウェアに感染し、最終的には従業員や顧客データの漏えいにつながったりするケースもある。

　Keeper Security APACの西山高徳氏は「ID／パスワードを適切に管理していなかったり、サービスで推奨されている二要素認証を利用していなかったりといった隙を突かれるケースがよく見られます。事業者側の対策だけでなく、サービスを利用する側でも被害防止のための対策が急務です」と語る。

Keeper Security APACの西山高徳氏（カントリーマネージャー 兼 アジアパシフィック地域営業統括担当 シニアバイスプレジデント）

　西山氏によると、ID／パスワードの保護や管理者が使う特権IDの管理は非常に重要であるにもかかわらず、多くの企業では利便性が優先されるあまり、基本的なセキュリティ対策が後回しになっているのが実態だという。

　「自社が攻撃対象になり得るという意識がまだ十分に浸透していない企業が多いと感じます。従業員任せの対策では限界があり、ゼロトラストの考え方に基づき、ルールや仕組みを整備し、認証情報を守ることが不可欠です」

いざ実践すると難しいID／パスワード管理　従来運用の問題点

　ただ、これを実践するのは難しいのも事実だ。

　西山氏は「SaaS利用の拡大に伴い、ID／パスワードの入力を求めるシステムやサービスは増え続け、ユーザーは日常的に数十ものID／パスワードを管理しなければならない状況にあります。サービスごとに複雑なパスワードを設定してもとても覚え切れないため、ノートに書きとめたり同じパスワードを使い回したりといった対応に頼りがちです。その結果、情報漏えいやアカウントの乗っ取りといったリスクが高まっています」と話す。

　ID／パスワードを管理する際、Webブラウザのパスワード保存機能を使っているユーザーも多いはずだ。しかし、この方法にもセキュリティ上の大きなリスクがあるという。西山氏は「Webブラウザのパスワード保存機能は確かに利便性が高いですが、保存された認証情報はマルウェアによって比較的簡単に盗まれてしまう可能性があり、注意が必要です」と述べる。

　同じ問題は、業務アプリケーションやデータベース、ネットワーク機器など企業システムを支えるさまざまな仕組みを管理するための「特権ID」「ルート権限」にも共通している。企業の中には、一つの管理用アカウントを複数人で共有するといったずさんな運用をしているケースも散見されるという。

　「多要素認証やシングルサインオン（SSO）、ID／パスワード管理、特権アクセス管理といった仕組み自体は昔から存在し、決して新しい話ではありません。それにもかかわらず多くの企業はサイバー攻撃の事後対策に注力する傾向が強く、防御のための認証周りの対策にはこれまで十分な目が向けられていませんでした」

　企業の予算や人的リソースには限りがある。西山氏によると、これまではこれらのセキュリティ対策の重要性を認識していても、導入が進んだのは主に大手企業に限られ、中堅・中小企業にまで浸透してこなかったという。だが、攻撃の高度化や人が覚えられるパスワードの長さや数などの限界がいよいよ明らかになる中、より根本的なところに目が向けられ始めたのがここ数年の動きだ。

パスワードは安全性が保障された「金庫」に保管せよ　Keeper Securityが提供する解決策

　西山氏はこれらの課題を踏まえた上で、「さまざまなシステムへのアクセスに必要なパスワードを一つの『金庫』にまとめて強固に保管する発想です。金庫にアクセスするためのマスターパスワードだけを覚えていれば済むため、利便性とセキュリティの両立が可能になります。これが、私たちが考えるID／パスワード保護のあるべき姿であり、当社のソリューションの考え方です」と語る。

　この考え方にのっとって、ユーザーにとっても負担が少なく、利便性とセキュリティを両立させられるソリューションがKeeper Securityの「KeeperPAM」だ。パスワード管理機能や特権アクセス管理機能、RDPやSSHによるゼロトラストネットワークアクセス（ZTNA）やリモートブラウザ分離機能も備えている。

　「日々の業務では電子メールやファイル共有、ビデオ会議や業務アプリケーションなど複数のシステムを利用します。それらの入り口にKeeperPAMを置くことで強固な認証とSSOライクな環境を実現し、パスワードの漏えいを防ぎます」

KeeperPAMのパスワード管理機能利用イメージ（提供：Keeper Security APAC）《クリックで拡大》

　KeeperPAMのパスワードマネジャーにログインすると、アプリケーションやサービスが一覧形式で表示される。利用したいものを選択すると暗号化されたパスワード情報が自動的に復号されて入力され、接続できるという仕組みだ。パスワードマネジャーにアクセスする際に、SMSなどを使った二要素認証を組み合わせることでセキュリティをより強化できる。

KeeperPAMのパスワードマネジャーサービス画面（提供：Keeper Security APAC） 《クリックで拡大》

　暗号化されたパスワードデータはゼロ知識アーキテクチャによりクラウド上に安全に保管され、Keeper Securityの関係者であっても暗号化されたデータにはアクセスできない。万が一Keeper Securityが侵害されたとしても、攻撃者はデータを読み取ることはできない。非常にセキュアな仕組みとなっている。

　KeeperPAMは「Microsoft Entra ID」や「Okta」といった既存のIDaaS製品との連携も強みだ。SSOに対応していなかったりオンプレミスで動いていたりするソリューションのパスワードをIDaaS製品で管理するのは困難だが、KeeperPAMと組み合わせることで下図のように広範なアプリケーションの保護が実現する。

KeeperPAMとIDaaS製品との連携イメージ（提供：Keeper Security APAC）《クリックで拡大》

　ユニークな機能として、アカウントを可視化して管理するとともに、パスワードがダークWebに流出していないかどうかを監視する機能もある。漏えいを検知するとパスワードの再設定を促すため、なりすましなどの実害につながる前に手を打つことが可能だ。

　KeeperPAMは単一のコンソールでパスワードと特権アクセスを管理可能で、システム管理者は「いつ」「誰に」「どのようなシステムで」「何をさせるか」を制御できる。アクセス許可の有効期限の設定や、特権アクセスに利用するパスワードを定期的に変更する機能も備えている。

　特権アクセスを適切に管理しているかどうかはIT監査においても重要なポイントだ。KeeperPAMはこのような要件に応えるため、特権アクセス利用中にどのようなコマンドを入力したかといった細かい部分までレコーディングできる。

　西山氏は「特権アクセス管理製品の中には、多くのIT予算とリソースを持つ大企業向けのものもあります。しかし、われわれはもっと簡単でシンプルな特権アクセス管理を提供し、何千万、何億円とかけて構築するシステムと比べて安価なコストで実現します」と説明する。KeeperPAMは、シンプルな価格モデルと、導入に高額な専門サービスを必要としない使いやすいインタフェースによって、これまで特権アクセス管理の必要性は感じながらも踏み出せなかった中堅・中小企業に、新たな選択肢を提供するという。

　KeeperPAMはFedRAMP Rev5やSOC 2をはじめとするセキュリティ標準の認定を満たしており、米国防総省や司法省といった多くの政府関連機関に採用されている。グローバルなプロダクトでありながら、東京や大阪のデータセンターにプラットフォームを構築しており、ディザスタリカバリーを考慮しながら日本市場に強くコミットしている点もパスワードを預けるという観点で信頼性が高いと言える。

企業責任の一環としてID、パスワード、アクセス管理の徹底を

　不正アクセス被害が相次ぐ中、さまざまな対策が模索されているが、やはり基本となるのはID／パスワード、特権アクセス管理をいかに徹底するかだ。

　「『自分、自社はターゲットにならない』と思っている方もいるかもしれませんが、やはり“ジブンゴト”として考える必要があります。企業としては、個人情報や機密情報の漏えいを防ぎ、自社のブランドを守るためにも、企業責任の一環として情報保護に取り組みIDやパスワード、アクセスを強固に守ることが求められるでしょう」

　セキュリティは企業価値にも直結する。その保護の根本となる部分を個々のユーザーに任せるのではなく、仕組みとして守ることが重要だ。パスワード管理とシークレット管理、リモートブラウザ管理やZTNAといった機能を単一のコンソールで提供するKeeper Securityは、ユニークな解決策の一つとなるだろう。