Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る

認証情報窃取攻撃とは何ですか?

ホーム 用語集 認証情報窃取攻撃とは?

認証情報の窃取は、企業の規模、業種、地域を問わず大きな問題です。2022年のVerizonデータ侵害調査報告書によると、すべてのデータ侵害の約50%が盗まれた認証情報によって引き起こされました。警告、パスワード要件の変更、複数の認証形式を含む認証情報窃取を抑制するための数年間の取り組みにもかかわらず、認証情報の窃取はサイバー犯罪者によって使用される主要な攻撃手法のままです。この用語集ページでは、認証情報窃取攻撃の概要、攻撃の種類、攻撃の仕組み、そしてそれらからの保護方法について説明します。

認証情報窃取攻撃とは?

認証情報窃取攻撃とは?

認証情報窃取攻撃は、機密情報、例えばユーザー名、パスワード、クレジットカード情報を標的とするサイバー攻撃です。これらは通常、金融利益を得るためや、アイデンティティ窃盗を行うためにウェブアカウント、メールアカウント、銀行口座、その他の個人情報にアクセスしようとする悪意のある人物によって実行されます。犯罪者はしばしばフィッシング、マルウェア、キーロギング、その他の手法を用いて認証情報を取得したり、盗まれた認証情報を使ってさらなるアクセスを試みます。

認証情報窃取攻撃の種類

個人識別情報/保護対象保健情報(PII/PHI)、金融口座情報、知的財産などの機密コンテンツがオンラインに移行するにつれて、アイデンティティ窃盗の脅威は絶えず増加しています。攻撃者は、この機密情報へのアクセスを提供する認証情報を取得するために、さまざまな方法を使用します。認証情報窃取攻撃の手法には以下が含まれます:

フィッシング

フィッシングは、本物そっくりのメール、テキストメッセージ、ポップアップウィンドウを通じて認証情報を盗む手法です。攻撃者は、ユーザーを騙してユーザー名やパスワードなどの機密情報を提供させようとします。通常、偽のランディングページに誘導し、それが本物に見えるように設定されていますが、実際にはサイバー犯罪者によって設置・管理されたサイトです。

キーロギング

キーロギングは、ユーザーのコンピュータに悪意のあるソフトウェアをインストールし、入力されたすべてのキーストロークを記録する攻撃の一種です。これらのキーストローク、通常はユーザー名とパスワードを入力するために使用される数字と文字が傍受されると、攻撃者はログイン認証情報を再利用して機密情報を保持するシステムに不正にアクセスすることができます。

ソーシャルエンジニアリング

攻撃者はまた、ユーザーの認証情報を得るためにソーシャルエンジニアリング戦術を頻繁に使用します。ソーシャルエンジニアリング攻撃は、攻撃者が信頼できる個人を装い、従業員を操作してパスワードを明かさせたり、システムにマルウェアをインストールするリンクをクリックさせたりすることを含みます。フィッシングはソーシャルエンジニアリングの一形態ですが、フィッシングは被害者と攻撃者の間のやり取りなしに行われます。

ショルダーサーフィング

ショルダーサーフィング攻撃は、視覚的な観察を使用して、無防備な被害者から認証情報を収集する方法です。例えば、攻撃者は従業員の肩越しに覗き見して、従業員が機密情報にアクセスまたは閲覧する様子を観察することがあります。ショルダーサーフィング攻撃は、直接的に行われることもあれば、監視カメラを使用して遠隔で行われることもあります。

ダンプスターダイビング

ダンプスターダイビング攻撃では、攻撃者が物理的またはデジタルのゴミを漁り、貴重な情報を含む廃棄された書類や電子ファイルを探します。

総当たり攻撃

攻撃者は自動化されたプログラムを使用してパスワードを推測します。これは一般的なパスワードを試すか、パスワードを解読するための高度なアルゴリズムを実行することによって行われます。

認証情報窃取攻撃の一般的な標的

認証情報窃取攻撃者は、ユーザー名、パスワード、クレジットカード番号などの機密情報を探しています。この情報の最も一般的な標的には以下が含まれます:

  • オンラインバンキングアカウント
  • メールアカウント
  • ソーシャルメディアアカウント
  • 企業ネットワーク
  • 決済システム
  • クラウドストレージアカウント
  • 医療記録
  • 信用記録
  • パスワードデータベース
  • 政府データベース

認証情報窃取とダークウェブ

犯罪者が認証情報を手に入れると、それをダークウェブで販売することができます。ダークウェブは検索エンジンにインデックスされていないインターネットの一部で、アクセスするには特定のソフトウェアと設定が必要です。しばしば「地下」または「影の」インターネットと呼ばれ、多くのオンラインマーケットプレイスが盗まれた認証情報を販売しています。ダークウェブでは、犯罪者が盗まれたクレジットカード番号、パスワード、その他の機密データを簡単に売買でき、捕まる心配がありません。

認証情報窃取攻撃からの保護方法

認証情報窃取攻撃からの保護は、個人と組織の両方にとって重要です。これらの攻撃から保護するために、組織は機密情報へのアクセスを制限し、データを暗号化し、ネットワークを監視して不審な活動を検出し、ユーザーに強力なパスワードの重要性を教育するなど、適切なセキュリティ対策を実施する必要があります。組織はまた、システムを定期的に監査してセキュリティ対策が効果的で最新であることを確認し、ネットワーク侵入防止システムやファイアウォールなどの最新のソフトウェアを使用する必要があります。

個人レベルでは、すべてのアカウントに対して強力でユニークなパスワードを使用し、定期的に変更する必要があります。名前や生年月日、一般的な単語などの一般的なパスワードは避けるべきです。可能な限り二要素認証を使用することが推奨されます。これは追加のセキュリティ層を提供します。さらに、認証情報窃取攻撃から保護するために、公共のコンピュータや安全でない無線ネットワークの使用を避け、ソフトウェアやオペレーティングシステムを最新の状態に保つことが重要です。

また、クレジットカード番号、銀行口座情報、社会保障番号などの個人情報を保護するための措置を講じることも重要です。これには、この情報をオンラインやソーシャルメディアで、または見知らぬ人と共有しないことが含まれます。メール、添付ファイル、リンクを開く際には注意が必要です。フィッシングは一般的な認証情報窃取攻撃であり、ユーザーはクリックや共有する内容に注意を払うべきです。

認証情報窃取攻撃は、組織レベルと個人レベルの両方で適切なセキュリティ対策を実施することで防ぐことができます。組織はデータの暗号化、ネットワークの監視、不審な活動の検出、最新のソフトウェアの使用に重点を置くべきです。個人レベルでは、定期的にパスワードを変更し、可能な限り二要素認証を使用することが推奨されます。さらに、ユーザーは個人情報を保護し、リンクをクリックしたりメールを開いたりする際には注意を払うべきです。これらのステップを踏むことで、組織と個人は認証情報窃取攻撃から自分自身を守ることができます。

よくある質問

認証情報窃取を防ぐためのサイバーセキュリティ意識向上トレーニングの役割は何ですか?

サイバーセキュリティ意識向上トレーニングは、認証情報窃取を防ぐ上で重要な役割を果たします。これは、個人や組織に最新の脅威とサイバー攻撃からの保護のためのベストプラクティスを教育します。従業員にフィッシング詐欺やその他の一般的な攻撃手法を特定する方法をトレーニングすることで、組織は認証情報窃取のリスクを軽減できます。

サイバーセキュリティ意識向上トレーニングについて覚えておくべき3つの重要なことは次のとおりです:

  • トレーニングの重要性: サイバーセキュリティ意識向上トレーニングは、個人や組織がサイバー攻撃のリスクを理解し、自分自身を守る方法を学ぶのに重要です。
  • 継続的なトレーニング: サイバーセキュリティの脅威は常に進化しているため、トレーニングは継続的に行われ、個人や組織が最新の脅威とベストプラクティスに対応できるようにする必要があります。
  • 魅力的で関連性のあるトレーニング: 効果的であるためには、サイバーセキュリティ意識向上トレーニングは受講者にとって魅力的で関連性のあるものでなければなりません。トレーニングは組織の特定のニーズに合わせて調整され、理解しやすく記憶に残りやすい方法で提供されるべきです。

パスワードスプレー攻撃とは何ですか?
パスワードスプレー攻撃は、攻撃者が一般的に使用されるか弱いパスワードのリストを使用してシステムやネットワークにアクセスしようとするサイバー攻撃の一種です。攻撃者は通常、コンピュータプログラムやスクリプトを使用して非常に低い頻度でパスワードを推測し、通常は1時間に1〜2回の試行を行い、検出を避けます。また、異なるユーザー名とパスワードの組み合わせを試行することもあります。

認証情報窃取の結果は何ですか?
認証情報窃取の結果は、個人や組織にとって深刻なものとなる可能性があります。侵害された情報や資産の種類に応じて、結果には以下が含まれます:

  • 金銭的損失: サイバー犯罪者が金融口座や機密情報にアクセスすると、それを利用して金銭を盗んだり、不正行為を行ったりすることができます。これにより、個人や組織にとって大きな金銭的損失が発生する可能性があります。
  • 評判の損害: 認証情報窃取によるセキュリティ侵害は、組織の評判を損ない、顧客の信頼を失わせる可能性があります。これにより、ビジネスに長期的な影響を与える可能性があります。
  • 法的措置: 侵害の性質や関連する管轄区域の法律に応じて、個人や組織は機密情報を保護しなかったことで法的措置や罰金を受ける可能性があります。

認証情報ハーベスティングとは何ですか?
認証情報ハーベスティングは、攻撃者がユーザー名やパスワードなどのログイン認証情報を盗むことでユーザーアカウントに不正アクセスしようとする攻撃の一種です。この種の攻撃は、セキュリティのベストプラクティスを知らないユーザーを利用し、知らずに認証情報を提供させます。ほとんどの認証情報ハーベスティング攻撃は、フィッシングを通じて行われます。フィッシングは、悪意のあるメールやウェブサイトを使用してユーザーを騙し、個人データを明かさせるソーシャルエンジニアリング攻撃の一種です。認証情報ハーベスティングでは、サイバー犯罪者は12345678や000000などの一般的な弱いパスワードのリストを試します。この方法により、サイバー犯罪者は1回の攻撃で複数のアカウントにアクセスすることができます。

 

Kiteworksが認証情報窃取攻撃を防ぐためにビジネスの全体的なセキュリティ体制を改善する方法

Kiteworksは、認証情報窃取攻撃に対するセキュリティ体制を改善するために、組織のデータを保護するのに役立ちます。Kiteworksのプライベートコンテンツネットワークは、組織に安全でコンプライアンスに準拠し、追跡可能な方法で機密データを共有する手段を提供します。Kiteworksを使用して送信された機密情報を受け取る信頼できるパートナーは、コンテンツにアクセスする前に安全な多要素認証(MFA)を通じて認証する必要があります。これにより、攻撃者が機密データやサービスに簡単にアクセスすることを防ぎます。ユーザーは、モバイルデバイスまたはメールに送信される一意のPINコードとワンタイムパスワードを入力する必要があり、攻撃者がシステムにアクセスすることはほぼ不可能になります。強力な認証とデータ暗号化を組み合わせることで、Kiteworksはシステムを認証情報窃取攻撃から保護するための追加のセキュリティ層を作成します。

Kiteworksはまた、悪意のある人物からの潜在的な脅威を検出し、組織に警告する脅威分析および監視サービスを提供します。これらのサービスには、ネットワーク活動のリアルタイム監視が含まれ、組織が機密データへの不正アクセスが発生する前に対策を講じることができます。さらに、Kiteworksは、エンドツーエンド暗号化およびアイデンティティ管理ソリューションを提供し、組織が認証情報窃取攻撃からシステムとデータを保護するのに役立ちます。これらのソリューションを使用することで、組織は強力なパスワードを作成および管理し、二要素認証を実施し、クラウドに保存されたデータを暗号化することができます。

Kiteworksの包括的なセキュリティソリューションを活用することで、組織はセキュリティ体制を改善し、認証情報窃取攻撃のリスクを軽減することができます。カスタムデモを今すぐスケジュールし、Kiteworksがどのようにしてビジネスを認証情報窃取攻撃から保護できるかを学びましょう。

 

リスクとコンプライアンス用語集に戻る

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談
Share
Tweet
Share
Explore Kiteworks