強力なパスワードは、組織のアカウントを保護する鍵です。ハッカーは、長い間忘れていた古いアカウントやアクティブでないアカウントを悪用してでも、あなたの環境にアクセスしたりデータを盗んだりする方法を探します。
古いアカウントは見過ごされがちですが、ハッカーに最初のアクセス経路を提供し、活動を拡大するプラットフォームを提供する可能性があります。インフラにアクセスできるすべてのアカウントが重要なのです。
テスト用アカウントの保護
新しいソフトウェアやウェブサイトの機能を作成する際などに作成されるテスト環境は、ハッカーにとって魅力的なターゲットです。
例えば、テスト環境の開発に使用された本物の顧客情報などです。さらに、その環境を他の、より特権のあるアカウントへの踏み台として悪用することもできる。
ハッカーが管理者アカウントや特権アカウントでより大きなダメージを与えられるのは事実だが、これは自己満足の理由にはならない。
熟練した攻撃者がログイン認証情報を持つあらゆるユーザー・アカウント(たとえ非常に低いアクセス権限の古いテスト・アカウントであっても)にアクセスできるようになると、彼らはそのアカウントをプラットフォームとして利用し、アクセスを拡大したり、権限をエスカレートさせたりすることができる。
例えば、同じような権限レベルを持つアカウント間を水平方向に移動したり、ITチーム・アカウントや管理者アカウントなど、より高い権限を持つアカウントに垂直方向にジャンプしたりすることができます。
マイクロソフトの不正侵入で悪用されたテストアカウント
この潜在的な脅威は、1月にマイクロソフトが自社の企業ネットワークがロシアの国家ハッカーによって侵害されたと発表した際に、存分に発揮された。攻撃者(Midnight Blizzardとして知られるロシアの国家支援行為者と特定)は、電子メールと添付文書を流出させることができた。
マイクロソフト社によると、アクセスされたのは企業の電子メールアカウントの「ごく一部」だけだったが、その中には上級幹部やサイバーセキュリティ・チーム、法務チームの従業員も含まれていたという。
攻撃者は、複数のアカウントに対して同じパスワードを試す総当たり技法である「パスワード・スプレー攻撃」を使って侵入した。この攻撃は、マイクロソフトのシステムや製品の脆弱性を悪用したものではない。
むしろ、未使用のテスト用アカウントの弱いパスワードや既知のパスワードを推測するだけの単純なものだった。ソフトウェア大手の言葉を借りれば、攻撃者は「レガシーな非本番テスト用テナント・アカウントを侵害し、足がかりを得るためにパスワード・スプレー攻撃を使用した」のである。
これは、管理者や特権アカウントだけでなく、すべてのアカウントに対して最高レベルの保護を確保することの重要性を強調している。
組織は、テスト・アカウントの脆弱な認証情報やデフォルトの認証情報を避けること、PoC後にテスト・アカウント/環境を廃止すること、テスト・アカウントと同様の環境を適切に分離することが極めて重要です。
強力なパスワードですべてのアカウントを安全に保つ方法
では、すべてのアカウント(たとえ非アクティブな環境であっても)を保護するために、どのような対策を講じればよいのだろうか。
Active Directoryの監査:未使用のアカウントや非アクティブなアカウント、その他のパスワード関連の脆弱性を可視化することが重要です。
Active Directoryにどれだけの古くなったアカウントが潜んでいるかは分かりませんか?
Specops Password AuditorでActive Directory環境の読み取り専用スキャンを実行してください。この無料ツールは、ドメイン内に古くなったアカウントやアクティブでないアカウントを監査し、強力なパスワードで保護するか、完全に削除することができます。
エクスポート可能な無料レポートには、その他の有用な情報も含まれています。また、Specops Password Auditorは、データ漏洩から入手した10億件以上の漏洩パスワードのリストとユーザーアカウントとパスワードを照合し、ハッカーに狙われる可能性のある脆弱なパスワードや漏洩したパスワードを持つエンドユーザーを知らせます。
多要素認証:MFAはハッカーに対する重要な防御手段であり、パスワードが漏洩した場合でも、防御のレイヤーを増やすことができます。防御手段は多ければ多いほど良い。例えば、パスワードの後にワンタイムパスコードで確認する、といった二要素認証から始めることができる。
しかし、最強のMFAは2つのステップを超え、おそらく顔スキャンや指紋などのバイオメトリック・アプローチも含まれる。
MFAがアカウント全体(たとえテストアカウントであっても)で確立されていれば、セキュリティは劇的に向上する。しかし、MFAは依然として回避可能であり、パスワードの漏洩は依然として最も一般的な出発点であることに注意してください。
パスワードポリシーを強化する:当たり前のことのように思えるかもしれないが、効果的なパスワードはハッカーに対する重要な防御の第一線である。パスワード・ポリシーは、エンドユーザーが「qwerty」や「123456」のような一般的な基本語やキーボード・ウォークで構成される弱いパスワードを作成するのをブロックする必要があります。
最適なアプローチは、長くてユニークなパスワードやパスフレーズを強制すると同時に、特定の組織や業界に関連する用語をブロックするカスタム辞書を活用することです。
Specops Password Policyでは、コンプライアンスに準拠した強力なカスタムパスワードポリシーを簡単に設定できます。重要なのは、システムがユーザーに動的なフィードバックを提供し、ユーザーが実際に覚えている強力なパスワードを作成できるようにすることです。
また、Specops Password Policyは、40億を超えるユニークな漏洩パスワードを継続的にブロックします。このシステムは継続的なスキャン機能を使用して、パスワードの変更やリセット時だけでなく、漏洩したパスワードを毎日確実に特定します。
すべてのアカウントでパスワードセキュリティをアップグレード
私たちは、あらゆる弱点を突いてシステムを侵害し、データを盗み、金銭的損害を与え、評判を落とす、非常に洗練されたサイバー犯罪の敵に直面していることは間違いありません。これらの犯罪者は、パスワード・スプレー攻撃やその他の総当たり攻撃を可能にするために、新しいテクノロジーを取り入れています。
しかし、テクノロジーはハッカーに新たな手段を提供する一方で、防御を構築する鍵でもあります。Password PolicyやPassword Auditorのようなツールを使えば、アカウント全体の脆弱性を検出することができます。
Active Directory全体のパスワードセキュリティ強化について、今すぐSpecopsのエキスパートにご相談ください。
Specops Softwareがスポンサーとなり、執筆しました。
The post すべてのアカウント(テストアカウントでさえ)に強力なパスワードが必要な理由 first appeared on PRSOL:CC.