FBIの報告によると、2021年のサイバーセキュリティ攻撃による損害額は69億ドルに上った。これは2020年に比べて64%の増加である。FBIに寄せられた苦情のうち33万件近くがフィッシングで、昨年のインターネット犯罪の中で断トツのトップだった。
銀行、保険会社、オンライン・ショップ、住宅ローン・プロバイダー、その他の組織から、多要素認証(MFA)、別名2要素認証(2FA)または2段階認証(2SV)を有効にするよう勧められたことは誰にでもある。サイバー脅威や組織のサイバーセキュリティ態勢を改善する方法に関する記事でも、同様のアドバイスがある。それには理由がある。 以前は、オンライン・アカウントの安全性を確保するために必要なのはパスワードだけだと思っていたが、処理能力は年々大幅に安くなっているため、アカウントをハッキングするためのリソースは劇的に安価になり、広く利用できるようになった。
サイバー犯罪者があなたのアカウントにアクセスするためによく使う方法は、偽のログインページに誘導するフィッシングメールを送ることです。ユーザ名とパスワードを入力すると、悪者はあなたの認証情報を取得します。複数のアカウントで同じパスワードやわずかなバリエーションを使用することが多いため、あなたの認証情報を取得した悪者は、他のオンラインアカウントへのアクセスを試みることができます。
パスワード規格
パスワードの標準は、ソーシャル・エンジニアリングやパスワードの推測など、ハッキングを困難にするために長年進化してきた。私たちのオンライン・アカウントが、大文字、数字、特殊文字、最小文字数を使用するようになったことを覚えているだろうか?
最近では、パスワードの代わりにパスフレーズを要求されることが多くなり、用語が変わってきています。これは、フレーズの方がより複雑で、ハッキングされにくく、覚えやすいという考え方だ。それでも、フィッシングメール、総当たり攻撃、マルウェア、ダークウェブで購入した認証情報、あるいは単なる当てずっぽうにかかわらず、犯罪者は侵入を試みている。
オンラインIDを証明し、漏洩したクレデンシャルのリスクを取り除くための次の反復は、パスワードの必要性をなくす方向に進んでいる。パスワードのセキュリティ上の問題から、アップル、グーグル、マイクロソフトはナショナル・パスワード・デーに、「FIDOアライアンスとワールド・ワイド・ウェブ・コンソーシアムが作成した共通のパスワードレスサインイン標準のサポートを拡大する」と発表した。この新しい機能により、ウェブサイトやアプリは、デバイスやプラットフォームを超えて、一貫性があり、安全で、簡単なパスワードレスサインインを消費者に提供できるようになる。新しいサインイン機能は、2023年にかけて展開される予定だ。
多要素認証
オンライン・アイデンティティの証明と安全性確保において、パスワードを超える第2のコントロールを提供するために、MFAは認証プロセスのダブルチェックとして介入する。包括的なパスワードレスの未来が実現するまで、組織はすべてのデバイスとアプリケーションにMFAを設定し、その使用を義務付けることが不可欠です。そうすることで、犯罪者がアカウントやそこに含まれるデータ、アクセス権限にアクセスするのを防ぐことができる。
NISTは、認証の基礎として以下の3つの要素を挙げている 。
- 知っているもの(パスワードなど)
- あなたが持っているもの(IDバッジや暗号キーなど)
- あなたが持っているもの(例:指紋やその他の生体データ)
他のビジネス分野では、アカウントのセキュリティ確保におけるMFAの価値を認めている。攻撃、クレーム、コスト、支払額が増加する中、保険会社は組織のサイバーセキュリティの姿勢を評価するために、セキュリティ・コントロールの話題に触れるようになっている。アンダーライターは、サイバー保険の申し込みの際に、MFAやDMARCのような基本的なサイバーセキュリティ管理について尋ねることが多い。
しかし、MFAが導入されて以来、すべてのMFAソリューションが同じように作られているわけではないことが分かってきた。我々の友人であるRoger Grimesによるフィッシングに強いMFAのリストをチェックする価値がある。
Cybersecurity & Infrastructure Security Agency (CISA)はここでMFAについて掘り下げており、さらに最近、MFAに関する2つのガイダンスを発表した:Implementing Phishing-Resistant MFA and Implementing Number Matching in MFA Applications.
DMARCガイダンス
これらの勧告は、DMARCとその基礎となるSPFとDKIMの認証標準を導入し、電子メールの信頼性を高めるという2019年のNISTからの助言を補完するものである。そして2022年、CISAはNISTと連携して、一連のセキュリティ慣行を含む、情報技術および運用技術の所有者に推奨される慣行であるベースライン・サイバーセキュリティ・パフォーマンス・ゴールを発表した。
セクション8.3「電子メールのセキュリティ」では、DMARC、SPF、DKIMが「なりすまし、フィッシング、傍受など、電子メールに基づく一般的な脅威からのリスクを低減する」ために推奨されている。MFAとDMARCを組み合わせることで、攻撃は制御され、ドメインは保護され、インターネット上で保護され信頼されるサービスが実現します。
DMARCを推奨しているのは米国だけではない。EUもまた、SPF、DKIM、DMARCを含む電子メール通信セキュリティ基準を策定している。「インターネット上の通信は、国際的に採用された一連の標準によって管理されている」と欧州委員会は言う。「これにより、接続されたサーバーやデバイスは、メッセージの送受信方法を正確に知ることができる。技術が進歩し、脅威が進化するにつれて、インターネットのセキュリティを向上させるために新しい標準が作成される。
認証システムの強さは、システムに組み込まれる要因の数によって大きく左右される。
NIST
DMARCを導入し、パスワードの代わりにパスフレーズを使用するとともに、アカウントの安全を保つためにMFAを活用することをお勧めします。
DMARC管理プラットフォームにMFAソリューションを組み込みました。当社のMFAセキュリティ機能は、AuthyやGoogle Authenticatorのようなアプリを使用したトークン・ベースの認証や、YubikeyやNitrokeyのような物理的なセキュリティ・キーを可能にするFIDO Universal Second Factorを可能にします。
私たちがお手伝いします
Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様のサポートも行っています。
お気軽にご連絡ください
