「The State of Secure Identity Report 2023」の主な調査結果

このブログはこちらの英語ブログ（2024年2月28日公開）の翻訳、岡田 憲昌によるレビューです。

サインアップ詐欺、クレデンシャルスタッフィング、MFAバイパスは、カスタマーアイデンティティを標的とする日常的な脅威です。

アイデンティティは、すべての顧客向けアプリケーションにとって、セキュリティの主要な入口となっています。 

オンラインでの花の購入から金融取引まで、顧客のデジタルアイデンティティを確認するために毎日何百万もの認証が行われています。しかし、ログインボックスの背後にあるものに関心があるのは、正当なユーザーだけではありません。ここ数年、カスタマーアイデンティティおよびアクセス管理 （CIAM）システムに対する攻撃の量と複雑さが増しており、その緩和、検出、保護がこれまで以上に重要になっています。

課題は、顧客向けアプリケーションはユーザーフレンドリーで、 かつ安全なエクスペリエンス  を提供しなければならないということです。

今年で第3回となる「The State of Secure Identity Report」では、カスタマーアイデンティティシステムに対する脅威と、消費者との信頼を構築・維持するために講じるべき防御策に対する認識を高めることを目的としています。このレポートでは、Okta Customer Identity Cloud（以下、Okta CIC）からの匿名化されたプラットフォームデータを共有し、トレンド、事例、考察をご紹介します。 

サインアップフローは詐欺に悩まされている 

攻撃者は、B2C企業のサインアップフローを悪用し、アカウント作成のインセンティブを利用したり、正当な顧客のユーザーエクスペリエンスを妨げたりします。標的にされた企業にとって、偽のサインアップは、大規模なものになると不要な出費につながる問題を引き起こします。

2023年前半には、当社のプラットフォーム上で不正行為としてフラグが立てられたサインアップ件数は13.9%となり、昨年から23%減少しました。 この好ましい傾向は、ログインボックス前後で攻撃者の不正行為を防ぐOkta CICの製品群の改良によるものです。

業界全体でみると、金融サービスが不正なサインアップ試行の割合が最も高く（28.8%）、僅差でメディア（28.4%）と製造業（25.1%）が続いています。 

クレデンシャルスタッフィングは依然として代表的な手口 

パスワードが存在する限り、攻撃者はアカウントの乗っ取りにクレデンシャルスタッフィングを利用します。当社の分析では、このプラットフォーム上で観測された最も一般的なアイデンティティ攻撃です。全体的にみると、Okta CICにおけるサインイン試行の24.3%がクレデンシャルスタッフィングの基準を満たしていました。繰り返しますが、この数字はボット検出機能の改善により、昨年から減少しています。

興味深いことに、小売/eコマース企業がクレデンシャルスタッフィング攻撃の半数以上（51.3%）を占めており、これはおそらく、その業界のアカウントに伴う価値が原因であると考えられます。例えば、サイバー犯罪者は、被害者のロイヤリティプログラムの残高を換金して、個人的な利益を得たり転売したりすることができます。地域別に見ると、北米/中南米地域のクレデンシャルスタッフィング攻撃の割合が28%と最も高く、これは、大手の小売企業やメディア企業の数社が米国に拠点を置いているという、これまでの調査結果と一致しています。 

攻撃者はMFAを標的にする 

MFAのメリットは、アカウントの乗っ取り防止に対して十分に確立されてきたものの、顧客のアイデンティティという面では独自の課題に直面しています。残念なことに、MFAの従来の手法には手間がかかるため、消費者の普及率は低くなっています。 多数の旧MFA技法は、現在脅威にさらされており、攻撃者は、この重大な障壁を回避するためのスケーラブルでリーズナブルな手段を見つけ出しています。

Okta CICにおけるMFAの試行の12.7%が、MFAバイパス攻撃によるものであることが判明しました。これは、ソーシャルエンジニアリングやSIMスワップ攻撃の影響を受けやすい、ワンタイムSMSコードなどの弱い要素において特に顕著です。知識ベースの要素がMFAバイパス攻撃の標的となっているため、組織がアカウント乗っ取りの可能性を低減するには、所有ベースまたは生体認証ベースの要素の採用を検討すべきです。さらに、パスキーなどの、所有・生体認証ベースの要素は、ログインの手間をを軽減します。 

CIAMを使った、セキュリティへの多層防御のアプローチ 

従業員のアイデンティティ管理は、比較的大きな摩擦にも対応でき、定期的にセキュリティ意識向上トレーニングを受けたユーザーを頼りにできるというさらなるメリットもあります。しかし、CIAMにはこうした要素がありません。その代わり顧客のアイデンティティは、コンバージョンを促進しながら、強固なセキュリティ態勢を達成し維持する、より繊細なセキュリティ手法に頼らなければなりません。

Okta CICのようなソリューションは、セキュリティに対する多層防御アプローチで企業を支援します。ログインボックスの前・中・後の摩擦を自動的に増減するため、さまざまなリスクシグナルを検知しています。

ボット検出、Credential Guard、パスキーなどの機能は、攻撃者を排除しながら正当な顧客を受け入れることを目的としています。 

カスタマーアイデンティティシステムに対する脅威とログインボックスを保護するために講じるべき防御策に関する詳しい洞察については、当社の全レポートをこちらでご覧ください。 

本資料および本資料に含まれる推奨事項は、法律、プライバシー、セキュリティ、コンプライアンス、またはビジネスに関する助言ではありません。本資料は、一般的な情報提供のみを目的としており、最新のセキュリティ、プライバシー、法律の動向、また関連する問題をすべて反映しているわけではありません。本資料の利用者は、自分自身の責任において、自分の弁護士またはその他の専門アドバイザーから法律、セキュリティ、プライバシー、コンプライアンス、またはビジネスに関する助言を得るものとし、本資料に記載された推奨事項に依存すべきではありません。本資料に記載された推奨事項を実施した結果生じるいかなる損失または損害に対しても、Oktaは一切の責任を負いません。Oktaは、これらの資料の内容に関して、いかなる表明、保証、またはその他の保証も行いません。お客様に対するOktaの契約上の保証に関する情報は、okta.com/agreementsをご覧ください。

以上の内容は、原文（英語）の参考和訳であり、原文と内容に差異がある場合は、原文が優先されます。